Skip to main content

Categorii de cookie-uri: Cum să clasifici cookie-urile pentru consimțământ

Consimțământul pentru cookie-uri nu este o decizie de tip totul-sau-nimic. Reglementările privind confidențialitatea impun ca utilizatorii să poată face alegeri granulare cu privire la ce tipuri de cookie-uri acceptă. Pentru a face acest lucru posibil, cookie-urile sunt organizate în categorii — grupuri bazate pe scopul lor, fiecare cu propriile cerințe de consimțământ.

Clasificarea corectă este esențială. A eticheta un cookie de marketing drept „strict necesar" nu este doar o eroare tehnică — este o încălcare a conformității pe care autoritățile de reglementare o caută activ și o sancționează.

De ce contează clasificarea

GDPR impune ca consimțământul să fie „specific" (Articolul 4(11)). Grupul de lucru Articolul 29 (acum EDPB) a clarificat că acest lucru înseamnă că consimțământul trebuie acordat separat pentru fiecare scop distinct. Gruparea tuturor cookie-urilor într-un singur buton „acceptă tot", fără a oferi opțiuni pe categorii, nu îndeplinește acest standard.

În practică, aceasta înseamnă că mecanismul tău de consimțământ pentru cookie-uri trebuie să prezinte cookie-urile grupate în funcție de scop și să permită utilizatorilor să accepte sau să respingă fiecare categorie în mod independent. Standardul care s-a impus în întreaga industrie — și pe care autoritățile de reglementare îl așteaptă — folosește patru categorii.

Cele patru categorii standard de cookie-uri

1. Cookie-uri strict necesare

Aceste cookie-uri sunt esențiale pentru funcționarea de bază a site-ului web. Fără ele, serviciul pe care utilizatorul l-a solicitat în mod explicit nu poate fi furnizat.

Consimțământ necesar: Nu. Cookie-urile strict necesare sunt exceptate de la cerința de consimțământ conform Articolului 5(3) din Directiva ePrivacy, care prevede că nu este necesar consimțământul pentru cookie-urile care sunt „strict necesare pentru ca furnizorul unui serviciu al societății informaționale solicitat în mod explicit de către abonat sau utilizator să furnizeze serviciul".

Exemple de cookie-uri strict necesare:

  • Cookie-uri de sesiune care mențin starea de autentificare
  • Cookie-uri pentru coșul de cumpărături pe un site de e-commerce
  • Token-uri de protecție CSRF (cross-site request forgery)
  • Cookie-uri de echilibrare a încărcării care distribuie traficul între servere
  • Cookie-uri pentru preferințele de consimțământ (cookie-ul care reține alegerea ta de consimțământ)
  • Cookie-uri de securitate care detectează abuzurile de autentificare

Ce NU este strict necesar:

  • Cookie-uri de analiză — chiar și cele de primă parte. Măsurarea traficului este utilă pentru operatorul site-ului, dar nu este necesară pentru furnizarea serviciului solicitat de utilizator.
  • Plugin-uri de social media — butoanele de distribuire și fluxurile încorporate servesc intereselor proprietarului site-ului, nu unei funcții solicitate în mod explicit de utilizator.
  • Cookie-uri de publicitate — prin definiție, acestea servesc unui scop dincolo de serviciul pe care utilizatorul îl accesează.
  • Cookie-uri de testare A/B — acestea servesc obiectivelor de optimizare ale operatorului site-ului, nu solicitării explicite a utilizatorului.

Testul cheie este perspectiva: necesar pentru cine? Dacă cookie-ul servește intereselor operatorului site-ului mai degrabă decât unei funcții solicitate în mod explicit de utilizator, nu este strict necesar — indiferent de cât de important ar fi pentru afacere.

2. Cookie-uri de analiză / statistică

Aceste cookie-uri colectează informații despre modul în care vizitatorii folosesc site-ul web: ce pagini sunt vizitate, cât timp rămân utilizatorii, de unde vin și unde abandonează. Datele sunt de obicei agregate și utilizate pentru a îmbunătăți site-ul web.

