Peisajul de confidențialitate al Regatului Unit după Brexit

Când Regatul Unit a părăsit Uniunea Europeană, nu a lăsat protecția datelor în urmă. Regatul Unit a încorporat EU GDPR în legislația internă ca UK GDPR, alături de Data Protection Act 2018. În mod specific pentru cookie-uri, Privacy and Electronic Communications Regulations (PECR) — implementarea de către Regatul Unit a Directivei ePrivacy — continuă să se aplice. Rezultatul este un cadru de confidențialitate care reflectă îndeaproape pe cel al UE, dar este aplicat independent de către Information Commissioner's Office (ICO) din Regatul Unit.

Pentru operatorii de site-uri web, aceasta înseamnă că deservirea vizitatorilor din Regatul Unit necesită atenție față de un set distinct de reguli, ghiduri și modele de aplicare. Deși substanța este similară cu EU GDPR, nuanțele contează.

UK GDPR vs EU GDPR: Diferențe cheie

UK GDPR este în esență identic cu EU GDPR în principiile și cerințele sale fundamentale. Cu toate acestea, mai multe diferențe au apărut de la Brexit:

• Autoritatea de supraveghere: ICO este singura autoritate de supraveghere pentru UK GDPR, înlocuind rolul autorităților de protecție a datelor din UE. Nu puteți fi amendat atât de ICO, cât și de o DPA din UE pentru aceeași activitate de procesare a datelor care afectează doar rezidenții din Regatul Unit.
• Adecvarea datelor: UE a acordat Regatului Unit o decizie de adecvare în iunie 2021, permițând datelor personale să circule liber din UE în Regatul Unit. Această decizie este supusă revizuirii periodice. Regatul Unit a recunoscut reciproc SEE ca adecvat.
• Transferuri internaționale: Regatul Unit are propriul cadru pentru transferurile internaționale de date, în care Secretary of State (în loc de Comisia Europeană) ia decizii de adecvare. Regatul Unit a semnalat o abordare mai flexibilă a transferurilor internaționale, deși garanțiile fundamentale rămân.
• Abordarea aplicării: ICO a favorizat istoric implicarea și ghidarea în detrimentul amenzilor agresive. Amenzile maxime conform UK GDPR reflectă pe cele ale UE: până la 17,5 milioane GBP sau 4 procente din cifra de afaceri anuală globală, oricare este mai mare.
• Divergență potențială: Guvernul britanic a luat în considerare reforme prin Data Protection and Digital Information Bill, care ar putea introduce modificări în evaluările interesului legitim, scutirile de cercetare și rolul responsabililor cu protecția datelor. Operatorii de site-uri web ar trebui să monitorizeze această legislație pentru modificări viitoare.

PECR: Legea cookie-urilor din Regatul Unit

În timp ce UK GDPR oferă cadrul general pentru procesarea datelor personale, PECR guvernează în mod specific cookie-urile și tehnologiile similare. PECR a precedat GDPR și implementează Directiva ePrivacy a UE în legislația britanică. Cerințele sale cheie pentru cookie-uri sunt:

• Consimțământul este necesar înainte de setarea oricăror cookie-uri neesențiale pe dispozitivul unui utilizator. Aceasta include cookie-uri de analiză, cookie-uri de publicitate și cookie-uri de rețele sociale.
• Trebuie furnizate informații despre ce cookie-uri sunt setate și pentru ce sunt utilizate, într-un limbaj clar și simplu.
• Consimțământul trebuie să fie liber, specific și informat. Casetele pre-bifate nu constituie consimțământ valid.
• Cookie-urile strict necesare sunt exceptate. Cookie-urile esențiale pentru un serviciu solicitat explicit de utilizator (cum ar fi cookie-urile de sesiune pentru funcționalitatea de autentificare sau cookie-urile coșului de cumpărături) nu necesită consimțământ.

