Consimțământul pentru cookie-uri: ce cere de fapt legea
Consimțământul pentru cookie-uri este una dintre cele mai greșit înțelese cerințe din domeniul confidențialității digitale. Multe companii cred că sunt conforme pentru că afișează un banner de cookie-uri. Dar un banner nu înseamnă consimțământ. Consimțământul este un concept juridic specific, cu cerințe precise — iar nerespectarea acestor cerințe poate însemna că întreaga colectare de date este ilegală.
Fundamentul juridic
Consimțământul pentru cookie-uri se sprijină pe doi piloni juridici:
Articolul 5 alineatul (3) din Directiva ePrivacy stabilește cerința: stocarea sau accesarea informațiilor de pe dispozitivul unui utilizator necesită consimțământul acestuia, cu excepția cazului în care stocarea este strict necesară pentru un serviciu solicitat în mod explicit de utilizator. Aceasta este regula care reglementează în mod specific cookie-urile.
Articolul 4 punctul (11) din GDPR definește ce înseamnă consimțământul: „«consimțământul» persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.”
Aceste două prevederi funcționează împreună. Directiva ePrivacy îți spune când este necesar consimțământul (pentru cookie-urile neesențiale). GDPR îți spune cum arată un consimțământ valid. Ambele trebuie îndeplinite.
Cele cinci cerințe ale unui consimțământ valid
Pornind de la Articolul 4 punctul (11), Articolul 7 din GDPR și Ghidul 05/2020 al EDPB privind consimțământul, un consimțământ valid pentru cookie-uri trebuie să îndeplinească cinci criterii:
1. Acordat în mod liber
Utilizatorul trebuie să aibă o alegere reală. Consimțământul nu este liber dacă:
- Accesul este condiționat de consimțământ. Dacă utilizatorul nu poate folosi site-ul fără a accepta toate cookie-urile (un „zid de cookie-uri”), consimțământul nu este acordat în mod liber. EDPB a confirmat această poziție, deși unele autorități naționale de protecție a datelor (DPA) permit ziduri de cookie-uri limitate în anumite circumstanțe — în special dacă există o alternativă reală (cum ar fi o versiune plătită, fără cookie-uri).
- Există un dezechilibru semnificativ de putere. În relațiile angajator-angajat sau stat-cetățean, consimțământul poate să nu fie cu adevărat liber. Pentru majoritatea site-urilor web, acest aspect este mai puțin relevant, dar contează pentru serviciile guvernamentale și platformele de intranet.
- Refuzul este considerabil mai greu decât acceptarea. Dacă „Acceptă tot” este un buton proeminent, iar „Respinge tot” necesită navigarea prin setări, consimțământul nu este acordat în mod liber. Atât autoritatea italiană Garante, cât și CNIL din Franța au emis orientări specifice care impun ca respingerea cookie-urilor să fie la fel de simplă ca acceptarea lor.
2. Specific
Consimțământul trebuie acordat separat pentru fiecare scop distinct. Din acest motiv există categoriile de cookie-uri. Un mecanism valid de consimțământ trebuie să permită utilizatorilor să accepte cookie-urile de analiză respingând în același timp cookie-urile de marketing, sau invers. Gruparea tuturor cookie-urilor într-un singur „acceptă” sau „respinge” nu îndeplinește cerința de specificitate — deși oferirea opțiunilor „Acceptă tot” și „Respinge tot” ca scurtături, alături de controale pe categorii, este acceptabilă.
3. Informat
Înainte de a-și acorda consimțământul, utilizatorul trebuie informat despre:
- Cine setează cookie-urile (operatorul site-ului și eventualii terți)
- Ce face fiecare categorie de cookie-uri
- Cât timp durează cookie-urile
- Cum poate fi retras consimțământul
Aceste informații trebuie prezentate clar și într-un limbaj simplu. O politică de cookie-uri de 5.000 de cuvinte îngropată după trei click-uri nu face consimțământul „informat” în niciun sens real. Primul strat al mecanismului de consimțământ ar trebui să includă suficiente informații pentru ca utilizatorul să ia o decizie în cunoștință de cauză.