Consimțământ necesar: Da, în majoritatea jurisdicțiilor. Cu toate acestea, unele autorități de protecție a datelor (în special CNIL din Franța și AP din Țările de Jos) au indicat că anumite instrumente de analiză de primă parte pot beneficia de o exceptare limitată, cu condiția îndeplinirii anumitor condiții specifice (vezi secțiunea noastră despre când este necesar consimțământul).

Cookie-uri de analiză frecvente:

Cookie Serviciu Scop Durată de viață implicită
_ga Google Analytics Distinge utilizatorii unici 2 ani
_ga_* Google Analytics 4 Menține starea sesiunii 2 ani
_gid Google Analytics Distinge utilizatorii (24h) 24 de ore
_pk_id.* Matomo ID vizitator 13 luni
_pk_ses.* Matomo Urmărirea sesiunii 30 de minute
_hjSessionUser_* Hotjar Identificator utilizator 1 an

Rețineți că cookie-urile Google Analytics sunt de natură terță parte, chiar dacă pot apărea ca cookie-uri de primă parte — deoarece Google procesează datele pe propriile servere și le poate utiliza în propriile scopuri. Această distincție a fost semnificativă în mai multe acțiuni de aplicare a legii din Europa.

3. Cookie-uri de marketing / publicitate

Aceste cookie-uri urmăresc vizitatorii pe diferite site-uri web pentru a construi un profil al comportamentului lor de navigare. Acest profil este utilizat pentru a livra publicitate țintită, a măsura eficacitatea campaniilor publicitare și a limita numărul de ori în care un utilizator vede o anumită reclamă.

Consimțământ necesar: Întotdeauna. Nu există nicio excepție pentru cookie-urile de publicitate în nicio interpretare a Directivei ePrivacy sau a GDPR.

Cookie-uri de marketing frecvente:

Cookie Serviciu Scop Durată de viață implicită
_fbp Meta (Facebook) Urmărește vizitele pentru țintirea reclamelor 3 luni
_gcl_au Google Ads Urmărirea conversiilor 3 luni
IDE Google DoubleClick Retargeting și livrare de reclame 13 luni
_uetsid Microsoft Advertising Urmărirea conversiilor 1 zi
li_fat_id LinkedIn Identificator indirect al membrului 30 de zile

Cookie-urile de marketing sunt aproape întotdeauna de terță parte. Ele reprezintă cel mai mare risc pentru confidențialitate și sunt categoria cea mai strict reglementată. Orice mecanism de consimțământ care face mai ușoară acceptarea cookie-urilor de marketing decât respingerea lor riscă acțiuni de reglementare.

4. Cookie-uri de preferințe / funcționalitate

Aceste cookie-uri activează funcționalități îmbunătățite și personalizare care depășesc strictul necesar. Ele rețin alegerile pe care le-a făcut utilizatorul, dar nu sunt necesare pentru funcționarea serviciului de bază.

Consimțământ necesar: Da, deși nivelul de risc este mai scăzut decât în cazul cookie-urilor de analiză sau marketing. Unele autorități de reglementare tratează cookie-urile de preferințe cu mai multă indulgență, dar poziția juridică este că consimțământul este în continuare necesar.

Exemple:

  • Preferința de limbă (atunci când site-ul funcționează fără ea, revenind implicit la o altă limbă)
  • Selectarea regiunii sau a monedei
  • Precompletarea numelui de utilizator în formularele de autentificare
  • Preferințele playerului video (volum, calitate)
  • Starea widget-ului de chat (deschis/închis, istoricul conversației)
  • Dimensiunea fontului sau preferințele de accesibilitate

Distincția dintre „strict necesar" și „preferințe" poate fi subtilă. Un cookie de limbă pe un site cu o singură limbă este lipsit de sens. Un cookie de limbă pe un site multilingv care revine implicit la o limbă funcțională fără el este o preferință. Un cookie de limbă pe un site care nu poate funcționa deloc fără el — deoarece conținutul nu se încarcă fără o selecție de limbă — ar putea fi considerat, se poate argumenta, strict necesar. Contextul contează.

