Pliki cookie, w formie wdrożonej w obecnych technologiach internetowych, zasadniczo przechowują losowo wygenerowany unikalny identyfikator, który jest następnie powiązany z przeglądarką użytkownika podczas interakcji z określonymi stronami internetowymi. Identyfikatory te same w sobie nie zawierają danych osobowych; jednak powiązanie stałego identyfikatora z uporczywą aktywnością w sieci umożliwia agregację szczegółowych profili behawioralnych w czasie. Dowody wskazują na następujące kluczowe wnioski:
- Unikalne identyfikatory w plikach cookie ułatwiają śledzenie międzysesyjne: Po przypisaniu identyfikator pliku cookie umożliwia rozpoznawanie powracających przeglądarek, co pozwala stronom internetowym na korelowanie wielu wizyt i działań w ramach jednego profilu (Mayer & Mitchell, 2012).
- Identyfikacja osobista staje się możliwa dzięki wzbogacaniu profilu: Chociaż same pliki cookie nie przechowują imion i nazwisk ani bezpośrednich identyfikatorów, po powiązaniu z danymi dostarczonymi przez użytkownika (np. poprzez logowanie, przesyłanie formularzy), plik cookie może stać się substytutem tożsamości osobistej. To powiązanie jest szczególnie powszechne na platformach wymagających uwierzytelniania (Krishnamurthy & Wills, 2009).
- Pliki cookie stron trzecich potęgują obawy o prywatność: Mechanizmy śledzące stron trzecich, ustawiane przez podmioty inne niż odwiedzana strona internetowa, gromadzą dane przeglądania w różnych domenach. Dane te umożliwiają potencjalnie inwazyjne profilowanie i reidentyfikację, nawet bez wyraźnej zgody użytkownika (Englehardt & Narayanan, 2016).
- Ramy prawne uznają pliki cookie za dane osobowe: Zgodnie z RODO (GDPR) i CCPA, pliki cookie—zwłaszcza te umożliwiające profilowanie użytkowników lub ukierunkowane reklamy—są traktowane jako dane osobowe. Wymagana jest wyraźna zgoda przed przechowywaniem lub uzyskiwaniem dostępu do takich identyfikatorów („Rozporządzenie (UE) 2016/679”, 2016).
- Badania empiryczne potwierdzają ryzyko identyfikacji: Badania potwierdziły, że łączenie danych z plików cookie z informacjami pomocniczymi pochodzącymi z rejestracji kont lub od brokerów danych stron trzecich może prowadzić do wysokiego wskaźnika skuteczności identyfikacji użytkowników (Acar et al., 2014).
Podsumowując, chociaż surowa wartość pliku cookie nie jest jawnym identyfikatorem, trwałe identyfikatory w połączeniu z informacjami behawioralnymi i dobrowolnie podanymi mogą prowadzić do de facto identyfikacji osobistej. Ryzyko to jest potęgowane przez agregację danych stron trzecich oraz brak świadomości lub kontroli ze strony użytkownika.
