Politica de Cookies

📅Creat: 13 februarie 2026
✏️Actualizat: acum 1 lună

Politica de Cookies

Pe scurt

Politica de cookies este documentul prin care operatorul unui site web informează utilizatorii despre ce cookie-uri folosește, de ce le folosește și cum pot fi gestionate. În România, utilizarea cookie-urilor este reglementată de Legea nr. 506/2004 (care transpune Directiva ePrivacy) și de GDPR, iar nerespectarea obligațiilor poate atrage amenzi de până la 20 de milioane de euro.

Legislația privind cookie-urile în România se bazează pe mai multe acte normative complementare:

Legislația națională

Art. 4 alin. (5) din Legea nr. 506/2004 — „Stocarea de informații sau obținerea accesului la informația stocată în echipamentul terminal al unui abonat ori utilizator este permisă numai cu îndeplinirea în mod cumulativ a următoarelor condiții: a) abonatul sau utilizatorul în cauză și-a exprimat acordul; b) abonatului sau utilizatorului în cauză i s-au furnizat, anterior exprimării acordului, în conformitate cu prevederile art. 12 din Legea nr. 677/2001, cu modificările și completările ulterioare, informații clare și complete care: (i) să fie expuse într-un limbaj ușor de înțeles și să fie ușor accesibile abonatului sau utilizatorului; (ii) să includă mențiuni cu privire la scopul procesării informațiilor stocate de abonat sau utilizator ori informațiilor la care acesta are acces." Sursa: Legea nr. 506/2004, consolidarea din 08.10.2024

Acest articol este norma-cheie care reglementează utilizarea cookie-urilor în România. El transpune art. 5 alin. (3) din Directiva 2002/58/CE (Directiva ePrivacy).

Notă: Textul legal face referire la art. 12 din Legea nr. 677/2001 (vechea lege a protecției datelor, abrogată prin GDPR). În practică, cerințele de informare se interpretează în conformitate cu art. 13-14 din GDPR (Regulamentul 2016/679), care a înlocuit Legea nr. 677/2001 începând cu 25 mai 2018.

Art. 4 alin. (6) din Legea nr. 506/2004 — Consimțământul nu este necesar pentru cookie-urile strict necesare: „Dispozițiile alin. (5) nu împiedică stocarea sau accesul de natură tehnică în scopul exclusiv al efectuării transmisiei unei comunicări printr-o rețea de comunicații electronice sau în scopul furnizării unui serviciu al societății informaționale solicitat expres de abonat sau utilizator." Sursa: Legea nr. 506/2004

Legislația europeană

  • Regulamentul (UE) 2016/679 (GDPR) — reglementează condițiile consimțământului, drepturile persoanelor vizate și obligațiile operatorilor de date. Se aplică în măsura în care cookie-urile colectează date cu caracter personal.
  • Directiva 2002/58/CE (Directiva ePrivacy) — stabilește regulile specifice privind confidențialitatea comunicațiilor electronice, inclusiv utilizarea cookie-urilor, transpusă în dreptul intern prin Legea nr. 506/2004.

Explicație detaliată

Cookie-urile sunt fișiere text de dimensiuni mici stocate pe dispozitivul utilizatorului (computer, telefon, tabletă) de către serverul web al site-ului vizitat. Ele conțin informații care permit site-ului să „recunoască" utilizatorul la vizitele ulterioare.

Cookie-urile se clasifică după mai multe criterii:

După durata de stocare:

  • Cookie-uri de sesiune — se șterg automat la închiderea browserului
  • Cookie-uri persistente — rămân stocate până la expirarea perioadei stabilite sau până la ștergerea manuală

După proveniență:

  • Cookie-uri proprii (first-party) — plasate de site-ul vizitat
  • Cookie-uri ale terților (third-party) — plasate de domenii externe (reclame, analytics, social media)

După funcționalitate:

  • Strict necesare — esențiale pentru funcționarea site-ului (ex.: sesiunea de autentificare, coșul de cumpărături). Nu necesită consimțământ.
  • De preferințe — rețin setările utilizatorului (limbă, regiune). Necesită consimțământ.
  • De statistică/analytics — măsoară traficul și comportamentul utilizatorilor (ex.: Google Analytics). Necesită consimțământ.
  • De marketing/publicitate — urmăresc utilizatorul pe site-uri diferite pentru reclame personalizate. Necesită consimțământ.

