Cookie-urile sunt mici bucăți de date salvate pe dispozitivul tău, dar gestionate de browserul pe care îl folosești, care le trimite înapoi site-urilor atunci când revii pe ele. Funcționează practic ca niște bilețele pe care site-ul le lasă acolo ca să-și amintească lucruri despre tine data viitoare când revii.
Unele dintre aceste lucruri sunt perfect legitime și utile. De exemplu, cookie-urile pot ține minte că ești logat într-un cont, ce produse ai pus în coș sau ce limbă ai ales pe site. Fără ele, multe site-uri ar funcționa mai greu sau ar deveni destul de frustrante; de exemplu, ar trebui să te loghezi de fiecare dată când intri.
Dar nu toate cookie-urile au același rol. O parte dintre ele sunt folosite pentru a înțelege cum navighezi pe site: ce pagini vezi, cât timp stai, pe ce dai click. Iar altele merg și mai departe și sunt setate de companii terțe (de exemplu, platforme de publicitate) pentru a urmări comportamentul tău pe mai multe site-uri și a construi un profil bazat pe interesele tale.
Aici intervine partea mai problematică. Când accepți anumite cookies, nu lași date doar site-ului pe care îl vezi, ci și unor servicii externe integrate în el, care pot colecta informații despre ce faci pe site și le pot combina cu date din alte site-uri unde sunt prezente.
E, practic, un sistem mai larg în care aceleași companii pot urmări activitatea ta pe mai multe pagini diferite. Așa se creează o imagine mai complexă a intereselor tale.
De aici apare și consecința pe care o trăim cu toții zi de zi online: cauți un produs sau citești despre un subiect, iar apoi începi să vezi reclame legate de el pe alte site-uri sau în aplicații. E rezultatul acestor mecanisme de colectare și corelare a datelor.

Cele patru tipuri de cookies
Ca să înțelegi ce alegi când apeși pe un buton din banner, cel mai util este să știi că nu toate cookie-urile sunt la fel. În linii mari, ele se împart în patru categorii: diferența dintre ele ține, în esență, de scopul pentru care sunt folosite și de cât de necesare sunt pentru funcționarea site-ului.
Prima categorie este cea a cookie-urilor necesare (sau „strict necesare”). Sunt cele fără de care site-ul nu funcționează corect. De exemplu, ele țin minte că ești logat într-un cont, că ai adăugat produse într-un coș sau că ai trecut de un pas de securitate. Fără ele, multe site-uri practic s-ar reseta la fiecare click. Tocmai de aceea, cookie-urile sunt activate automat și nu pot fi dezactivate din banner.
A doua categorie este cea a cookie-urilor care țin de preferințe (sau funcționale). Ele țin minte anumite alegeri pe care le faci, cum ar fi limba site-ului, regiunea sau modul în care vrei să fie afișat conținutul. De exemplu, pot reține dacă ai selectat varianta în română a site-ului, dacă ai ales dark mode în loc de fundal alb sau dacă ai închis un anumit banner ca să nu-ți mai apară la următoarea vizită. Dacă le refuzi, site-ul va funcționa în continuare, dar va uita aceste preferințe.
Avem apoi cookie-urile de analiză care ajută proprietarii de site-uri să înțeleagă cum este folosit site-ul: câți oameni intră, ce pagini sunt populare, cât timp petrec utilizatorii pe anumite secțiuni. E important de reținut că aceste date sunt agregate și folosite pentru a îmbunătăți site-ul; nu poți fi identificat cu ele și rămâi astfel anonim.
A patra categorie este cea a cookie-urilor de marketing sau publicitate. Acestea sunt cele mai intruzive și cele care stau, de fapt, în spatele reclamelor personalizate. Ele pot urmări activitatea ta pe mai multe site-uri și pot construi un profil al intereselor tale. Pe baza acestui profil, ți se afișează reclame relevante care par să știe deja ce te interesează.
