I cookie, come implementati nelle attuali tecnologie web, memorizzano fondamentalmente un identificatore unico generato casualmente, che viene poi collegato al browser dell'utente durante le interazioni con siti web specifici. Questi identificatori non contengono intrinsecamente dati personali; tuttavia, l'associazione di un identificatore coerente con un'attività web persistente consente l'aggregazione di profili comportamentali dettagliati nel tempo. Le prove dimostrano i seguenti risultati chiave:
- Gli identificatori unici nei cookie facilitano il tracciamento tra sessioni: Una volta assegnato, l'identificatore di un cookie consente il riconoscimento dei browser di ritorno, permettendo ai siti di correlare più visite e azioni a un singolo profilo (Mayer & Mitchell, 2012).
- L'identificazione personale diventa possibile tramite l'arricchimento del profilo: Sebbene i cookie stessi non memorizzino nomi o identificatori diretti, quando collegati a dati forniti dall'utente (ad esempio, tramite accessi, invio di moduli), il cookie può diventare un proxy per l'identità personale. Questo collegamento è particolarmente diffuso su piattaforme che richiedono l'autenticazione (Krishnamurthy & Wills, 2009).
- I cookie di terze parti amplificano i problemi di privacy: I meccanismi di tracciamento di terze parti, impostati da entità diverse dal sito web visitato, aggregano i dati di navigazione tra i domini. Questi dati consentono una profilazione e una re-identificazione potenzialmente invasiva, anche senza il consenso esplicito dell'utente (Englehardt & Narayanan, 2016).
- I quadri normativi considerano i cookie come dati personali: Secondo il GDPR e il CCPA, i cookie, specialmente quelli che consentono la profilazione dell'utente o la pubblicità mirata, sono trattati come dati personali. È richiesto il consenso esplicito prima di memorizzare o accedere a tali identificatori (“Regolamento (UE) 2016/679,” 2016).
- Studi empirici confermano i rischi di identificazione: La ricerca ha confermato che la combinazione dei dati dei cookie con informazioni ausiliarie provenienti da registrazioni di account o broker di terze parti può portare a tassi di identificazione dell'utente ad alta affidabilità (Acar et al., 2014).
In sintesi, sebbene il valore grezzo di un cookie non sia un identificatore esplicito, gli identificatori persistenti combinati con informazioni comportamentali e fornite volontariamente possono portare a un'identificazione personale de facto. Questo rischio è accentuato dall'aggregazione di dati di terze parti e dalla mancanza di consapevolezza o controllo da parte dell'utente.
