Într-un peisaj în care aproape orice cookie cere acordul vizitatorului, cookie-urile strict necesare fac excepție. Ele pot funcționa din prima secundă, fără consimțământ. Dar tocmai această excepție e des interpretată greșit, iar unele site-uri clasifică drept „necesare" cookie-uri care în realitate nu sunt. Iată ce înseamnă cu adevărat.
Definiția corectă
Un cookie este strict necesar dacă site-ul nu poate oferi serviciul cerut explicit de utilizator fără el. Cuvântul-cheie este „cerut de utilizator": funcția trebuie să răspundă unei acțiuni pe care vizitatorul a solicitat-o, nu unui interes comercial al tău.
Testul practic: dacă blochezi acel cookie și o funcție de bază se strică (nu te mai poți autentifica, coșul se golește), atunci este necesar. Dacă blochezi cookie-ul și doar pierzi date de analiză sau reclame mai puțin țintite, atunci nu este necesar.
Ce includ, concret
Cookie-urile strict necesare acoperă de obicei:
- Autentificare și sesiune — te țin logat pe durata navigării.
- Coșul de cumpărături — rețin produsele adăugate până la finalizarea comenzii.
- Securitate — protecție anti-fraudă, prevenirea atacurilor, echilibrarea încărcării pe servere.
- Funcționalitate de bază a formularelor — rețin pașii dintr-un proces în mai multe etape.
- Reținerea alegerii privind cookie-urile — paradoxal, cookie-ul care memorează dacă ai acceptat sau refuzat este el însuși necesar.
Aproape toate sunt first-party (de la propriul domeniu) și, de regulă, de sesiune sau cu durată scurtă.
De ce nu cer consimțământ
Logica este simplă: nu are sens să ceri acordul pentru ceva fără de care serviciul solicitat nu există. Dacă un vizitator vrea să se logheze, cookie-ul de sesiune este parte inseparabilă a acelei cereri. Atât Legea nr. 133/2011, cât și GDPR recunosc această excepție de necesitate. Prin urmare, aceste cookie-uri pot fi active înainte de orice interacțiune cu bannerul.
Atenție însă: „nu cer consimțământ" nu înseamnă „nu trebuie menționate". Cookie-urile necesare trebuie totuși listate transparent în politica de cookies, cu scopul și durata lor.
Greșeala de a eticheta prea mult ca „necesar"
Unele site-uri, ca să evite bannerul, marchează drept „necesare" cookie-uri de analytics sau de marketing. Este o eroare de conformitate. Google Analytics nu este necesar pentru ca site-ul să funcționeze — este util pentru tine, dar nu vital pentru vizitator. Pixelul Meta cu atât mai puțin. Etichetarea abuzivă a acestora ca necesare înseamnă, de fapt, plasarea de cookie-uri fără consimțământ valabil.
Regula de verificat: dacă un cookie servește măsurării sau promovării, aproape sigur nu e necesar și cere acord.
Un caz aparte îl reprezintă cookie-urile de preferințe. Reținerea limbii sau a temei pare inofensivă, dar ea nu este strict necesară pentru funcționarea de bază — site-ul merge și fără ea, doar mai puțin comod. De aceea, chiar dacă tentația e să le tratezi ca necesare, cel mai sigur este să le încadrezi la categoria de preferințe, care de regulă cere consimțământ, mai ales când implică un serviciu terț precum un video sau o hartă încorporată.
Cum le tratezi în practică
Un mecanism corect trebuie să distingă automat între cookie-uri necesare, care rulează mereu, și restul, care așteaptă acordul. GDPR Moldova este configurat exact așa: cookie-urile strict necesare rămân active pentru ca site-ul să funcționeze normal, în timp ce statisticile și marketingul sunt blocate real prin Google Consent Mode v2 până la consimțământ. Politica de cookies generată (RO/RU) listează și cookie-urile necesare, cu scop și durată, așa cum cer bunele practici.
Concluzie
Cookie-urile strict necesare sunt cele fără de care funcția cerută de utilizator nu poate exista: sesiune, coș, securitate, salvarea alegerii privind cookie-urile. Ele pot rula fără consimțământ, dar trebuie declarate. Nu abuza de această categorie: dacă un cookie servește măsurării sau reclamei, aparține grupului care cere acordul. Corectitudinea clasificării este chiar fundamentul unui banner conform.
Material orientativ, nu constituie consultanță juridică.