Ce spune GDPR despre cookie-uri?

Cookie-urile, adresele IP și identificatorii online similari sunt abordați în mod explicit în Considerentul 30 al Regulamentului General privind Protecția Datelor (GDPR), care prevede: „Persoanele fizice pot fi asociate cu identificatori online [...] cum ar fi adresele de protocol de internet, identificatorii de cookie-uri sau alți identificatori, cum ar fi etichetele de identificare prin radiofrecvență.” Această clasificare subliniază faptul că modulele cookie, atunci când sunt utilizate pentru a identifica persoane – fie direct, fie indirect – constituie date cu caracter personal (GDPR Recital 30).

Principalele constatări din analiza juridică și de reglementare includ:

• Cookie-urile ca date cu caracter personal: GDPR recunoaște cookie-urile ca date cu caracter personal atunci când acestea pot identifica un utilizator, chiar și în combinație cu alte date.
• Cerința consimțământului: Articolul 6 și Considerentul 32 impun obținerea unui consimțământ valabil înainte de plasarea cookie-urilor neesențiale. Consimțământul trebuie să fie acordat în mod liber, specific, informat și lipsit de ambiguitate. Căsuțele pre-bifate sau inactivitatea nu constituie consimțământ (EDPB Guidelines 05/2020).
• Transparență: Site-urile web trebuie să informeze în mod clar utilizatorii cu privire la tipurile și scopurile cookie-urilor înainte de a obține consimțământul. Acestea includ:
  • Identitatea operatorului de date
  • Scopurile exacte pentru care sunt utilizate cookie-urile
  • Terțele părți implicate
• Dreptul de a retrage consimțământul: Utilizatorii trebuie să poată retrage consimțământul la fel de ușor cum a fost acordat (GDPR Article 7(3)).
• Responsabilitate: Organizațiile trebuie să poată demonstra că a fost obținut un consimțământ valabil pentru toate cookie-urile neesențiale.

Studiile empirice indică lacune semnificative de conformitate în rândul site-urilor web, multe dintre acestea nereușind să implementeze mecanisme pentru consimțământ granular, sau recurgând la modele de tip opt-out neconforme (Degeling et al., 2019). Acțiunile de reglementare au consolidat necesitatea unor mecanisme explicite de tip opt-in, în special pentru cookie-urile de urmărire și publicitate.

În concluzie, în conformitate cu GDPR, cookie-urile care pot identifica o persoană sunt date cu caracter personal; prin urmare, utilizarea acestora este strict reglementată prin cerințe de consimțământ informat, explicit și de transparență. Nerespectarea poate duce la penalități substanțiale, așa cum demonstrează acțiunile recente de aplicare a legii în UE.