Zijn er cookiewetten in de VS?

Uit de analyse van de bestaande regelgeving blijkt dat de Verenigde Staten geen federale wet hebben die specifiek het gebruik van cookies reguleert. Echter, privacywetten op staatsniveau, met name de California Consumer Privacy Act (CCPA) en de Virginia Consumer Data Protection Act (CDPA), behandelen het gebruik van cookies in verband met de verwerking van persoonsgegevens.

De CCPA stelt dat cookies, wanneer ze worden gebruikt om consumentengegevens te verzamelen, worden beschouwd als persoonsgegevens (Cal. Civ. Code § 1798.140). Bedrijven die onder de CCPA vallen, zijn verplicht om hun gebruik van cookies openbaar te maken, evenals de doeleinden waarvoor gegevens via cookies worden verzameld (Cal. Civ. Code § 1798.100). Opt-in toestemming voor cookies is echter niet verplicht onder de CCPA voor algemeen gebruik. Met name wanneer cookies worden ingezet voor gerichte reclame en cross-context gedragsgerichte reclame, kunnen deze activiteiten worden geclassificeerd als een “verkoop” van persoonsgegevens onder de CCPA (Cal. Civ. Code § 1798.140(t)), wat bedrijven verplicht een opt-out mechanisme te bieden aan consumenten ("Do Not Sell My Personal Information").

De CDPA in Virginia beschouwt gegevens die via cookies worden verwerkt op een vergelijkbare manier als persoonsgegevens wanneer deze worden gebruikt voor gerichte reclame, verkoop of profilering (Va. Code Ann. § 59.1-571). Onder de CDPA hebben consumenten expliciete rechten om bezwaar te maken (opt-out) tegen de verwerking van hun persoonsgegevens voor deze doeleinden, wat met name gevolgen heeft voor cookies van derden en advertentiecookies. De operationalisering van deze rechten vereist dat bedrijven mechanismen implementeren waarmee consumenten hun opt-out-rechten effectief kunnen uitoefenen.

De belangrijkste bevindingen zijn:

• Er is geen overkoepelende federale cookiewet in de VS.
• Zowel de CCPA als de CDPA beschouwen gegevens die door cookies worden verzameld als persoonsgegevens wanneer deze voor specifieke doeleinden worden gebruikt.
• De CCPA verplicht openbaarmaking van cookiegebruik en vereist een opt-out als cookies worden gebruikt voor gerichte reclame of worden beschouwd als een “verkoop”.
• De CDPA geeft consumenten het recht om bezwaar te maken (opt-out) tegen de verwerking van persoonsgegevens voor gerichte reclame, verkoop of profilering—wat expliciet van invloed is op de cookiepraktijken.

Samenvattend, hoewel er geen federale cookiewet is, leggen wetten op staatsniveau zoals de CCPA en de CDPA gerichte eisen op aan bedrijven met betrekking tot het gebruik van cookies, met name in verband met persoonsgegevens en gerichte reclamepraktijken. De regelgevende aanpak is gefragmenteerd en grotendeels reactief op specifieke toepassingen van cookies, in plaats van algemene eisen op te leggen zoals in andere rechtsgebieden (bv. GDPR in de EU).