Datele pe care le colectează un cookie sunt sau nu date personale? Ar trebuie să ne ferim de toate cookie-urile?
9 minute • Emilia Oancea • 01 aprilie 2021
Cookie-urile sunt omniprezente în spațiul virtual, iar întrebarea ce apare automat este dacă acești biscuitei virtuali ce se hrănesc cu nenumărate firimituri ce reprezintă date din device-uri colectează și date personale, acele neprețuite date protejate de către GDPR. Pentru a înțelege mai bine cum stă treaba cu aceste cookie-uri, este nevoie sa înțelegem mai bine ce sunt ele de fapt.
Ce sunt de fapt cookie-urile
Aceste cookie-uri care se află peste tot în mediul online sunt niște fișiere text pe care un site le atașează dispozitivului tău atunci când accesezi acel website. Device-ul respectiv primește un indicativ unic, ID, cu ajutorul căruia va fi recunoscut de către site. Acel indicativ unic poate fi asociat de către website cu activitatea userului, cu un coș de cumpărături sau cu un anumit cont de utilizator. Astfel, site-ul va începe sa te cunoască, să îți cunoască preferințele.
Pentru a fi mai ușor de înțeles, putem asemăna cookie-urile cu bolurile în care se află ingredientele necesare gătirii unei prăjituri. Aceste boluri îți intră in computer, tableta sau telefon și acumulează ingredientele, adică datele de care au nevoie în funcție de scopul lor. Aceste date vor ajuta website-urile să îți gătească exact ceea ce îți place știind deja ce te interesează, ce ai achiziționat, care sunt lucrurile de care ai nevoie etc.
Totuși, sunt sau nu aceste date colectate de website-uri personale? Pentru a răspunde la această întrebare trebuie sa știm ce se înțelege prin “date personale”.
Ce sunt datele personale
Datele cu caracter personal sunt orice informații care se referă la o persoană identificată sau identificabila. Astfel, daca prin ele însele sau prin adunarea lor pot duce la identificarea unei anumite persoane, datele sunt personale. De asemenea, și datele care au fost anonimizate sau criptate sunt date personale daca anonimizarea este reversibilă.
Exemple de date cu caracter personal
- numele si prenumele
- adresa domiciliului
- adresa de mail precum nume.prenume@gmail.com
- datele de pe actele de identitate
- date privind locația
- o adresa de protocol de internet (IP)
- date deținute de un spital sau medic ce identifică în mod unic o persoană
Exemple de date ce nu au caracter personal
- codul de înregistrare al unei societăți
- adresa de mail precum info@societate.com
- datele anonimizate ireversibil
Protejarea datelor personale
Uniunea Europeana protejează datele personale prin Regulamentul General privind Protectia Datelor, faimosul GDPR, care însă amintește de cookie-uri o singură dată, spunând că “Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor”. Astfel, le este recunoscută cookie-urilor abilitatea de a înmagazina date cu caracter personal.
Toate cookie-urile sunt la fel? Toate pot colecta date personale?
Categoriile de cookie-uri
Nu toate cookie-uri au aceleași obiective, ci fiecare categorie în parte colectează un anumit set de date pentru a fi cât mai utile site-urilor.
Astfel în funcție de felul datelor pe care le rețin există:
- cookie-uri care rețin date de logare
- cookie-uri care rețin preferințe
- cookie-uri care rețin alte tipuri de acțiuni de pe un site sau aplicație
În funcție de cât supraviețuiesc există:
- cookie-uri care supraviețuiesc o singură sesiune
- cookie-uri ce au o valabilitate mai lungă și se șterg automat la un anumit termen
În funcție de necesitatea lor, cookie-urile sunt:
- operaționale – adică cele necesare pentru a beneficia de funcționarea normala a site-ului web
- preference cookies sau functionality cookies- cele care rețin preferințele utilizatorilor
- analitice- adică cele care colectează informații legate de modul in care utilizatorul folosește un site si care sunt de cele mai multe ori anonimizate
Astfel, exista cookie-uri ce stochează date personale, si altele care le anonimizează, datele respective pierzându-si orice fel de legătură cu utilizatorii de la care au fost preluate. Acelea ce rețin date personale au nevoie, normal, de acordul utilizatorilor, pentru a fi conforme cu politica GDPR.
Pentru mai multe detalii despre toate tipurile de cookie, vezi articolul nostru de aici.
Cookie-urile ce rețin date personale
Deoarece fiecare persoană poate dispune de datele sale personale, iar GDPR le protejează expres, cookie-urile ce colectează date cu caracter personal trebuie acceptate prin exprimarea liberă a consimțământului. Acceptarea acestor cookie-uri nu este obligatorie, iar neacceptarea lor nu trebuie sa ducă la imposibilitatea utilizatorilor de a mai accesa site-ul respectiv.
Daca utilizatorul și-a exprimat consimțământul în mod valabil, site-ul este obligat sa înregistreze sesiunea prin care acesta si-a dat acordul privind cookie-urile pentru a servi drept dovadă a consimțământului dat.