Așadar, „Accept all” înseamnă că permiți toate categoriile: nu doar cele esențiale pentru funcționarea site-ului, ci și cele de preferințe, analiză și marketing. Asta înseamnă o experiență mai personalizată (site-ul îți ține minte setările, iar reclamele pot fi adaptate intereselor tale), dar și un nivel mai mare de colectare a datelor despre comportamentul tău online.
„Accept only necessary”, în schimb, limitează lucrurile la strictul necesar: site-ul funcționează, te poți loga, poți naviga și folosi funcțiile de bază, dar fără ca activitatea ta să fie urmărită pentru analiză sau publicitate.
Această împărțire în patru categorii, însă, poate să fie folosită de site-uri în favoarea lor, explică Bogdan Manolea, consultant juridic cu expertiză în dreptul tehnologiei informațiilor:
„Legea spune că, pentru utilizator, cookie-urile ar trebui împărțite în două categorii mari: categoria celor care sunt obligatorii la încărcarea site-ului și cele pentru care trebuie să obții consimțământ. Faptul că ele se împart în patru categorii sau trei sau mai multe și categoriile sunt denumite diferit este doar o găselniță de a împinge utilizatorul ca să accepte cât mai mult. La majoritatea site-urilor sunt mult mai multe categorii decât ar trebui să fie”.
Când devin problematice cookie-urile
De regulă, când oamenii vorbesc despre probleme de confidențialitate, se referă la cookie-urile de marketing setate de terți („third-party”) precum Google (prin instrumente ca Google Ads sau Google Analytics), Meta (prin Facebook Pixel) sau TikTok (prin TikTok Pixel). Aceste bucăți de cod sunt integrate în site-uri pentru a măsura traficul sau pentru a livra reclame, dar în același timp pot seta cookies care urmăresc activitatea utilizatorilor.
De exemplu, intri pe un magazin online și te uiți la o pereche de pantofi. Dacă site-ul folosește servicii de la Google sau Meta, aceste platforme pot nota interesul tău pentru acel produs. Ulterior, când intri pe alte site-uri sau aplicații care folosesc aceleași servicii, începi să vezi reclame pentru acei adidași sau pentru produse similare.
Același lucru se întâmplă și cu conținutul pe care îl citești. Dacă vizitezi mai multe site-uri care au integrate aceste servicii și citești articole despre, să zicem, vacanțe în Grecia, aceleași companii pot corela informațiile și pot deduce că ești interesat de călătorii. Apoi îți vor apărea reclame la hoteluri, bilete de avion sau pachete turistice.
Important este că aceste companii nu sunt prezente pe un singur site, ci pe foarte multe. De aceea, ele pot lega între ele fragmente din comportamentul tău online și pot construi un profil destul de detaliat al intereselor tale.
Cum ne protejează legislația europeană
Regulamentul General pentru Protecția Datelor (RGPD sau „GDPR”, în limba engleză) este legea principală a Uniunii Europene pentru protecția datelor personale. Deși nu vorbește mult despre cookies în mod direct, explică faptul că identificatori online precum cookies sau adrese IP pot fi folosiți pentru a recunoaște și urmări utilizatori.
Asta înseamnă că, atunci când cookie-urile sunt folosite pentru a identifica sau a urmări comportamentul unei persoane, ele intră sub incidența regulamentului și sunt tratate ca date personale.
În paralel cu GDPR, există și o legislație mai veche, dar foarte importantă în contextul cookie-urilor: Directiva ePrivacy, adoptată în 2002 și actualizată în 2009. Aceasta a fost cea care a dus, în practică, la apariția bannerelor de consimțământ pe care le vedem azi peste tot. Ea completează GDPR-ul și se concentrează mai direct pe confidențialitatea online.
Regulile combinate ale GDPR și ePrivacy sunt destul de clare în principiu: site-urile trebuie să obțină consimțământul utilizatorilor înainte de a activa orice cookies care nu sunt strict necesare pentru funcționarea site-ului. În plus, trebuie să explice într-un limbaj ușor de înțeles ce face fiecare tip de cookie, să păstreze dovada consimțământului și să permită utilizatorilor să își retragă acordul la fel de ușor cum l-au dat.