Conform art. 4 alin. (5) din Legea nr. 506/2004 coroborat cu art. 7 din GDPR, consimțământul pentru cookie-uri trebuie să fie:

  1. Liber — utilizatorul nu trebuie forțat (accesul la site nu poate fi condiționat de acceptarea tuturor cookie-urilor)
  2. Specific — pentru fiecare categorie de cookie-uri în parte
  3. Informat — utilizatorul trebuie să știe ce cookie-uri se folosesc și în ce scop
  4. Univoc — printr-o acțiune clară (bifarea unei căsuțe, apăsarea unui buton „Accept")

Important: Simpla continuare a navigării pe site nu constituie consimțământ valid, conform interpretării CJUE în cauza C-673/17 (Planet49, 1 octombrie 2019) și a ghidurilor EDPB.

Cookie-urile strict necesare — excepția de la consimțământ

Nu este necesar consimțământul pentru cookie-urile care sunt strict necesare funcționării site-ului, conform art. 4 alin. (6) din Legea nr. 506/2004. Exemple:

  • Cookie-uri pentru menținerea sesiunii de autentificare
  • Cookie-uri pentru funcționarea coșului de cumpărături
  • Cookie-uri de echilibrare a încărcării serverelor (load balancing)
  • Cookie-uri care rețin alegerea utilizatorului privind cookie-urile (consent cookie)

Conținutul politicii de cookies

O politică de cookies conformă trebuie să conțină cel puțin:

  • Identitatea operatorului (numele, datele de contact, DPO dacă este cazul)
  • Ce sunt cookie-urile — o explicație accesibilă
  • Lista completă a cookie-urilor folosite, cu:
    • Denumirea fiecărui cookie
    • Scopul utilizării
    • Tipul (propriu/terț)
    • Durata de stocare
    • Categoria (necesar, preferințe, statistică, marketing)
  • Temeiul legal al prelucrării (consimțământ sau interes legitim pentru cele strict necesare)
  • Cum poate utilizatorul gestiona cookie-urile — instrucțiuni pentru acceptare, refuz sau ștergere (inclusiv din setările browserului)
  • Consecințele refuzului cookie-urilor
  • Drepturile utilizatorului conform GDPR (acces, rectificare, ștergere, opoziție etc.)
  • Datele de contact ale ANSPDCP pentru depunerea plângerilor

Din punct de vedere tehnic, site-ul trebuie să implementeze un banner de cookie-uri care:

  1. Se afișează înainte de a plasa orice cookie non-esențial
  2. Oferă opțiunea de a accepta sau refuza fiecare categorie
  3. Nu folosește căsuțe prebifate (dark patterns)
  4. Permite retragerea consimțământului la fel de ușor cum a fost dat
  5. Blochează efectiv cookie-urile non-esențiale până la obținerea consimțământului

Aspecte practice

Greșeli frecvente

  • Cookie wall — condiționarea accesului la conținut de acceptarea tuturor cookie-urilor. ANSPDCP și EDPB consideră această practică neconformă.
  • Consimțământ implicit — afirmații de tipul „Prin continuarea navigării acceptați cookie-urile" nu sunt valide.
  • Căsuțe prebifate — CJUE a stabilit clar în cauza Planet49 că acestea nu constituie consimțământ valid.
  • Lipsa posibilității de refuz — banner-ul trebuie să ofere o opțiune de refuz la fel de vizibilă ca cea de acceptare.
  • Cookie-uri plasate înainte de consimțământ — cookie-urile non-esențiale (analytics, marketing) nu trebuie activate decât după obținerea consimțământului.

Ce trebuie să facă un site web

  1. Auditați toate cookie-urile utilizate pe site
  2. Clasificați-le pe categorii (necesare, preferințe, statistică, marketing)
  3. Implementați un mecanism de consimțământ (CMP — Consent Management Platform)
  4. Redactați o politică de cookies clară și completă
  5. Stocați dovezile consimțământului (log-uri cu data, ora, versiunea politicii acceptate)
  6. Revizuiți periodic lista de cookie-uri — acestea se schimbă odată cu actualizările site-ului

Sancțiuni

Nerespectarea obligațiilor privind cookie-urile poate atrage:

  • Amendă conform GDPR — până la 20 milioane EUR sau 4% din cifra de afaceri anuală globală (pentru încălcări ale principiilor de prelucrare, inclusiv consimțământul)
  • Amendă conform Legii nr. 506/2004 — contravențiile sunt sancționate cu amenzi între 500 lei și 100.000 lei (art. 12 din Legea nr. 506/2004)
  • Avertisment din partea ANSPDCP

În practică, ANSPDCP a emis avertismente și amenzi pentru lipsa unui mecanism valid de consimțământ pentru cookie-uri.