Standardul de consimțământ al PECR se aliniază cu definiția consimțământului din GDPR, ceea ce înseamnă că, în practică, cerințele sunt foarte similare cu cele din Directiva ePrivacy a UE. Un banner de cookie-uri care este conform cu regulile UE va fi, în general, conform și cu PECR.

Ghidurile ICO privind bannerele de cookie-uri

ICO a publicat ghiduri detaliate privind conformitatea cu cookie-urile care depășesc textul PECR în sine. Punctele cheie din ghidurile ICO includ:

Consimțământul trebuie să fie afirmativ

Simpla continuare a navigării pe un site web nu constituie consimțământ. ICO afirmă explicit că consimțământul implicit nu este valid. Utilizatorii trebuie să întreprindă o acțiune clară și pozitivă (cum ar fi clicul pe un buton "Accept") înainte ca cookie-urile neesențiale să poată fi setate.

Respingerea trebuie să fie la fel de ușoară

ICO a fost din ce în ce mai vocal cu privire la modelele întunecate din bannerele de cookie-uri. În mod specific:

• O opțiune "Respinge tot" sau echivalentă trebuie să fie disponibilă la același nivel ca "Acceptă tot". Ascunderea opțiunii de respingere în spatele unui ecran "Gestionează preferințele" nu este acceptabilă.
• Designul vizual nu ar trebui să utilizeze culoarea, dimensiunea sau poziționarea pentru a manipula utilizatorii spre acceptare.
• Limbajul trebuie să fie neutru și să nu fie conceput pentru a culpabiliza sau a exercita presiune asupra utilizatorilor pentru a consimți.

Control granular pe categorii

Utilizatorii ar trebui să poată consimți pentru categorii specifice de cookie-uri (analiză, marketing, funcționale) în loc să fie forțați la o alegere totul sau nimic. Deși ICO nu impune un număr specific de categorii, oferirea controlului granular demonstrează bune practici și poate fi cerută conform principiului limitării scopului din GDPR.

Pereții de cookie-uri sunt problematici

ICO consideră pereții de cookie-uri — unde accesul la un site web este refuzat dacă utilizatorul nu acceptă toate cookie-urile — ca fiind improbabil să constituie consimțământ valid deoarece consimțământul nu ar fi dat în mod liber. Excepții pot exista pentru conținut plătit unde este oferită o alternativă genuină fără cookie-uri.

Acțiuni recente de aplicare ale ICO

ICO a crescut constant concentrarea pe conformitatea cu cookie-urile în ultimii ani. Acțiuni notabile includ:

• Audituri sectoriale: ICO a efectuat audituri ale celor mai importante 100 de site-uri web britanice din mai multe sectoare, publicând constatări care au evidențiat neconformitatea pe scară largă. Problemele comune au inclus cookie-uri setate înainte de consimțământ, lipsa unei opțiuni de respingere și informații inadecvate despre scopurile cookie-urilor.
• Scrisori de avertizare: După audituri, ICO a emis scrisori de avertizare organizațiilor ale căror practici privind cookie-urile nu au fost la standarde. Majoritatea organizațiilor și-au adus practicile în conformitate după primirea acestor scrisori.
• Investigații adtech: ICO a efectuat investigații continue în ecosistemul real-time bidding, ridicând preocupări cu privire la volumul de date personale partajate prin cookie-uri de publicitate programatică fără consimțământ adecvat.
• Aplicare în sectorul public: ICO nu a exceptat site-urile web guvernamentale, emițând ghiduri și avertismente organizațiilor din sectorul public cu privire la practicile lor privind cookie-urile.

Deși ICO nu a emis încă amenzi financiare semnificative în mod specific pentru încălcări ale cookie-urilor, tendința este în mod clar spre o aplicare mai strictă. Autoritatea de reglementare a declarat că se așteaptă ca organizațiile să fie conforme acum și că acțiuni de aplicare vor urma pentru cei care nu se îmbunătățesc.