Mai există și o cerință importantă care ține de accesul la conținut: utilizatorii trebuie să poată folosi site-ul chiar dacă refuză cookie-urile opționale. Deci nu ar trebui să fii forțat să accepți tracking sau reclame personalizate doar ca să citești un articol sau să navighezi pe un site.
Cum se respectă în România „Ghidul european de bune practici”
Ca să înțelegem mai clar cum ar trebui să arate bannerele cu cookies, ne putem ghida după raportul publicat de European Data Protection Board (EDPB), un set de concluzii și bune practici despre cum ar trebui implementate bannerele de cookies în acord cu GDPR și Directiva ePrivacy.
Scopul lui declarat este să ofere autorităților și companiilor un standard minim de interpretare și să promoveze ideea de „privacy by design”, adică bannere care protejează efectiv utilizatorul și îi permit să ia decizii informate despre datele sale.
De exemplu, autoritățile europene consideră problematic faptul că unele site-uri oferă doar „Accept all” și o opțiune de personalizare, fără un buton de „Reject all” la fel de vizibil. O altă problemă ar putea fi că opțiunile de cookies sunt prebifate (mai ales la categoriile non-esențiale); în acest caz consimțământul nu e considerat valid. Utilizatorul trebuie să aleagă activ, nu să debifeze.
Folosirea culorilor sau a designului pentru a face „Accept all” mult mai vizibil decât „Reject” este considerată manipulativă. Alegerea nu trebuie ghidată vizual într-o singură direcție. De asemenea, unele site-uri pot să încerce să evite consimțământul invocând așa-zisul „interes legitim” pentru reclame sau tracking. Nu au voie să facă asta pentru cookies neesențiale precum publicitatea personalizată.
„Nu există termenul de interes legitim în legislația de e-privacy, deci e o invenție care știm că nu funcționează și că nu ar trebui să apară, legal vorbind”, spune Bogdan Manolea.
Ca să vedem dacă site-urile din România respectă aceste cerințe și cât de „reală” este, de fapt, alegerea utilizatorului, ne-am uitat la primele 10 cele mai citite site-uri din țară, care sunt înscrise în BRAT. Am vrut să vedem dacă există sau nu un „Reject all” la fel de vizibil ca „Accept all”, dacă sunt cookie-urile non-esențiale dezactivate implicit sau dacă designul este neutru sau împinge spre acceptare.

Din primele 10 site-uri ca trafic (Digi24, Libertatea, OLX, Știrile PROTV, HotNews, DigiSport, GSP, Adevărul, Antena 3 și Mediafax), doar Știrile PROTV oferă posibilitatea utilizatorilor să aleagă opțiunea „Respingeți toate” din prima. OLX oferă varianta „acceptă necesare”. În rest, pe toate celelalte site-uri, utilizatorii trebuie să intre în setările individuale pentru a respinge cookie-urile, adică să acceseze cel puțin un meniu în plus, în timp ce varianta „Acceptă toate” e clar cea mai ușor accesat.

Dacă ne uităm la design-ul bannerelor și meniurilor de cookies de la cele mai importante site-uri de la noi, putem concluziona că e destul de dificil pentru un utilizator obișnuit să aleagă doar cookie-urile necesare. E, de departe, mult mai convenabil să le accepte pe toate. Dincolo de asta, categoriile de cookies nu sunt organizate astfel încât să fie ușor de parcurs de oameni: nu sunt întotdeauna clare, se suprapun între ele sau folosesc termeni tehnici greu de diferențiat în practică.
Un exemplu de bune practici este site-ul eMAG:

Se văd clar categoriile mari de cookies și sunt ușor de diferențiat, iar varianta „refuză toate” apare încă de la început, dar și în meniul de personalizare.
De altfel, site-urile populare de retail din România precum Shein, Temu, eMAG sau Trendyol toate oferă din prima varianta „Respinge toate”. În aceeași situație sunt și marii jucători de pe piața rețelelor sociale: Meta, TikTok și Google oferă varianta de „Respinge toate” din prima.