Aplicații mobile și SDK-uri de tracking

Regulile privind cookie-urile se aplică și aplicațiilor mobile (Android, iOS). Art. 4 alin. (5) din Legea nr. 506/2004 menționează „echipamentul terminal" — concept care include smartphone-uri, tablete și alte dispozitive mobile.

Ce tehnologii sunt acoperite în aplicații mobile:

  • SDK-uri de analytics (Google Analytics, Firebase Analytics, Flurry)
  • Advertising identifiers (IDFA pe iOS, GAID pe Android)
  • SDK-uri de publicitate (AdMob, Meta Audience Network)
  • Crash reporting SDKs (Crashlytics, Sentry)

⚠️ Opinie specialistă — Cookie Information „Regulile de confidențialitate care se aplică cookie-urilor se aplică și aplicațiilor mobile și SDK-urilor pentru aplicații mobile. Este necesar consimțământul explicit înainte de orice tracking." Sursa: Cookie Information — Does GDPR apply to mobile apps?

Cerințe specifice pentru aplicații:

  1. App Tracking Transparency (ATT) — Pe iOS, de la versiunea 14.5, Apple cere consimțământ explicit printr-un prompt de sistem pentru orice tracking cross-app
  2. Google Data Safety — Play Store cere declararea tuturor datelor colectate și a scopurilor
  3. Consimțământ granular — Utilizatorii trebuie să poată accepta analytics separat de publicitate
  4. Timing corect — Consimțământul trebuie cerut înaintea inițializării SDK-urilor de tracking

Browser fingerprinting și server-side tracking

Browser fingerprinting este o tehnică care identifică utilizatorii pe baza caracteristicilor unice ale browserului și dispozitivului lor (rezoluție ecran, fonturi instalate, setări browser) — fără a stoca fișiere local.

Server-side tracking mută colectarea datelor de pe dispozitivul utilizatorului pe servere proprii, evitând anumite limitări tehnice ale cookie-urilor.

Aplicabilitatea legală a acestor tehnici:

EDPB (European Data Protection Board) a clarificat în Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive că aceste tehnici intră sub incidența Directivei ePrivacy:

Art. 5 alin. (3) din Directiva ePrivacy acoperă nu doar stocarea informațiilor, ci și „obținerea accesului la informații deja stocate" în echipamentul terminal. Browser fingerprinting utilizează informații stocate (setări, fonturi, configurații) pentru a crea un identificator unic.

⚠️ Opinie specialistă — Electronic Frontier Foundation (EFF) „Atunci când scopul fingerprinting-ului este urmărirea persoanelor, aceasta constituie prelucrare de date cu caracter personal și intră sub incidența GDPR." Sursa: EFF — The GDPR and Browser Fingerprinting

Concluzie practică: Atât fingerprinting-ul cât și server-side tracking-ul necesită consimțământ atunci când sunt utilizate pentru profilare sau publicitate comportamentală. Faptul că nu se stochează fișiere local nu elimină obligația de consimțământ.

Sancțiuni ANSPDCP pentru cookie-uri — cazuri concrete

ANSPDCP a aplicat sancțiuni specifice pentru încălcări ale regulilor privind cookie-urile în România:

Cazuri relevante:

  1. Restart Energy One S.A. (septembrie 2023) — Amendă de 124.150 lei (25.000 EUR) plus 40.000 lei (8.000 EUR) pentru:

    • Cookie-uri non-esențiale instalate înainte de consimțământ
    • Butonul „Refuz" nu dezactiva efectiv cookie-urile
    • Date personale accesibile public timp de 2 ani și jumătate Sursa: ANSPDCP — comunicat

  2. Amenzi repetate în 2023-2024 — ANSPDCP a aplicat 2 amenzi de câte 10.000 lei anual pentru nerespectarea cerințelor privind cookies, conform raportului Filip & Company pe 2024. Sursa: Revista Biz — Amenzi protecția datelor 2024

Statistici generale 2024:

  • Total amenzi GDPR: 1.855.807 lei (83 de amenzi)
  • Principalele motive: lipsa consimțământului, date accesibile neautorizat, nerespectarea drepturilor persoanelor vizate
  • Tendință: amenzile pentru cookies sunt încă relativ mici comparativ cu alte state UE, dar ANSPDCP urmează trendul european de intensificare

Cookie wall-urile — mecanisme care blochează accesul la conținut până la acceptarea tuturor cookie-urilor — sunt în general considerate non-conforme cu GDPR.

