Escopo territorial
Agora vem a parte complicada. As leis que regem o uso de cookies se aplicam a todos os visitantes, independentemente de sua localização geográfica? Você só pode obter o consentimento de visitantes que residem na UE? Se você ou sua organização não estiverem localizados na Europa, a resposta é clara – nem o GDPR nem a Diretiva de Privacidade Eletrônica regem entidades fora da UE, desde que os visitantes do site também residam fora da UE. No entanto, os residentes da UE são protegidos pelo GDPR, independentemente da localização da entidade.
Quanto aos sites da UE, parece que neste caso há uma discrepância nos requisitos entre GDPR e ePrivacy:
- Os sites europeus devem estar sempre em conformidade com o GDPR, mas apenas em relação aos cookies relacionados a uma pessoa física identificada ou identificável.
- A Diretiva ePrivacy se aplica a todos os cookies, mas apenas para usuários finais e equipamentos terminais de usuários finais localizados na UE.
Parece que não é necessário obter consentimento para cookies que não estejam relacionados a uma pessoa física identificada ou identificável ou seu equipamento terminal localizado fora da UE. Na prática, porém, a única maneira de lucrar com essa brecha é criar seu próprio mecanismo para rastrear o comportamento dos usuários, pois todos os cookies de rastreamento de terceiros se enquadram absolutamente no GDPR.