Dacă ne uităm însă pe lista celor mai populare site-uri de media, problema recurentă găsită e legată de faptul că diferența dintre „Accept all” și celelalte opțiuni e una de efort. Acceptarea este, aproape întotdeauna, rapidă, intuitivă și vizibilă. Refuzul sau personalizarea presupun mai mulți pași, mai multă atenție și, uneori, navigarea prin meniuri tehnice greu de înțeles.
Site-urile de media de la noi folosesc un sistem comun pentru a măsura traficul și pentru a gestiona bannerele de cookie-uri, cel coordonat de BRAT (Biroul Român de Audit Transmedia). E vorba de SATI PMC, o platformă tehnică folosită care ajută site-urile să strângă consimțământul utilizatorilor într-un mod care să fie compatibil cu regulile GDPR.
Recomandarea de implementare a tehnologiei SATI a fost aprobată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în 2020 ceea ce înseamnă că soluția a fost considerată conformă din punct de vedere legal.
În practică însă, implementarea de multe ori nu respectă recomandările venite de la European Data Protection Board.
Diferența dintre site-urile de retail și social media, pe de o parte, și site-urile de presă, pe de altă parte, ține și de modelul de business și de dependența de publicitatea targetată. Platformele de retail (ca eMAG sau alți mari jucători) și rețelele sociale au, în general, baze mari de utilizatori logați, ceea ce le permite să funcționeze și fără a împinge agresiv tracking-ul prin cookies de la terți. Pentru ele, datele provin mai ales din conturile utilizatorilor.
În schimb, site-urile de presă depind mult mai direct de publicitate și de ecosistemul de advertising bazat pe tracking între site-uri. Aici, cookies-urile de la terți și profilarea utilizatorilor sunt esențiale pentru a vinde spațiu publicitar mai scump și mai targetat. Tocmai de aceea, în practică, pare să existe mai multă rezistență la implementări curate precum butonul de respingere ușor accesibil sau consimțământul real.
Ce să faci ca utilizator
Dincolo de toate aceste nuanțe, există câteva lucruri simple pe care le poți face ca utilizator. În primul rând, merită să cauți, măcar din când în când, opțiunea de „doar necesare” sau „respinge toate”, chiar dacă nu e la primul click. Înseamnă mai puțin tracking și mai puține date colectate despre tine. Dacă nu ai răbdare de fiecare dată, poți măcar să fii selectiv: pe site-uri unde intri rar sau care nu îți sunt esențiale, refuzul e, de obicei, cea mai simplă alegere.
În al doilea rând, e util să știi că ai control și după ce ai apăsat un buton. Majoritatea site-urilor îți permit să îți retragi consimțământul din paginile „Cookie settings” sau „Privacy”, de obicei în subsolul site-ului.
Iar la nivel mai larg, poți merge dincolo de bannerele de cookies. Majoritatea browserelor (Google Chrome, Mozilla Firefox sau Safari) au opțiuni prin care poți bloca cookies de tip „third-party” (cele folosite pentru tracking între site-uri). De exemplu, poți activa blocarea cookie-urilor de la terți sau poți seta browserul să șteargă istoricul și cookies-urile la fiecare închidere.
Există și browsere construite special pentru mai multă confidențialitate, precum Brave, care blochează implicit multe mecanisme de tracking fără să fie nevoie de setări complicate.
„E o inducere în eroare”
În viziunea lui Bogdan Manolea, problema principală a bannerelor în forma actuală nu este doar modul în care sunt implementate, ci chiar faptul că acest mecanism a ajuns să fie o soluție de fațadă pentru o problemă mult mai complexă. El consideră că actualul sistem creează mai degrabă confuzie decât control real pentru utilizatori.
„Mi se pare că partea asta legată de bannerele de cookie e o inducere de eroare. O inducere de eroare făcută de industrie”, spune el.
În opinia sa, problema fundamentală este că decizia este fragmentată și repetată excesiv, în loc să fie gestionată centralizat: „Pentru utilizator, din punctul meu de vedere, cel mai simplu ar fi ca să rezolvi chestia asta la nivel de browser.”
