Analiza articolului 4(1) din GDPR și a considerentului 30 stabilește că identificatorii online sunt forme explicite de date cu caracter personal atunci când permit identificarea unei persoane fizice. Textul regulamentului notează: „un identificator ar putea fi «un nume, un număr de identificare, date privind locația, un identificator online»” (GDPR, Art. 4(1)). Considerentul 30 clarifică în continuare că acestea includ date „furnizate de dispozitive, aplicații, instrumente și protocoale, cum ar fi adresele de protocol de internet, identificatorii de cookie-uri sau alți identificatori, cum ar fi etichetele de identificare prin radiofrecvență” (GDPR, Considerentul 30).
Rezultatele indică faptul că identificatorii online au devenit din ce în ce mai importanți datorită proliferării tehnologiilor digitale. Principalele constatări din literatura empirică și din îndrumările de reglementare includ:
- Adresa de protocol de internet (IP): Adresele IP atribuite dispozitivelor sunt recunoscute pe scară largă ca date cu caracter personal în temeiul GDPR, deoarece pot identifica persoanele direct sau indirect.
- Cookie-uri de internet: Cookie-urile persistente pot stoca valori unice legate de activitatea utilizatorului, permițând crearea de profiluri și urmărirea. Grupul de lucru „Articolul 29” pentru protecția datelor (WP29) confirmă cookie-urile ca fiind identificatori online (WP29 Opinion 02/2013).
- Beacons și etichete pixel: Aceste mecanisme colectează date despre vizitele pe site-ul web și interacțiunile utilizatorilor, adesea în combinație cu cookie-uri sau informații despre dispozitiv.
- Identificatori de publicitate mobilă: ID-urile unice de publicitate de pe smartphone-uri permit urmărirea utilizatorilor între aplicații și site-uri.
- Amprentele dispozitivelor: Metode de agregare a caracteristicilor browserului și ale dispozitivului pentru a identifica în mod unic configurațiile hardware/software.
- Etichete RFID: Dispozitive electronice mici care stochează date care, atunci când sunt combinate cu alte informații, pot permite identificarea.
Agregarea acestor identificatori în timp, în special atunci când sunt combinați cu alte puncte de date (de exemplu, credențiale de cont, metadate ale dispozitivului), prezintă un risc semnificativ de reidentificare — chiar și atunci când identificatorii individuali nu dezvăluie, de la sine, identitatea unei persoane. Acest lucru se aliniază cu criteriul „individualizării” discutat în cazul CJEU Breyer (C-582/14), care a clarificat faptul că adresele IP dinamice pot constitui date cu caracter personal în anumite circumstanțe.
În rezumat:
- Identificatorii online în temeiul GDPR cuprind o gamă largă de markeri tehnici, inclusiv, dar fără a se limita la, adrese IP, cookie-uri, amprente ale dispozitivelor și etichete RFID.
- Acești identificatori sunt clasificați ca date cu caracter personal atunci când pot duce direct sau indirect la recunoașterea sau individualizarea unei persoane.
- Combinația identificatorilor online cu alți markeri unici crește probabilitatea și riscul de identificare, necesitând strategii solide de conformitate și de protecție a confidențialității.
