Înțelegerea cadrului de confidențialitate din California

California a fost lider în Statele Unite în materie de legislație privind confidențialitatea consumatorilor, iar legile sale afectează site-uri web din întreaga lume. California Consumer Privacy Act (CCPA), modificată semnificativ prin California Privacy Rights Act (CPRA) intrată în vigoare în ianuarie 2023, creează obligații pentru orice afacere care colectează informații personale de la rezidenți ai statului California — indiferent unde este localizată fizic acea afacere.

Pentru deținătorii de site-uri, implicațiile practice se concentrează pe cookie-uri, tehnologii de urmărire și pe modul în care datele utilizatorilor sunt partajate cu terți. Deși modelul californian diferă fundamental de GDPR-ul european, el necesită în continuare o atenție deosebită asupra mecanismelor de consimțământ și a drepturilor utilizatorilor.

CCPA/CPRA: Cine este vizat?

Legea se aplică afacerilor cu scop lucrativ care îndeplinesc oricare dintre următoarele praguri:

• Venit brut anual care depășește 25 de milioane de dolari.
• Cumpărarea, vânzarea sau partajarea informațiilor personale a 100.000 sau mai mulți rezidenți ai Californiei, gospodării sau dispozitive anual.
• Obținerea a 50 la sută sau mai mult din venitul anual din vânzarea sau partajarea informațiilor personale ale rezidenților din California.

Al doilea prag este deosebit de important pentru site-urile cu publicitate. Dacă site-ul tău folosește cookie-uri terțe pentru publicitate targetată și primește trafic semnificativ din California, este posibil să prelucrezi datele a mult peste 100.000 de utilizatori din California anual doar prin intermediul acelor cookie-uri.

Opt-out vs opt-in: Diferența fundamentală față de GDPR

Aceasta este cea mai importantă distincție pe care operatorii de site-uri trebuie să o înțeleagă. În baza GDPR, setarea implicită este opt-in: nu poți seta cookie-uri neesențiale până când utilizatorul nu își exprimă activ consimțământul. În baza CCPA/CPRA, setarea implicită este opt-out: poți prelucra informații personale (inclusiv prin cookie-uri) pân�� când utilizatorul îți spune să te oprești.

Aceasta înseamnă că experiența de consimțământ pentru vizitatorii din California arată fundamental diferit:

• Abordare GDPR: Blochezi toate cookie-urile neesențiale. Afișezi un banner. Aștepți consimțământul explicit. Doar apoi setezi cookie-uri.
• Abordare CCPA/CPRA: Cookie-urile pot fi setate în mod implicit. Oferi un link clar și vizibil „Do Not Sell or Share My Personal Information”. Când un utilizator își exercită acest drept, încetezi să îi mai partajezi datele cu terți.

Totuși, există excepții importante. Pentru minori sub 16 ani, CCPA/CPRA trece la un model de opt-in — trebuie să obții consimțământ explicit înainte de a vinde sau partaja informațiile lor personale. Pentru copiii sub 13 ani, un părinte sau tutore trebuie să ofere acest consimțământ.

Cerința „Do Not Sell or Share”

CPRA a extins dreptul inițial „Do Not Sell” din CCPA pentru a include și „sharing” — care vizează în mod specific tipul de schimb de date care are loc prin cookie-uri de publicitate terță parte. Atunci când un utilizator îți vizitează site-ul, iar cookie-urile tale trimit datele sale de navigare către rețele de publicitate, acest lucru constituie sharing în sensul CPRA, chiar dacă nu are loc un schimb direct de bani.

Obligațiile tale includ:

• Un link clar intitulat „Do Not Sell or Share My Personal Information” pe pagina principală și în politica ta de confidențialitate.
• Un mecanism prin care utilizatorii să își poată exercita acest drept cu ușurință, fără a fi necesară crearea unui cont.
• Respectarea cererii în termen de 15 zile lucrătoare.
• Nediscriminarea utilizatorilor care își exercită acest drept (de exemplu, prin degradarea experienței lor).

Global Privacy Control (GPC)

Global Privacy Control este un semnal la nivel de browser pe care utilizatorii îl pot activa pentru a-și comunica automat preferința de opt-out către fiecare site pe care îl vizitează. Browsere importante, inclusiv Firefox și Brave, acceptă nativ GPC, iar extensiile de browser adaugă suport pentru Chrome și altele.

Conform reglementărilor CPRA, afacerile trebuie să respecte semnalele GPC ca o cerere de opt-out valabilă. Acest lucru are implicații practice semnificative:

• Site-ul tău trebuie să poată detecta header-ul HTTP Sec-GPC: 1 sau proprietatea JavaScript navigator.globalPrivacyControl.
• La detectare, trebuie să îl tratezi ca echivalent cu situația în care utilizatorul apasă pe „Do Not Sell or Share”.
• Cookie-urile terțe folosite pentru publicitate trebuie suprimate pentru acești utilizatori.

