Toate cookie-urile necesită consimțământ?

Analiza cadrelor de reglementare relevă faptul că nu toate modulele cookie sunt supuse acelorași cerințe de consimțământ. Directiva ePrivacy (Directiva 2002/58/CE), denumită adesea „legea UE privind modulele cookie”, face o distincție clară între modulele cookie strict necesare și alte tipuri de module cookie. Conform Articolului 5(3), “consimțământul nu este necesar pentru stocarea tehnică sau accesul care este strict necesar în scopul legitim de a permite utilizarea unui anumit serviciu solicitat în mod explicit de către abonat sau utilizator.”

Investigațiile empirice ale practicilor site-urilor web coroborează faptul că modulele cookie strict necesare—cele necesare pentru funcționalități de bază, cum ar fi gestionarea sesiunilor, coșurile de cumpărături și caracteristicile de securitate—sunt implementate în mod obișnuit fără consimțământul explicit al utilizatorului. De exemplu, tokenurile de autentificare pentru login și modulele cookie de reținere a coșului de cumpărături se încadrează în această excepție. Aceste constatări se aliniază cu orientările emise de autoritățile de reglementare, inclusiv Comitetul European pentru Protecția Datelor (EDPB, 2020), care prevede:

• “Modulele cookie care sunt esențiale pentru funcționarea unui site web nu necesită consimțământ.”

În schimb, modulele cookie utilizate pentru analiză, publicitate sau personalizare nu se califică pentru excepție și, prin urmare, necesită consimțământul prealabil informat al utilizatorilor. Această bifurcație este susținută în mod explicit de Articolul 6 din GDPR, care impune un temei juridic pentru prelucrarea datelor cu caracter personal, consolidat în continuare de Considerentul 30, care identifică identificatorii online ca date cu caracter personal.

O analiză a implementărilor naționale (de ex., Regulamentul privind confidențialitatea și comunicațiile electronice din Regatul Unit—PECR, orientările CNIL din Franța) confirmă o abordare consecventă:

• Consimțământul nu este necesar pentru modulele cookie esențiale.
• Consimțământul este obligatoriu pentru modulele cookie neesențiale (de ex., de urmărire, de profilare).

Evaluările practice de impact indică faptul că majoritatea site-urilor web implementează acum bannere de cookie-uri care fac distincția între modulele cookie esențiale și cele neesențiale, oferind utilizatorilor controale granulare. Această abordare minimizează riscurile de conformitate și se aliniază cu așteptările de reglementare.

În concluzie, analiza de reglementare și practica observată susțin concluzia:

• Modulele cookie strict necesare sunt scutite de cerințele de consimțământ în temeiul legislației UE.
• Toate celelalte categorii de module cookie necesită consimțământul explicit al utilizatorului înainte de implementare.

Această distincție este acum o practică standard în strategiile de conformitate din jurisdicțiile guvernate de Directiva ePrivacy și de GDPR.