EDPB Opinion 08/2024 — „Consent or Pay":

În aprilie 2024, EDPB a emis o opinie importantă privind modelele „consent or pay" utilizate de platforme mari:

⚠️ Opinie specialistă — EDPB Opinion 08/2024 „Modelele «consent or pay» nu respectă, în general, cerințele pentru un consimțământ valid conform GDPR, deoarece nu oferă o alternativă echivalentă gratuită." Sursa: EDPB — Opinion 08/2024 on Consent or Pay Models

Condiții pentru excepții posibile:

  1. Alternativa plătită trebuie să fie rezonabilă — prețul nu poate fi prohibitiv
  2. Utilizatorul trebuie să aibă o alegere reală — nu doar între „accept tracking" sau „plătești"
  3. Operatorii mici pot avea mai multă flexibilitate decât platformele mari cu poziție dominantă
  4. Transparența privind ce implică fiecare opțiune este obligatorie

ICO (Marea Britanie) a publicat ghiduri similare, confirmând că „consent or pay" poate fi acceptabil în anumite condiții, dar necesită o analiză atentă de la caz la caz.

Implementarea consimțământului în Single Page Applications (SPA)

Single Page Applications (React, Angular, Vue.js) prezintă provocări tehnice specifice pentru managementul consimțământului cookie-urilor:

Provocări principale:

  1. Încărcarea dinamică a scripturilor — SPA-urile încarcă conținut fără reîncărcarea paginii, iar scripturile terțe pot fi injectate după navigare
  2. Starea aplicației — Consimțământul trebuie verificat la fiecare navigare internă
  3. Hidratare (SSR/SSG) — Server-side rendering poate iniția scripturi înainte ca banner-ul să se afișeze

Soluții tehnice recomandate:

⚠️ Opinie specialistă — OneTrust (CMP major) „Pentru SPA-uri, este necesar să activați suportul specific pentru Single Page Applications în platforma CMP. Banner-ul de cookies trebuie să intercepteze navigarea client-side și să reverifieze starea consimțământului." Sursa: OneTrust — Single Page Applications Guidance

Best practices pentru dezvoltatori:

  • Utilizați un Consent Management Platform (CMP) cu suport nativ pentru SPA
  • Implementați blocarea condiționată a tag-urilor până la obținerea consimțământului
  • Stocați consimțământul în localStorage și verificați-l la fiecare route change
  • Pentru servicii terțe încărcate dinamic: utilizați stub scripts care se înlocuiesc după consimțământ

Actualizare: Regulamentul ePrivacy retras în 2025

Actualizare importantă pentru cadrul legislativ:

La 11 februarie 2025, Comisia Europeană a retras oficial propunerea de Regulament ePrivacy [COM(2017) 10 final] din programul său de lucru pentru 2025.

Comisia Europeană — Work Programme 2025 — „Se retrage propunerea de Regulament privind respectarea vieții private în comunicațiile electronice din cauza lipsei unui consens pentru adoptare." Sursa: Hunton Privacy Blog — European Commission Withdraws ePrivacy Regulation

Consecințe practice:

  1. Directiva ePrivacy 2002/58/CE rămâne în vigoare — legislația actuală privind cookie-urile nu se schimbă
  2. Legea nr. 506/2004 rămâne aplicabilă în România fără modificări previzibile
  3. Incertitudine juridică persistă pentru cookie walls, fingerprinting și alte aspecte neacoperite explicit
  4. Nu există un calendar pentru o nouă propunere legislativă

Operatorii trebuie să continue să respecte cadrul actual bazat pe Directiva ePrivacy, GDPR și legislațiile naționale de transpunere.

Regimuri de sancționare: Legea 506/2004 vs. GDPR

Operatorii pot fi sancționați pe două temeiuri juridice distincte pentru încălcări privind cookie-urile:

1. Legea nr. 506/2004 (art. 12):

  • Amenzi: 500 — 100.000 lei
  • Se aplică pentru: încălcări specifice art. 4 alin. (5) și (6) — lipsa consimțământului pentru stocarea/accesarea informațiilor pe dispozitivul utilizatorului
  • Competență: ANSPDCP

2. GDPR (art. 83):

  • Amenzi: până la 20 milioane EUR sau 4% din cifra de afaceri globală
  • Se aplică pentru: încălcări ale principiilor de prelucrare (legalitate, transparență, minimizare), drepturilor persoanelor vizate, sau condițiilor de consimțământ
  • Competență: ANSPDCP

Când se aplică fiecare?

Situație Temeiul sancționării
Cookie-uri plasate fără consimțământ Legea 506/2004 și/sau GDPR
Lipsa informării despre scopuri GDPR
Cookie-uri care colectează date personale ilegal GDPR
Nerespectarea dreptului de retragere GDPR

Pot fi aplicate ambele simultan? Da, dar în practică ANSPDCP optează pentru temeiul care oferă sancțiunea cea mai proporțională cu gravitatea încălcării. În cazul Restart Energy S.A., au fost aplicate amenzi separate pentru securitatea datelor (GDPR) și pentru cookies (probabil Legea 506/2004).