Adoptarea GPC este în creștere constantă. Estimările sugerează că între 5 și 10 la sută din traficul web poartă acum un semnal GPC, iar acest procent este mai ridicat în rândul utilizatorilor preocupați de confidențialitate din California.

Când ai, de fapt, nevoie de un banner de cookie-uri pentru California?

Aici multe afaceri se încurcă. Strict vorbind, CCPA/CPRA nu impune un banner de consimțământ pentru cookie-uri în stil european, din cauza modelului de opt-out. Totuși, ai nevoie de:

• Un link „Do Not Sell or Share” ușor accesibil.
• Un mecanism pentru a suprima partajarea datelor cu terți atunci când un utilizator face opt-out sau trimite un semnal GPC.
• O politică de confidențialitate care să dezvăluie categoriile de informații personale colectate, scopurile și terții cu care sunt partajate datele.
• Pentru site-urile care deservesc și vizitatori europeni, un banner de consimțământ compatibil cu GDPR, care poate coexista cu mecanismul de opt-out CCPA.

În practică, majoritatea site-urilor care deservesc atât audiențe europene, cât și din California implementează o interfață unificată de consimțământ care își adaptează comportamentul în funcție de locația vizitatorului. Astfel se evită menținerea a două sisteme de consimțământ complet separate.

Considerații practice de implementare

Implementarea conformității CCPA/CPRA alături de conformitatea GDPR creează o provocare de tip dual-mode. Platforma ta de gestionare a consimțământului trebuie să:

1. Detecteze cu acuratețe locația vizitatorului folosind geolocalizare bazată pe IP.
2. Aplice cadrul legal corect — opt-in pentru vizitatorii din SEE/Regatul Unit, opt-out pentru vizitatorii din California și, potențial, fără cerințe pentru vizitatorii din alte regiuni.
3. Gestioneze linkul „Do Not Sell or Share” pentru vizitatorii din California, fie în cadrul bannerului, fie ca element separat pe pagină.
4. Detecteze și să respecte semnalele GPC înainte ca orice cookie-uri terțe să fie setate.
5. Controleze comportamentul cookie-urilor în consecință — blocând cookie-urile de publicitate terță parte pentru utilizatorii care au făcut opt-out, permițând în același timp continuarea analizelor first-party.

Implementarea tehnică trebuie, de asemenea, să țină cont de distincția dintre cookie-urile de analiză first-party (în general permise în baza CCPA/CPRA ca scop de afaceri) și cookie-urile de publicitate terță parte (care constituie sharing și sunt supuse opt-out-ului).

Geo-targeting FlexyConsent pentru vizitatorii din California

FlexyConsent gestionează provocarea dual-mode prin geo-targeting automat. Atunci când un vizitator din California ajunge pe site-ul tău, FlexyConsent își ajustează comportamentul pentru a se alinia cerințelor CCPA/CPRA:

• Activarea modului de opt-out: În loc să blocheze toate cookie-urile din start, FlexyConsent afișează în mod proeminent opțiunea necesară „Do Not Sell or Share My Personal Information”.
• Detectarea semnalului GPC: FlexyConsent verifică automat existența semnalului Global Privacy Control și, atunci când este prezent, suprimă partajarea datelor cu terți fără a necesita vreo interacțiune din partea utilizatorului.
• Blocare în funcție de categorie: Când un utilizator din California face opt-out, FlexyConsent blochează selectiv cookie-urile de publicitate și de urmărire cross-site, păstrând în același timp funcționalitatea de analiză first-party care intră sub excepția de scop de afaceri.
• Coexistență fără probleme cu GDPR: Aceeași instalare FlexyConsent gestionează ambele cadre. Vizitatorii europeni văd un banner de opt-in compatibil cu GDPR, cu controale granulare pe categorii. Vizitatorii din California văd mecanismul de opt-out adecvat. Vizitatorii din regiuni nereglementate primesc o notificare minimă sau niciun banner, în funcție de configurația ta.

Ca CMP certificat Google care suportă IAB TCF 2.3 și Consent Mode V2, FlexyConsent se asigură că semnalele de consimțământ sunt comunicate corect serviciilor Google, indiferent de cadrul legal aplicabil. Acest lucru înseamnă că configurațiile tale Google Analytics și Google Ads funcționează corect atât pentru utilizatorii europeni care au făcut opt-in, cât și pentru utilizatorii din California care nu au făcut opt-out.

Ideea principală: Modelul de opt-out din California poate părea mai puțin restrictiv decât abordarea de opt-in din GDPR, dar cerințele practice — în special în jurul semnalelor GPC și al definiției largi a „sharing” — înseamnă că majoritatea site-urilor susținute prin publicitate au nevoie de o soluție sofisticată de gestionare a consimțământului. Implementarea unui consimțământ geo-targeted care se adaptează la ambele cadre este mult mai fiabilă decât încercarea de a aplica o singură abordare la nivel global.