El explică faptul că un astfel de model ar simplifica radical experiența online și ar elimina oboseala decizională (așa numita „cookie fatigue”) generată de zecile de bannere întâlnite zilnic: „Adică tu la nivel de browser să stabilești care este standardul tău de privacy: no third party cookies sau no cookies în afară de cele obligatorii legal. Și atunci toate lucrurile ar fi mai simple”, explică Manolea.
De altfel, Comisia Europeană propune, prin noul Digital Omnibus (un pachet legislativ aflat în pregătire la nivelul Comisiei Europene, gândit ca o reformă de simplificare a regulilor digitale existente), exact un sistem de consimțământ centralizat la nivel de browser, în care utilizatorul ar putea da sau refuza acordul printr-un singur click, într-un format standardizat și „machine-readable”. În acest model, nu ar mai fi necesar ca fiecare site în parte să afișeze bannere separate, iar utilizatorul ar fi întrebat o singură dată, cu posibilitatea de a fi recontactat pentru consimțământ doar după o perioadă de șase luni.
Deosebirile sistemului din UE față de cele din SUA și China
În timp ce UE tratează protecția datelor ca un drept fundamental, SUA au o abordare mult mai relaxată. Nu există o lege federală unică echivalentă cu GDPR, iar regulile privind cookies și tracking-ul diferă de la stat la stat.
Modelul dominant american este „opt-out”, nu „opt-in”. Site-urile pot instala implicit cookies pentru advertising și analytics, iar utilizatorul trebuie ulterior să se retragă din tracking. Diferența e majoră față de Europa, unde multe cookies neesențiale nu pot fi activate înainte de acordul explicit al utilizatorului.
Cel mai apropiat exemplu de UE este statul California, prin legile CCPA și CPRA. Însă ele nu obligă site-urile să afișeze bannere identice cu cele europene, ci pun companiile să ofere mecanisme prin care utilizatorii se pot opune vânzării sau distribuirii datelor lor. De aici au apărut butoanele de tip „Do Not Sell or Share My Personal Information” pe multe site-uri americane. Practic, în SUA accentul cade mai mult pe transparență și posibilitatea de retragere ulterioară decât pe acordul prealabil.
Pe de altă parte, în China găsim probabil una dintre cele mai contradictorii abordări din lume în privința vieții private online. Pe hârtie, legislația chineză privind protecția datelor seamănă mult cu modelul european: companiile trebuie să obțină consimțământ pentru colectarea datelor personale, să explice cum le folosesc și să limiteze colectarea excesivă. În practică însă, sistemul funcționează într-un context politic complet diferit, în care statul păstrează puteri foarte largi de acces și supraveghere.
Legea relevantă este Personal Information Protection Law (PIPL), un fel de varianta chineză a GDPR. PIPL obligă companiile să aibă o bază legală pentru procesarea datelor și cere consimțământ informat pentru multe activități de tracking și profilare. În teorie, asta înseamnă că aplicațiile și platformele chineze nu pot colecta orice date doresc fără justificare. Autoritățile chineze au început chiar să sancționeze agresiv aplicațiile care colectează excesiv informații personale sau cer permisiuni inutile pentru locație, contacte sau alte date de acest tip. În ultimii ani, autoritatea chineză de reglementare a internetului, Cyberspace Administration of China, a publicat liste cu sute de aplicații obligate să își corecteze practicile de colectare a datelor.
Totuși, diferența majoră față de Europa este, practic, filozofia din spatele sistemului. În UE, protecția datelor este gândită ca o protecție a cetățeanului atât împotriva companiilor private, cât și împotriva abuzurilor statului. În China, legislația privind datele este strâns legată de ideea de suveranitate cibernetică și de controlul statului asupra ecosistemului digital.
Unul dintre cele mai importante exemple este așa-numita National Intelligence Law din 2017. Articolul 7 al legii spune că „orice organizație și cetățean trebuie să susțină, să asiste și să coopereze cu activitatea serviciilor de informații ale statului”. În practică, asta înseamnă că firmele chineze pot fi obligate legal să ofere autorităților acces la datele utilizatorilor, inclusiv informații despre locație, istoricul activităților online, identificatori de device, metadata sau alte date stocate de platforme.