Cum să-ți clasifici corect cookie-urile

Urmează acest proces pentru fiecare cookie de pe site-ul tău web:

  1. Identifică cookie-ul. Care este numele său, cine îl setează (primă parte sau terță parte) și cât timp durează?
  2. Determină scopul său. De ce există acest cookie? Ce se întâmplă dacă este eliminat?
  3. Aplică testul strictului necesar. Este acest cookie esențial pentru o funcție solicitată în mod explicit de utilizator? Dacă utilizatorul a cerut să se autentifice, un cookie de sesiune este necesar. Dacă vrei să-i urmărești comportamentul, aceasta este nevoia ta, nu a lui.
  4. Atribuie categoria. Dacă nu este strict necesar, clasifică-l în funcție de scopul său principal: analiză, marketing sau preferințe.
  5. Documentează-ți raționamentul. Pentru fiecare cookie, notează de ce l-ai clasificat în felul în care ai făcut-o. Această documentație este valoroasă dacă vreodată o autoritate de reglementare o solicită.

Greșeli frecvente de clasificare

Pe baza acțiunilor de aplicare a legii de către autoritățile de reglementare și a constatărilor din audituri, acestea sunt cele mai frecvente erori:

  • Clasificarea Google Analytics ca strict necesar. Aceasta este cea mai frecventă greșeală. GA este un instrument de analiză. Nu este niciodată strict necesar pentru furnizarea unui serviciu către utilizator. Mai multe autorități de protecție a datelor au subliniat în mod special acest lucru.
  • Plasarea tuturor cookie-urilor de terță parte sub „funcționalitate". Videoclipurile YouTube încorporate, butoanele de distribuire socială și widget-urile de chat nu sunt strict necesare, iar cookie-urile lor servesc de obicei scopuri de analiză sau marketing dincolo de funcționalitatea vizibilă.
  • Ignorarea cookie-urilor setate de plugin-uri și integrări. Un site WordPress cu 20 de plugin-uri poate seta zeci de cookie-uri de care operatorul site-ului nici măcar nu este conștient. Rămâi totuși responsabil pentru toate.
  • Tratarea cookie-urilor de marketing ca analiză. Facebook Pixel și urmărirea conversiilor Google Ads sunt cookie-uri de marketing, nu de analiză — scopul lor principal este publicitatea, chiar dacă folosești datele în mod analitic.
  • Clasificarea greșită a cookie-urilor de testare A/B. Instrumente precum Optimizely și VWO setează cookie-uri pentru a atribui utilizatorii unor grupuri de testare. Acestea nu sunt strict necesare și ar trebui clasificate ca analiză sau preferințe.

Automatizează procesul

Auditurile manuale ale cookie-urilor consumă timp și sunt predispuse la erori. Site-urile web se schimbă în permanență — un plugin nou, un script actualizat, o echipă de marketing care adaugă un pixel de urmărire — și fiecare schimbare poate introduce noi cookie-uri care trebuie clasificate.

Passiro scanează și clasifică automat toate cookie-urile de pe site-ul tău web, detectează cookie-urile noi când apar și semnalează posibilele clasificări greșite. Astfel, mecanismul tău de consimțământ pentru cookie-uri reflectă întotdeauna cookie-urile reale pe care le folosește site-ul tău — nu doar cele de care erai conștient la ultima verificare.

Acum că înțelegem categoriile, să vedem ce înseamnă de fapt consimțământul pentru cookie-uri din punct de vedere juridic — cerințele sunt mai specifice decât își dau seama majoritatea oamenilor.

Site-ul tău respectă regulile privind cookie-urile?

Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.

Scanează-ți cookie-urile gratuit