Există legi privind cookie-urile în SUA?

Analiza reglementărilor existente demonstrează că Statele Unite nu au o lege federală care să reglementeze în mod specific utilizarea cookie-urilor. Cu toate acestea, legile statale privind confidențialitatea, în special California Consumer Privacy Act (CCPA) și Virginia Consumer Data Protection Act (CDPA), abordează utilizarea cookie-urilor în legătură cu prelucrarea datelor cu caracter personal.

CCPA stabilește că modulele cookie, atunci când sunt utilizate pentru a colecta date despre consumatori, sunt considerate informații cu caracter personal (Cal. Civ. Code § 1798.140). Companiile care se supun CCPA sunt obligate să dezvăluie utilizarea cookie-urilor și scopurile pentru care datele sunt colectate prin intermediul acestora (Cal. Civ. Code § 1798.100). Cu toate acestea, consimțământul opt-in pentru cookie-uri nu este obligatoriu conform CCPA pentru utilizarea generală. În special, atunci când cookie-urile sunt implementate pentru publicitate direcționată și publicitate comportamentală cross-context, aceste activități pot fi clasificate drept „vânzare” de informații cu caracter personal în temeiul CCPA (Cal. Civ. Code § 1798.140(t)), declanșând obligația pentru companii de a oferi un mecanism de renunțare (opt-out) pentru consumatori ("Do Not Sell My Personal Information").

CDPA din Virginia consideră în mod similar datele prelucrate prin cookie-uri ca fiind date cu caracter personal atunci când sunt utilizate pentru publicitate direcționată, vânzare sau creare de profiluri (Va. Code Ann. § 59.1-571). În temeiul CDPA, consumatorii dețin drepturi explicite de a renunța (opt-out) la prelucrarea datelor lor cu caracter personal în aceste scopuri, implicând în special cookie-urile terților și cele publicitare. Operaționalizarea acestor drepturi impune companiilor să implementeze mecanisme care să permită consumatorilor să își exercite în mod eficient drepturile de renunțare (opt-out).

Principalele constatări includ:

• Nu există o lege federală generală privind cookie-urile în SUA.
• Atât CCPA, cât și CDPA tratează datele colectate de cookie-uri ca informații cu caracter personal atunci când sunt utilizate în scopuri specifice.
• CCPA impune dezvăluirea utilizării cookie-urilor și necesită o opțiune de renunțare (opt-out) dacă cookie-urile sunt utilizate pentru publicitate direcționată sau considerate o „vânzare”.
• CDPA acordă consumatorilor dreptul de a renunța (opt-out) la prelucrarea datelor cu caracter personal pentru publicitate direcționată, vânzare sau creare de profiluri — afectând în mod explicit practicile privind cookie-urile.

În general, deși nu există o lege federală privind cookie-urile, statutele la nivel de stat, cum ar fi CCPA și CDPA, impun cerințe specifice companiilor în ceea ce privește utilizarea cookie-urilor, în special în legătură cu informațiile cu caracter personal și practicile de publicitate direcționată. Abordarea de reglementare este fragmentată și în mare parte reactivă la utilizările specifice ale cookie-urilor, în loc să impună cerințe generale, așa cum se observă în alte jurisdicții (de exemplu, GDPR în UE).