Site-urile business-to-business (B2B) care se adresează exclusiv profesioniștilor nu beneficiază de excepții de la regulile privind cookie-urile.

Reguli aplicabile identice:

  • Art. 4 alin. (5) din Legea nr. 506/2004 vorbește de „abonat sau utilizator" — fără distincție între consumatori și profesioniști
  • GDPR protejează date ale persoanelor fizice — chiar dacă vizitatorii sunt reprezentanți de companii, aceștia rămân persoane fizice

Diferențe practice:

  1. Consimțământul rămâne obligatoriu pentru analytics și marketing
  2. Interesul legitim poate fi mai ușor de justificat pentru analytics de bază în context B2B
  3. Informarea poate fi adaptată pentru un public profesionist (mai puțin explicativă)
  4. Cookie-urile strict necesare rămân exceptate (sesiune, autentificare, funcționalitate de bază)

⚠️ Opinie practică — Law Stack Exchange „Conform Directivei ePrivacy, consimțământul pentru cookies este obligatoriu indiferent de tipul de utilizator — nu există excepții pentru site-uri B2B sau utilizatori corporativi." Sursa: Law Stack Exchange — Is consent required for corporate subscribers?

Practică și opinii

⚠️ Opinie specialistă — EDPB (European Data Protection Board) Ghidurile EDPB 05/2020 privind consimțământul conform GDPR precizează clar că „acțiunile de tip scroll, swipe sau continuarea navigării nu pot constitui consimțământ valid" și că „cookie wall-urile sunt în general non-conforme cu GDPR, deoarece nu oferă un consimțământ liber". Sursa: Guidelines 05/2020 on consent under Regulation 2016/679, 4 mai 2020

⚠️ Opinie specialistă — CJUE, Cauza C-673/17 (Planet49) Curtea de Justiție a UE a stabilit că „un consimțământ acordat prin intermediul unei căsuțe bifate în prealabil nu este un consimțământ valabil" și că „informarea trebuie să includă și durata de funcționare a cookie-urilor, precum și dacă terți pot avea acces la aceste cookie-uri". Sursa: CJUE, Hotărârea din 1 octombrie 2019, C-673/17

⚠️ Opinie specialistă — ANSPDCP Autoritatea Națională de Supraveghere a emis recomandări prin care subliniază că operatorii de site-uri trebuie să implementeze mecanisme de consimțământ granular (pe categorii) și să asigure posibilitatea retragerii consimțământului în orice moment. Sursa: ANSPDCP — www.dataprotection.ro

Legislație europeană

Directive și regulamente aplicabile

Cadrul legislativ european privind cookie-urile se bazează pe interacțiunea a două instrumente principale: Directiva ePrivacy (lex specialis pentru comunicații electronice) și GDPR (lex generalis pentru protecția datelor cu caracter personal).

Directiva 2002/58/CE (Directiva ePrivacy), art. 5 alin. (3) — „Statele membre se asigură că stocarea de informații sau obținerea accesului la informații deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă numai cu condiția ca abonatul sau utilizatorul în cauză să-și fi dat consimțământul, după ce a primit informații clare și cuprinzătoare, în conformitate cu Directiva 95/46/CE, printre altele cu privire la scopurile prelucrării." Sursa: Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002

Directiva 2009/136/CE (Citizens' Rights Directive) — A modificat fundamental art. 5 alin. (3) din Directiva ePrivacy, înlocuind mecanismul de opt-out (utilizatorul putea refuza) cu un mecanism de opt-in (consimțământul prealabil obligatoriu). Această directivă a introdus regimul actual al cookie-urilor în UE. Sursa: Directiva 2009/136/CE din 25 noiembrie 2009

Regulamentul (UE) 2016/679 (GDPR), art. 7 și considerentul 32 — Definește condițiile consimțământului: liber, specific, informat și univoc. Considerentul 32 precizează explicit că „tăcerea, căsuțele prebifate sau inacțiunea nu ar trebui să constituie consimțământ". Se aplică ori de câte ori cookie-urile prelucrează date cu caracter personal. Sursa: Regulamentul (UE) 2016/679 (GDPR)

Transpunerea în dreptul român

România a transpus Directiva ePrivacy prin Legea nr. 506/2004, iar modificările aduse de Directiva 2009/136/CE au fost integrate prin Legea nr. 235/2015 care a modificat art. 4 alin. (5) și (6) din Legea nr. 506/2004, trecând la regimul de consimțământ prealabil (opt-in).

