Cookie-urile, așa cum sunt implementate în tehnologiile web actuale, stochează în mod fundamental un identificator unic generat aleatoriu, care este apoi legat de browserul utilizatorului în timpul interacțiunilor cu anumite site-uri web. Acești identificatori nu conțin în mod inerent date cu caracter personal; cu toate acestea, asocierea unui identificator consecvent cu o activitate web persistentă permite agregarea în timp a unor profiluri comportamentale detaliate. Dovezile demonstrează următoarele constatări cheie:
- Identificatorii unici din cookie-uri facilitează urmărirea între sesiuni: Odată atribuit, identificatorul unui cookie permite recunoașterea browserelor care revin, permițând site-urilor să coreleze mai multe vizite și acțiuni cu un singur profil (Mayer & Mitchell, 2012).
- Identificarea personală devine posibilă prin îmbogățirea profilului: Deși cookie-urile în sine nu stochează nume sau identificatori direcți, atunci când sunt asociate cu date furnizate de utilizator (de exemplu, prin autentificări, trimiteri de formulare), cookie-ul poate deveni un substitut pentru identitatea personală. Această legătură este deosebit de răspândită pe platformele care necesită autentificare (Krishnamurthy & Wills, 2009).
- Cookie-urile terțe amplifică preocupările privind confidențialitatea: Mecanismele de urmărire ale terților, setate de alte entități decât site-ul web vizitat, agregă date de navigare între domenii. Aceste date permit crearea de profiluri potențial invazive și re-identificarea, chiar și fără consimțământul explicit al utilizatorului (Englehardt & Narayanan, 2016).
- Cadrele de reglementare consideră cookie-urile ca fiind date cu caracter personal: În conformitate cu GDPR și CCPA, cookie-urile — în special cele care permit crearea de profiluri de utilizator sau publicitate direcționată — sunt tratate ca date cu caracter personal. Consimțământul explicit este obligatoriu înainte de stocarea sau accesarea unor astfel de identificatori („Regulamentul (UE) 2016/679”, 2016).
- Studiile empirice confirmă riscurile de identificare: Cercetările au confirmat că îmbinarea datelor din cookie-uri cu informații auxiliare din înregistrările de conturi sau de la brokeri terți poate duce la rate ridicate de identificare a utilizatorilor, cu un grad mare de certitudine (Acar et al., 2014).
În concluzie, deși valoarea brută a unui cookie nu este un identificator explicit, identificatorii persistenți combinați cu informații comportamentale și voluntare pot duce la identificarea personală de facto. Acest risc este amplificat de agregarea datelor de la terți și de lipsa de conștientizare sau de control din partea utilizatorului.
