Η ανάλυση του άρθρου 4(1) του GDPR και της Αιτιολογικής Σκέψης 30 ορίζει ότι τα διαδικτυακά αναγνωριστικά αποτελούν σαφείς μορφές προσωπικών δεδομένων όταν επιτρέπουν την ταυτοποίηση ενός φυσικού προσώπου. Το κείμενο του κανονισμού σημειώνει: «ένα αναγνωριστικό θα μπορούσε να είναι «ένα όνομα, ένας αριθμός ταυτοποίησης, δεδομένα τοποθεσίας, ένα διαδικτυακό αναγνωριστικό»» (GDPR, Άρθρο 4(1)). Η Αιτιολογική Σκέψη 30 διευκρινίζει περαιτέρω ότι αυτά περιλαμβάνουν δεδομένα «που παρέχονται από συσκευές, εφαρμογές, εργαλεία και πρωτόκολλα, όπως διευθύνσεις πρωτοκόλλου διαδικτύου, αναγνωριστικά cookies ή άλλα αναγνωριστικά, όπως ετικέτες αναγνώρισης ραδιοσυχνοτήτων» (GDPR, Αιτιολογική Σκέψη 30).
Τα αποτελέσματα δείχνουν ότι τα διαδικτυακά αναγνωριστικά έχουν αποκτήσει ολοένα και μεγαλύτερη σημασία λόγω της εξάπλωσης των ψηφιακών τεχνολογιών. Βασικά ευρήματα από την εμπειρική βιβλιογραφία και τις ρυθμιστικές οδηγίες περιλαμβάνουν:
- Διεύθυνση Πρωτοκόλλου Διαδικτύου (IP): Οι διευθύνσεις IP που εκχωρούνται σε συσκευές αναγνωρίζονται ευρέως ως προσωπικά δεδομένα βάσει του GDPR, καθώς μπορούν να ταυτοποιήσουν άτομα άμεσα ή έμμεσα.
- Cookies Διαδικτύου: Τα μόνιμα cookies μπορούν να αποθηκεύουν μοναδικές τιμές που συνδέονται με τη δραστηριότητα του χρήστη, επιτρέποντας τη δημιουργία προφίλ και την παρακολούθηση. Η Ομάδα Εργασίας του Άρθρου 29 για την Προστασία των Δεδομένων (WP29) επιβεβαιώνει ότι τα cookies αποτελούν διαδικτυακά αναγνωριστικά (Γνωμοδότηση 02/2013 της WP29).
- Beacons και ετικέτες pixel: Αυτοί οι μηχανισμοί συλλέγουν δεδομένα σχετικά με τις επισκέψεις σε ιστότοπους και τις αλληλεπιδράσεις των χρηστών, συχνά σε συνδυασμό με cookies ή πληροφορίες συσκευής.
- Αναγνωριστικά διαφημίσεων για κινητά: Τα μοναδικά αναγνωριστικά διαφήμισης σε smartphones επιτρέπουν την παρακολούθηση του χρήστη μεταξύ εφαρμογών και ιστοτόπων.
- Αποτυπώματα συσκευής (Device fingerprints): Μέθοδοι συγκέντρωσης χαρακτηριστικών του προγράμματος περιήγησης και της συσκευής για τη μοναδική ταυτοποίηση διαμορφώσεων υλικού/λογισμικού.
- Ετικέτες RFID: Μικρές ηλεκτρονικές συσκευές που αποθηκεύουν δεδομένα τα οποία, όταν συνδυάζονται με άλλες πληροφορίες, μπορεί να επιτρέψουν την ταυτοποίηση.
Η συσσώρευση τέτοιων αναγνωριστικών με την πάροδο του χρόνου, ειδικά όταν συνδυάζεται με άλλα σημεία δεδομένων (π.χ., διαπιστευτήρια λογαριασμού, μεταδεδομένα συσκευής), ενέχει σημαντικό κίνδυνο για την εκ νέου ταυτοποίηση—ακόμη και όταν τα μεμονωμένα αναγνωριστικά δεν αποκαλύπτουν, από μόνα τους, την ταυτότητα ενός ατόμου. Αυτό ευθυγραμμίζεται με το κριτήριο της “εξατομίκευσης” που συζητήθηκε στην υπόθεση Breyer του ΔΕΕ (C-582/14), η οποία διευκρίνισε ότι οι δυναμικές διευθύνσεις IP ενδέχεται να αποτελούν προσωπικά δεδομένα υπό ορισμένες συνθήκες.
Συνοπτικά:
- Τα διαδικτυακά αναγνωριστικά βάσει του GDPR περιλαμβάνουν ένα ευρύ φάσμα τεχνικών δεικτών, συμπεριλαμβανομένων, ενδεικτικά, των διευθύνσεων IP, των cookies, των αποτυπωμάτων συσκευής και των ετικετών RFID.
- Αυτά τα αναγνωριστικά ταξινομούνται ως προσωπικά δεδομένα όταν μπορούν άμεσα ή έμμεσα να οδηγήσουν στην αναγνώριση ή την εξατομίκευση ενός ατόμου.
- Ο συνδυασμός των διαδικτυακών αναγνωριστικών με άλλους μοναδικούς δείκτες αυξάνει την πιθανότητα και τον κίνδυνο ταυτοποίησης, καθιστώντας αναγκαίες ισχυρές στρατηγικές συμμόρφωσης και προστασίας της ιδιωτικότητας.