Particularități ale transpunerii românești:

  • Sancțiuni mai blânde la nivel național — Legea nr. 506/2004 prevede amenzi între 500 și 100.000 lei (art. 12), semnificativ sub plafoanele GDPR. În practică, ANSPDCP aplică frecvent GDPR pentru sancțiuni mai mari.
  • Suprapunere de competențe — Atât ANSPDCP (pentru aspecte GDPR), cât și ANCOM (pentru aspecte de comunicații electronice) au competențe în domeniul cookie-urilor, ceea ce poate genera incertitudini jurisdicționale.
  • Fără reglementare specifică privind cookie wall-urile — Spre deosebire de Franța (CNIL a emis ghiduri detaliate) sau Germania (BGH a confirmat interdicția), România nu are reglementare expresă, bazându-se pe interpretarea EDPB.
  • Legea nr. 190/2018 completează cadrul de aplicare a GDPR la nivel național, inclusiv pentru prelucrările de date efectuate prin cookie-uri.

Jurisprudență CJUE

Cauza C-673/17, Planet49 GmbH (1 octombrie 2019) — CJUE a stabilit că: (1) consimțământul pentru plasarea cookie-urilor trebuie să fie activ — o căsuță prebifată nu constituie consimțământ valid; (2) informarea utilizatorului trebuie să includă durata de funcționare a cookie-urilor și dacă terții pot avea acces la acestea; (3) aceste cerințe se aplică indiferent dacă datele stocate sunt sau nu date cu caracter personal. Sursa: CJUE, Hotărârea din 1 octombrie 2019, C-673/17

Cauza C-604/22, IAB Europe (7 martie 2024) — CJUE a examinat sistemul Transparency and Consent Framework (TCF) utilizat de industria de publicitate online și a stabilit că TC String (șirul de consimțământ generat de platformele CMP) constituie date cu caracter personal, iar IAB Europe este operator asociat împreună cu participanții la framework. Decizia are implicații majore pentru modul în care cookie-urile de publicitate sunt gestionate la nivel de industrie. Sursa: CJUE, Hotărârea din 7 martie 2024, C-604/22

Cauza C-252/21, Meta Platforms și alții (4 iulie 2023) — Deși nu vizează direct cookie-urile, CJUE a clarificat că o autoritate de concurență poate constata încălcări GDPR în contextul analizei pozițiilor dominante. Relevant pentru cookie-urile terților și ecosistemele de tracking: consimțământul colectat de platforme dominante poate fi considerat nevali dacă utilizatorul nu are o alternativă reală. Sursa: CJUE, Hotărârea din 4 iulie 2023, C-252/21

Aspecte practice din perspectivă europeană

Regulamentul ePrivacy — propunere retrasă: Comisia Europeană propusese în ianuarie 2017 un Regulament privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice [COM(2017) 10 final], menit să înlocuiască Directiva 2002/58/CE. Propunerea prevedea:

  • Reguli uniforme la nivel UE (regulament direct aplicabil, fără necesitatea transpunerii)
  • Interzicerea explicită a cookie wall-urilor
  • Posibilitatea setării preferințelor de confidențialitate direct din browser (consent by design)
  • Aplicarea sancțiunilor la nivelul GDPR (până la 4% din cifra de afaceri)

Actualizare (februarie 2025): Comisia Europeană a retras oficial propunerea de Regulament ePrivacy la 11 februarie 2025, invocând lipsa unui consens între co-legislatori și faptul că propunerea era depășită. Prin urmare, Directiva 2002/58/CE rămâne în vigoare fără un calendar previzibil pentru înlocuire. Operatorii trebuie să continue să respecte cadrul actual (Directiva ePrivacy transpusă prin Legea 506/2004 + GDPR).

Implicații transfrontaliere:

  • Cookie-urile plasate pe un site care vizează utilizatori din mai multe state membre UE trebuie să respecte legislația fiecărui stat vizat, conform principiului țării de destinație aplicabil în materia ePrivacy (spre deosebire de GDPR, care aplică mecanismul one-stop-shop).
  • Digital Services Act (Regulamentul 2022/2065) completează cadrul prin impunerea de obligații de transparență pentru platformele care utilizează sisteme de recomandare bazate pe profilare (relevante pentru cookie-urile de marketing ale platformelor foarte mari).
  • Inițiativa Privacy Sandbox a Google (eliminarea treptată a cookie-urilor terților din Chrome) și standardele Global Privacy Control (GPC) pot schimba fundamental modul de funcționare a consimțământului pentru cookie-uri în viitor.