Transferuri internaționale de date: Regatul Unit către UE și mai departe

Consimțământul pentru cookie-uri se intersectează cu transferurile internaționale de date într-un mod important. Când cookie-urile de analiză sau publicitate trimit date către servere din afara Regatului Unit — precum Google Analytics trimite date către serverele Google, și Facebook Pixel trimite date către serverele Meta — acestea constituie transferuri internaționale de date conform UK GDPR.

Aranjamentele actuale:

• Regatul Unit către SEE: Datele circulă liber conform recunoașterii adecvării SEE de către Regatul Unit.
• Regatul Unit către SUA: UK Extension to the EU-US Data Privacy Framework oferă un mecanism pentru transferuri către organizații americane certificate. Google și Meta sunt certificate conform acestui cadru.
• Regatul Unit către alte țări: Garanții adecvate precum Standard Contractual Clauses (versiunea britanică) sau reguli corporative obligatorii sunt necesare.

În scopuri practice, dacă utilizați Google Analytics, Google Ads sau alte platforme majore de publicitate, mecanismele de transfer internațional sunt în vigoare. Cu toate acestea, ar trebui să documentați aceste transferuri în politica dumneavoastră de confidențialitate și să vă asigurați că bannerul de cookie-uri menționează că datele pot fi transferate internațional.

FlexyConsent geo-targeting pentru conformitate specifică Regatului Unit

FlexyConsent oferă geo-targeting dedicat pentru vizitatorii din Regatul Unit, asigurând conformitatea cu cadrul de reglementare specific al Regatului Unit:

• Banner compatibil PECR: Vizitatorii din Regatul Unit văd un banner de consimțământ care îndeplinește cerințele ICO, inclusiv o opțiune de respingere la fel de proeminentă și controale de categorie granulare. Niciun cookie nu este setat până când consimțământul afirmativ este primit.
• Separat de configurarea UE: Deși cerințele sunt similare, FlexyConsent menține capacitatea de a configura experiențele de consimțământ pentru Regatul Unit și UE independent. Aceasta protejează implementarea dumneavoastră pentru viitor împotriva potențialei divergențe de reglementare Regatul Unit-UE.
• Design aliniat ICO: Șabloanele implicite de banner ale FlexyConsent urmează ghidurile ICO privind evitarea modelelor întunecate. Opțiunile de acceptare și respingere sunt vizual egale, limbajul este neutru, iar designul nu manipulează alegerile utilizatorilor.
• Integrare Consent Mode V2: Ca CMP certificat de Google, FlexyConsent trimite semnale de consimțământ corecte către serviciile Google pentru vizitatorii din Regatul Unit. Aceasta asigură că modelarea conversiilor și Smart Bidding continuă să funcționeze corect, respectând cerințele de consimțământ din Regatul Unit.
• Suport IAB TCF 2.3: Pentru editorii care utilizează publicitate programatică, FlexyConsent generează șiruri de consimțământ TCF adecvate pentru Regatul Unit, recunoscute de platformele demand-side și supply-side care operează pe piața britanică.

FlexyConsent este disponibil cu planuri începând de la 0 EUR pe lună, cu integrări native pentru WordPress, Shopify și PrestaShop. Pentru companiile britanice în special, implementarea unui CMP certificat demonstrează conformitate proactivă față de ICO — un factor pe care autoritatea de reglementare a indicat că îl ia în considerare atunci când decide acțiunile de aplicare.

Concluzia cheie: Cadrul de confidențialitate al Regatului Unit după Brexit reflectă îndeaproape pe cel al UE, dar operează sub propriul său regulator, propriile modele de aplicare și potențial propria direcție legislativă viitoare. Tratarea vizitatorilor din Regatul Unit ca fiind supuși acelorași reguli ca vizitatorii din UE este sigură deocamdată, dar menținerea capacității de a configura experiențe de consimțământ specifice Regatului Unit vă poziționează site-ul pentru a se adapta pe măsură ce cele două cadre potențial divergează. Un CMP geo-conștient este cea mai practică modalitate de a gestiona această complexitate.