Τα cookies, όπως εφαρμόζονται στις τρέχουσες τεχνολογίες του ιστού, αποθηκεύουν ουσιαστικά ένα τυχαία παραγόμενο μοναδικό αναγνωριστικό, το οποίο στη συνέχεια συνδέεται με το πρόγραμμα περιήγησης του χρήστη κατά τις αλληλεπιδράσεις του με συγκεκριμένους ιστότοπους. Αυτά τα αναγνωριστικά δεν περιέχουν εγγενώς προσωπικά δεδομένα. Ωστόσο, η συσχέτιση ενός σταθερού αναγνωριστικού με τη συνεχή δραστηριότητα στον ιστό επιτρέπει τη συγκέντρωση λεπτομερών προφίλ συμπεριφοράς με την πάροδο του χρόνου. Τα στοιχεία καταδεικνύουν τα ακόλουθα βασικά ευρήματα:
- Τα μοναδικά αναγνωριστικά στα cookies διευκολύνουν την παρακολούθηση μεταξύ των περιόδων σύνδεσης: Μόλις εκχωρηθεί, το αναγνωριστικό ενός cookie επιτρέπει την αναγνώριση των προγραμμάτων περιήγησης που επιστρέφουν, επιτρέποντας στους ιστότοπους να συσχετίζουν πολλαπλές επισκέψεις και ενέργειες με ένα ενιαίο προφίλ (Mayer & Mitchell, 2012).
- Η προσωπική ταυτοποίηση καθίσταται δυνατή μέσω του εμπλουτισμού του προφίλ: Αν και τα ίδια τα cookies δεν αποθηκεύουν ονόματα ή άμεσα αναγνωριστικά, όταν συνδέονται με δεδομένα που παρέχονται από τον χρήστη (π.χ., μέσω συνδέσεων, υποβολών φορμών), το cookie μπορεί να γίνει πληρεξούσιο για την προσωπική ταυτότητα. Αυτή η σύνδεση είναι ιδιαίτερα διαδεδομένη σε πλατφόρμες που απαιτούν έλεγχο ταυτότητας (Krishnamurthy & Wills, 2009).
- Τα cookies τρίτων ενισχύουν τις ανησυχίες για την προστασία της ιδιωτικής ζωής: Οι μηχανισμοί παρακολούθησης τρίτων, που ορίζονται από οντότητες διαφορετικές από τον ιστότοπο που επισκέπτεστε, συγκεντρώνουν δεδομένα περιήγησης σε διάφορους τομείς. Αυτά τα δεδομένα επιτρέπουν δυνητικά επεμβατική δημιουργία προφίλ και την εκ νέου ταυτοποίηση, ακόμη και χωρίς τη ρητή συγκατάθεση του χρήστη (Englehardt & Narayanan, 2016).
- Τα ρυθμιστικά πλαίσια θεωρούν τα cookies ως προσωπικά δεδομένα: Σύμφωνα με τον GDPR και τον CCPA, τα cookies —ιδίως εκείνα που επιτρέπουν τη δημιουργία προφίλ χρήστη ή τη στοχευμένη διαφήμιση— αντιμετωπίζονται ως προσωπικά δεδομένα. Η ρητή συγκατάθεση είναι υποχρεωτική πριν από την αποθήκευση ή την πρόσβαση σε τέτοια αναγνωριστικά («Κανονισμός (ΕΕ) 2016/679», 2016).
- Εμπειρικές μελέτες επιβεβαιώνουν τους κινδύνους ταυτοποίησης: Η έρευνα έχει επιβεβαιώσει ότι ο συνδυασμός δεδομένων cookie με βοηθητικές πληροφορίες από εγγραφές λογαριασμών ή μεσίτες τρίτων μπορεί να αποφέρει υψηλά ποσοστά ταυτοποίησης χρηστών (Acar et al., 2014).
Συνοπτικά, ενώ η ακατέργαστη τιμή ενός cookie δεν είναι ένα ρητό αναγνωριστικό, τα μόνιμα αναγνωριστικά σε συνδυασμό με πληροφορίες συμπεριφοράς και εθελοντικά παρεχόμενες πληροφορίες μπορούν να οδηγήσουν σε de facto προσωπική ταυτοποίηση. Ο κίνδυνος αυτός αυξάνεται με τη συγκέντρωση δεδομένων τρίτων και την έλλειψη ενημέρωσης ή ελέγχου από την πλευρά του χρήστη.