Acțiuni de aplicare la nivel european: Autoritățile de protecție a datelor din UE au aplicat amenzi semnificative pentru nerespectarea regulilor privind cookie-urile, printre care: CNIL (Franța) — 150 milioane EUR pentru Google și 60 milioane EUR pentru Facebook (2022); Garante (Italia) — 10 milioane EUR pentru Clearview AI; AEPD (Spania) — amenzi repetate pentru lipsa mecanismelor de consimțământ. ANSPDCP (România) a emis predominant avertismente, dar tendința europeană sugerează o intensificare viitoare a sancțiunilor.

Jurisprudență națională

Decizii ANSPDCP relevante (2023-2025)

ANSPDCP a aplicat sancțiuni consistente pentru nerespectarea obligațiilor privind cookie-urile, în baza Art. 4 alin. (5) din Legea nr. 506/2004 și a Art. 13 din GDPR.

Decizii de sancționare (PRO aplicarea legii)

ANSPDCP — SYNOBIS MEDICAL S.R.L. (10 decembrie 2024) Operatorul a stocat și accesat date personale prin intermediul cookie-urilor fără a obține consimțământul expres al utilizatorilor și fără a-i informa. Sancțiune: amendă de 10.000 lei pentru încălcarea Art. 4(5) și Art. 13(1)(i) din Legea 506/2004. Sursa: GDPRhub — ANSPDCP SYNOBIS MEDICAL

ANSPDCP — SC iHUNT TECHNOLOGY IMPORT-EXPORT SA (22 decembrie 2025) Site-ul operatorului a instalat cookie-uri fără consimțământul prealabil al utilizatorilor și fără informare adecvată. Sancțiune: amendă de 20.000 lei pentru încălcarea Art. 4(5)(a) și (b) din Legea 506/2004. Sursa: JURIDICE.ro — iHUNT cookie sanctions

ANSPDCP — YDAIL CONSTRUCT SRL (2025) Site-ul a stocat module cookie care nu erau strict necesare din punct de vedere tehnic, fără consimțământul utilizatorilor. Sancțiune: amendă de 20.000 lei. Sursa: JURIDICE.ro — YDAIL cookie sanctions

ANSPDCP — Călin Georgescu (iunie 2025) În perioada 6 decembrie 2024 — 3 aprilie 2025, site-ul a instalat cookie-uri fără consimțământul persoanelor vizate. De asemenea, operatorul nu a informat persoanele vizate ale căror date personale au fost colectate prin formularul de contact. Sancțiune: două amenzi totalizând 10.000 EUR (aproximativ 50.000 lei) pentru încălcarea Art. 12-14 din GDPR și Art. 4(5) din Legea 506/2004. Sursa: GDPRhub — ANSPDCP Georgescu Călin

ANSPDCP — Magazine online și agenții de turism (2025) Operator sancționat cu 15.000 lei pentru stocarea de cookie-uri non-esențiale pe dispozitivele utilizatorilor fără informare clară și fără consimțământ explicit. Sancțiune: amendă de 15.000 lei. Sursa: StartupCafe — Agenție turism amendată

Litigii în instanță privind sancțiunile ANSPDCP (NUANȚE)

Curtea de Apel București — Inteligo Media SRL (avocatnet.ro) vs. ANSPDCP (2019-2022) ANSPDCP a aplicat operatorului avocatnet.ro o amendă de 42.714 lei (aproximativ 9.000 EUR) pentru încălcări ale Art. 5(1)(a) și (b), Art. 6(1)(a) și Art. 7 din GDPR, legate de procesarea datelor prin cookies fără consimțământ valid. Operatorul a contestat sancțiunea la Tribunalul București, care a respins plângerea, adoptând argumentele ANSPDCP. Curtea de Apel București a sesizat CJUE cu întrebări preliminare privind interpretarea Directivei ePrivacy și GDPR în contextul cookie-urilor. Instanța a reținut că identificarea temeiurilor legale pentru prelucrarea datelor personale prin cookie-uri depinde de interpretarea coroborată a Directivei 2002/58/CE și GDPR. Sursa: Avocatnet.ro — Litigiu ANSPDCP CJUE

Curtea de Apel București și Tribunalul București — Menținerea amenzilor ANSPDCP (2022-2024) Instanțele au menținut în mod constant amenzile aplicate de ANSPDCP pentru nerespectarea obligațiilor GDPR și ePrivacy. Soluții definitive au fost pronunțate în favoarea ANSPDCP în multiple dosare legate de protecția datelor personale, inclusiv cazuri privind cookie-uri. Instanța a reținut că operatorii au obligația de a implementa mecanisme de consimțământ conforme înainte de plasarea cookie-urilor non-esențiale. Sursa: JURIDICE.ro — Soluții definitive în favoarea ANSPDCP

Tendințe jurisprudențiale

Analiza deciziilor ANSPDCP și a jurisprudenței instanțelor relevă următoarele tendințe clare:

  1. Aplicare strictă a cerințelor de consimțământ — ANSPDCP nu tolerează instalarea cookie-urilor non-esențiale fără consimțământ prealabil explicit. Simpla informare nu este suficientă; utilizatorul trebuie să acționeze activ (click pe „Accept").