4. Lipsit de ambiguitate
Consimțământul necesită o acțiune afirmativă clară. Utilizatorul trebuie să facă activ ceva pentru a-și exprima consimțământul — să apese un buton, să bifeze o casetă, să comute un buton.
Ce NU constituie consimțământ lipsit de ambiguitate:
- Casete bifate în prealabil. CJUE a stabilit definitiv în cauza Planet49 (Cauza C-673/17, octombrie 2019) că bifele prestabilite nu constituie un consimțământ valid. Acest lucru se aplică setărilor de consimțământ pentru cookie-uri în care categoriile sunt bifate în mod implicit.
- Continuarea navigării. „Prin continuarea utilizării acestui site, vă exprimați acordul pentru cookie-uri” nu constituie un consimțământ valid. Simpla derulare sau apăsarea unui link nu reprezintă o „manifestare de voință lipsită de ambiguitate”. Mai multe autorități de protecție a datelor au confirmat acest lucru, iar ghidurile EDPB sunt explicite în această privință.
- Setările browserului. Bazarea pe setările browserului utilizatorului ca formă de consimțământ a fost respinsă de autoritățile de reglementare. Operatorul site-ului trebuie să obțină consimțământul în mod direct.
- Tăcerea sau inactivitatea. Dacă utilizatorul ignoră bannerul și continuă să navigheze, acest lucru nu constituie consimțământ. Nu ar trebui plasat niciun cookie până când utilizatorul nu a făcut o alegere activă.
5. Prealabil
Deși nu este menționat ca element distinct în Articolul 4 punctul (11) din GDPR, Directiva ePrivacy precizează clar că consimțământul trebuie obținut înainte de plasarea cookie-urilor. Aceasta este cerința pe care multe site-uri încă nu o îndeplinesc. Scripturile care se declanșează la încărcarea paginii — setând cookie-uri de analiză și marketing înainte ca utilizatorul să fi văzut măcar bannerul de consimțământ — încalcă această cerință fundamentală.
Din punct de vedere tehnic, acest lucru înseamnă că scripturile neesențiale trebuie blocate până la acordarea consimțământului. Simpla afișare a unui banner în timp ce cookie-urile sunt deja setate nu îndeplinește cerința de consimțământ prealabil.
Cum arată în practică un consimțământ valid
O implementare conformă a consimțământului pentru cookie-uri:
- Blochează toate cookie-urile neesențiale înainte ca utilizatorul să interacționeze cu mecanismul de consimțământ.
- Prezintă un prim strat clar care explică categoriile de cookie-uri utilizate, cu opțiuni de acceptare sau respingere a fiecărei categorii.
- Oferă „Acceptă tot” și „Respinge tot” la același nivel de vizibilitate — aceeași dimensiune, aceeași greutate vizuală, același număr de click-uri necesare.
- Nu folosește tipare înșelătoare (dark patterns) — fără culori derutante ale butoanelor, fără opțiuni de respingere ascunse, fără limbaj confuz, fără îndrumare către acceptare.
- Face trimitere la o politică detaliată de cookie-uri care enumeră fiecare cookie după nume, scop, durată și furnizor.
- Înregistrează consimțământul cu o marcă temporală și categoriile specifice pe care utilizatorul le-a acceptat sau respins.
- Declanșează doar scripturile relevante după acordarea consimțământului pentru acea categorie specifică.
Ciclul de viață al consimțământului
Consimțământul nu este un eveniment unic. El are un ciclu de viață pe care implementarea ta trebuie să îl susțină:
Colectare
Prima vizită: afișează mecanismul de consimțământ, blochează cookie-urile neesențiale, așteaptă acțiunea utilizatorului.
Stocare
Când consimțământul este acordat, stochează alegerea utilizatorului într-un cookie strict necesar (nu este nevoie de consimțământ pentru acest cookie, deoarece este necesar pentru a respecta preferințele de confidențialitate ale utilizatorului). De asemenea, stochează o înregistrare pe partea de server ca dovadă a consimțământului.
Aplicare
La încărcările ulterioare ale paginilor, citește cookie-ul de consimțământ și declanșează doar scripturile care corespund categoriilor acceptate de utilizator. Nu mai afișa bannerul din nou — respectă alegerea stocată.