Astfel, exprimarea consimțământului în ceea ce privește cookie-urile are următoarele caracteristici:
Consimțământul trebuie dat in cunoștință de cauză
Pentru a fi valid, consimțământul trebuie dat în cunoștință de cauză, adică utilizatorii trebuie să aibă posibilitatea de a accesa informațiile referitoare la ele pentru a se informa. Consimțământul se dă prin bifarea căsuței “Sunt de acord/ Accept”, iar pre bifarea lor de către site este interzisa, conform CJUE.
CJUE a arătat ca nu este dat în mod valid consimțământul când stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al utilizatorului unui site de internet, prin cookie‑uri, este autorizată prin intermediul unei căsuțe bifate în prealabil pe care acest utilizator trebuie să o debifeze în cazul în care refuză să își dea consimțământul. Această regulă se aplică și dacă datele nu au caracter personal.
Consimțământul trebuie dat granular
De asemenea, site-urile și aplicațiile trebuie sa le permită utilizatorilor sa accepte anumite cookie-uri și sa le respingă pe altele. De exemplu, trebuie ca utilizatorul să poată să-și dea acordul cu privire la cookie-urile instalate cu scopul de a i se reține numele de utilizator pe site, dar să nu accepte cookie-urile ce au ca scop marketing-ul. Mai mult de atât, la fel de ușor cum utilizatorul poate să accepte cookie-urile trebuie sa poată sa își și retragă consimțământul daca se răzgândește. Adică, nu trebuie ca utilizatorul sa parcurgă o procedură complicată pentru a-si retrage consimțământul dat prin bifarea unei căsuțe. Spre exemplu, dacă utilizatorul doar bifează o căsuță pentru a fi de acord cu cookie-urile, nu poți să îl pui să îți trimită o cerere scrisă la sediul social al firmei pentru a nu mai fi de acord cu ele.
Un exemplu este site-ul publicației The New York Times care oferă posibilitatea utilizatorilor site-ului ce și-au dat consimțământul cu privire la cookie-urile neesențiale să și-l retragă prin apăsarea unui buton. De asemenea, pune la dispoziția utilizatorilor si lista de pași pe care trebuie să o urmeze, în funcție de browserul folosit, pentru a nu mai folosi cookie-uri third-party.
Consimțământul trebuie să fie specific
Prin consimțământ specific se înțelege faptul că trebuie să se refere în mod expres la cookie-uri. Politica referitoare la cookie-uri poate fi inclusă in platforma aferenta termenilor si condițiilor unui site (deși nu recomandăm), însă, chiar si așa, consimțământul pentru acceptarea cookie-urilor trebuie dat separat de consimțământul privind acceptarea termenilor si condițiilor.
Consimțământul trebuie să fie o acțiune clar afirmativă
Acțiunea clar afirmativă rezultă din necesitatea utilizatorilor de a bifa singuri căsuța necesară si accepta în mod neechivoc utilizarea cookie-urilor.
După cum am amintit mai sus, pre bifarea de către site a căsuțelor respective nu reprezintă un consimțământ real. De asemenea, mesajele precum “Acest site foloseste cookies. Navigand în continuare vă exprimați acordul asupra folosirii lor” sunt ilegale.
Cookie-uri ce nu rețin date personale
Exista si cookie-uri care nu rețin date cu caracter personal, astfel încât nu este necesar consimțământul utilizatorilor pentru folosirea lor. Ele reprezintă excepția, iar toate cele ce nu intra in următoarele categorii necesită exprimarea liberă a consimțământului utilizatorilor.
- cele care au ca scop transmiterea comunicațiilor in cadrul unei rețele de comunicații electronice
- cele care au ca scop prestarea unui serviciu online solicitat de utilizator
- cele care rețin consimțământul sau refuzul utilizatorului privind cookie-urile
- cele de autentificare
- cele ce rețin produsele adăugate in coșul de cumpărături si cele folosite în procesul de plată
- cele referitoare la personalizarea interfeței
- cele de Load balancing care creează o legătură intre ID-ul dispozitivului și un server din rețea pe perioada unei sesiuni
- cele care limitează accesarea serviciului sau conținutului dintr-un site la câteva vizualizări sau la o perioada determinata de timp
- cele analitice first-party ce colectează date transformate in statistici anonime
Concluzie
Pentru a rezuma, răspunsul este da, cookie-urile pot colecta si date personale, însă doar dacă îți dai consimțământul în acest sens. Astfel, faptul că ele apar peste tot în spațiul virtual nu trebuie să ne sperie, mai ales că exista opțiunea de a nu le accepta pe cele ce rețin date cu caracter personal, ba chiar, după cum am amintit mai sus, unele dintre ele ne fac navigarea pe Internet mult mai ușoară si este important să le înțelegem.
Fotografie creată de Christina Morillo, de la Pexels