  2. Sancțiuni în creștere progresivă — Amenzile au crescut de la niveluri simbolice (10.000 lei în 2023-2024) la sume semnificative (20.000-50.000 lei în 2025). Tendința europeană indică intensificarea viitoare a sancțiunilor.

  3. Verificarea efectivă a implementării tehnice — ANSPDCP verifică nu doar existența unei politici de cookies, ci și funcționarea efectivă a mecanismelor de consimțământ. Cookie-urile trebuie blocate tehnic până la obținerea consimțământului.

  4. Conformitate cu standardele CJUE — Instanțele românești aplică constant principiile stabilite de CJUE în cauza Planet49 (C-673/17): căsuțele prebifate nu constituie consimțământ valid, iar simpla navigare nu echivalează cu consimțământul.

  5. Revizuire judiciară limitată — Tribunalul București și Curtea de Apel București mențin în general sancțiunile ANSPDCP, recunoscând expertiza autorității în materie de protecție a datelor. Contestațiile au succes redus, în special când încălcările sunt tehnic dovedite.

  6. Intensificarea controalelor tematice — ANSPDCP desfășoară investigații tematice concentrate pe anumite sectoare (magazine online, agenții de turism, platforme AI), rezultând multiple sancțiuni simultane.

Întrebări frecvente

Ce cookie-uri pot fi plasate fără consimțământ? Doar cookie-urile strict necesare funcționării site-ului: sesiune de autentificare, coș de cumpărături, cookie-ul care reține preferințele de consimțământ (consent cookie), load balancing.

Google Analytics necesită consimțământ? Da. Cookie-urile de analytics colectează date despre comportamentul utilizatorilor și nu sunt considerate strict necesare. Consimțământul este obligatoriu înainte de activarea lor.

Pot condiționa accesul la site de acceptarea cookie-urilor? Nu, în principiu. „Cookie wall-urile" sunt considerate non-conforme de EDPB și ANSPDCP, deoarece nu permit un consimțământ liber. Excepții pot exista pentru conținut premium, dar practica rămâne controversată.

Cât timp trebuie stocat consimțământul? Legea nu stabilește un termen fix. Practica recomandată este reîmprospătarea consimțământului la fiecare 6-12 luni sau la modificarea semnificativă a politicii de cookies.

Ce se întâmplă dacă un utilizator refuză cookie-urile? Site-ul trebuie să funcționeze normal, cel puțin pentru funcționalitățile de bază. Pot fi dezactivate funcții legate de personalizare sau analytics, dar accesul nu trebuie blocat complet.

Cum pot utilizatorii să-și retragă consimțământul? Site-ul trebuie să ofere un mecanism simplu — de obicei un link sau un buton accesibil permanent (ex.: „Setări cookies" în footer) prin care utilizatorul poate modifica opțiunile oricând.

Referințe

  1. Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice
  2. Regulamentul (UE) 2016/679 (GDPR)
  3. Directiva 2002/58/CE (Directiva ePrivacy)
  4. Legea nr. 365/2002 privind comerțul electronic, republicată
  5. Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR
  6. CJUE, Hotărârea din 1 octombrie 2019, C-673/17 (Planet49)
  7. EDPB — Guidelines 05/2020 on consent under Regulation 2016/679
  8. ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
  9. EDPB — Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive
  10. EDPB — Opinion 08/2024 on Consent or Pay Models
  11. European Commission — Work Programme 2025 (ePrivacy withdrawal)
  12. Hunton Privacy Blog — European Commission Withdraws ePrivacy Regulation
  13. Revista Biz — Amenzi de peste 1,85 mld. lei în 2024 pentru protecția datelor (feb. 2025)
  14. Cursuri Bursa — Amendă GDPR pentru module cookie (Restart Energy, oct. 2023)
  15. Cookie Information — Does GDPR apply to mobile apps?
  16. Secure Privacy — Mobile App SDK Consent Management 2025
  17. EFF — The GDPR and Browser Fingerprinting
  18. OneTrust — Single Page Applications (SPA) Guidance