Retragere
Articolul 7 alineatul (3) din GDPR este explicit: „Retragerea consimțământului trebuie să fie la fel de simplă ca acordarea acestuia.” Site-ul tău trebuie să ofere o modalitate permanentă și ușor accesibilă prin care utilizatorii să își schimbe oricând preferințele privind cookie-urile. O abordare frecventă este o pictogramă mică sau un link în subsol, care redeschide interfața de gestionare a consimțământului.
Reînnoire
Consimțământul nu durează la nesfârșit. CNIL recomandă reînnoirea consimțământului la fiecare 13 luni. EDPB nu a stabilit o durată specifică, dar cere ca acordul să rămână valabil și ca alegerea utilizatorului să reflecte în continuare dorințele sale reale. Cea mai bună practică este de a solicita din nou consimțământul cel puțin o dată pe an sau ori de câte ori utilizarea cookie-urilor se schimbă semnificativ.
Modificări
Dacă adaugi cookie-uri noi, servicii terțe noi sau scopuri noi, este posibil ca acordul existent să nu le mai acopere. Utilizatorilor ar trebui să li se solicite din nou să acorde (sau să refuze) consimțământul pentru noua prelucrare.
Înregistrări și dovezi ale consimțământului
Articolul 7 alineatul (1) din GDPR prevede: „În cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul.” Pentru consimțământul privind cookie-urile, aceasta înseamnă că trebuie să păstrezi înregistrări despre:
- Când a fost acordat consimțământul (marcă temporală)
- La ce și-a dat utilizatorul consimțământul (ce categorii au fost acceptate și care au fost respinse)
- Cum a fost colectat consimțământul (cum arăta mecanismul de consimțământ la acel moment — un identificator de versiune sau o captură de ecran)
- Cine și-a dat consimțământul (de obicei un identificator anonimizat, nu numele utilizatorului)
Dacă o autoritate de reglementare îți cere să dovedești că un anumit cookie a fost plasat cu un consimțământ valid, aceste înregistrări reprezintă apărarea ta. Fără ele, nu ai nicio dovadă că mecanismul tău de consimțământ funcționează — iar sarcina probei îți revine ție, nu autorității de reglementare.
Erori frecvente privind consimțământul
Pe baza acțiunilor de aplicare a legii din întreaga Europă, acestea sunt cele mai frecvent sancționate deficiențe privind consimțământul:
- Cookie-uri plasate înainte de consimțământ. Scripturi de analiză și marketing care se declanșează la încărcarea paginii, înainte ca utilizatorul să interacționeze cu bannerul.
- Lipsa opțiunii de respingere în primul strat. Obligarea utilizatorilor să apese „Setări” sau „Gestionează preferințele” pentru a respinge cookie-urile, în timp ce „Acceptă tot” este disponibil imediat.
- Categorii prebifate. Butoane de comutare a consimțământului setate implicit pe „activat” pentru analiză și marketing.
- Nicio modalitate de a retrage consimțământul. Odată ce bannerul este închis, utilizatorul nu mai are cum să își schimbe alegerea.
- Zid de consimțământ / zid de cookie-uri. Blocarea accesului la conținut dacă nu sunt acceptate toate cookie-urile.
- Design înșelător. Utilizarea culorii verzi pentru „Acceptă” și a griului pentru „Respinge”, mărirea butonului de acceptare sau folosirea unui limbaj confuz precum „Continuă fără a accepta” versus „Acceptă și continuă”.
Passiro scanează implementarea consimțământului pentru cookie-uri de pe site-ul tău și verifică aceste erori frecvente, ajutându-te să identifici și să corectezi lacunele de conformitate înainte de a o face o autoritate de reglementare.
În continuare: când este necesar, mai exact, consimțământul? Răspunsul implică câteva nuanțe importante, inclusiv excepția pentru cookie-urile strict necesare și dezbaterea continuă din jurul analizei de primă parte.
În această secțiune
Site-ul tău respectă regulile privind cookie-urile?
Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.
Scanează-ți cookie-urile gratuit