vyshnavi bisani z8kriatLFdA unsplash 2

Povestea cookie-urilor tari și a consimțământului elastic

13 minute • Alexandra Cruceru • 11 decembrie 2020


Au fost odată ca niciodată cookie-uri…

Cookie-uri. Snack-ul preferat al internetului, acești biscuiței savuroși sunt pe cât de fragezi pe atât de sfărâmicioși. Lasă în urma lor o dâră de firimituri mai ceva ca în Hänsel și Gretel. Și după câte se pare povestea cookie-urilor poate fi și ea destul de… grim(m).

Cookie-urile sunt mici fișiere text pe care un website le atașează dispozitivului unui utilizator (pe un computer, telefon smart sau tabletă) atunci când acesta vizitează respectivul website. Asta înseamnă că device-ul primește un indicativ (ID) unic după care poate fi recunoscut imediat de website. Acel ID va fi de acum încolo asociat cu activitatea userului, cu un cont sau cu un coș de cumpărături, iar website-ul se va comporta în consecință, știind din ce în ce mai bine ce-i place, ce vrea, ce a fost cât pe ce să achiziționeze utilizatorul, and other fun stuff. Și la fel se întâmplă și în cazul unei aplicații mobile!

Cookie-urile pot fi astfel de ajutor utilizatorului pentru că rețin datele de logare (session management), pentru ca rețin preferințele (personalization) și pentru că rețin alte acțiuni în site sau într-o aplicație, cum ar fi adăugarea produselor în coșul de cumpărături (tracking).

În funcție de termenul de valabilitate, cookie-urile supraviețuiesc o singură sesiune (session cookies) – vizita în curs pe un site, sau pot fi persistente (persistent cookies). Cele persistente au și ele o dată de expirare și ar trebui șterse automat atunci când au ajuns la termen. Acestea sunt folosite cel mai adesea pentru autentificarea utilizatorului și pentru tracking, care creează pe parcurs un profil de user.

Unele cookie-uri, cele operaționale (strictly necessary cookies) sunt chiar necesare pentru a beneficia de funcțiile de bază ale site-ului vizitat și la acestea nu se poate renunța fără a exista impedimente pentru utilizator (spre exemplu pentru situația în care un user navighează între mai multe pagini ale unui site în cadrul aceleiași sesiuni ar fi împovărător să reintroducă de fiecare dată informațiile de logare într-un cont sau să adauge din nou produsele deja adaugate într-un coș de cumpărături). Acestea sunt de obicei first-party session cookies (vom vedea ce înseamnă asta imediat) și sunt exceptate de la obligația de a obține consimțământul utilizatorului.

Asta pentru că dacă nu le accepți, efectiv nu vei putea interacționa cu site-ul ăla cum trebuie. Mai ții minte cum arăta Windows 95 și Internet Explorer până să devină Microsoft Edge? Yes, that cringe.

Altele, precum preference cookies sau functionality cookies sunt cele care stochează preferințele utilizatorului, spre exemplu alegerea unei limbi sau alegerea unei regiuni geografice despre care să primească prognoza meteo.

Mai sunt și cookie-uri analitice (statistics cookies/ performance cookies) care colectează informații despre cum folosește utilizatorul un website, ce pagini vizitează și pe ce link-uri dă click. Aceste date sunt de obicei agregate și anonimizate astfel că ele nu mai reprezintă date personale pentru că utilizatorul nu poate fi identificat. Ha! Deci nu toate cookie-urile prelucrează date personale! Și da, în cazul cookie-urilor analitice first-party sunt situații în care acestea pot fi exceptate de la obligația obținerii consimțământului, după cum vom vedea în continuare.

Problema cea mai mare se ivește însă odată cu folosirea cookie-urilor de marketing care urmăresc activitatea online a utilizatorului cu scopul de a ajuta advertiserii să livreze reclame cât mai targetate, de tipul punct ochit – punct lovit. Aceste cookie-uri transmit adesea datele stocate altor organisme sau adversiteri, deci sunt cel mai probabil cookie-uri third-party care persistă.

addiction
Poză de Mae Mu pe Unsplash

Nu sună atât de periculos, nu? Și atunci de ce înfiorăm cu toții în fața unor… prăjiturele?

Să vă povestesc… cookie-urile first-party (care nu sunt despre vreo petrecere!) sunt destul de cuminți. Asta dacă site-ul vizitat e cât de cât reputat și nu a fost compromis de vreun bad guy. Acestea se limitează la transmiterea datelor stocate către site-ul vizitat de obicei pentru a permite funcționarea optimă a acestuia.

Daar… la cookie-urile third-party altfel stă treaba. Acestea sunt cookie-uri generate de alt website decât cel pe care îl vizitează utilizatorul și sunt folosite de obicei în scop de marketing. Îndată ce un astfel de cookie se atașează pe web browserul utilizatorului, acesta poate fi urmărit de advertiser și de companiile de analytics pe toate website-urile care conțin reclamele lor. Asta înseamnă mai multe date despre utilizator stocate across the web.

La scară mare asta înseamnă rețele uriașe ale giganților tech care recoltează date în bănci, care creditează cu date advertiseri, care astfel ajung cu reclame la mulți, mulți potențiali consumatori. Adică avem servere pline de date din cookie-uri third-party în loc de vrăjitoare în căsuța de turtă dulce.

Însă nu toate cookie-urile terțe sunt rele, că mai avem și dulciuri sănătoase pe lumea asta. Spre exemplu, un site poată să aibă videouri de pe Youtube sau Vimeo care sunt playere externe. Dacă nu accepți aceste cookie-uri, atunci nu o să poți vedea clipurile respective.

Dar am ajuns la the really scary part. Zombie cookies. Acestea sunt cookie-uri third-party instalate permanent pe dispozitivul utilizatorului chiar fără acordul său (deși ar fi obligatoriu să-l ceară). Ele reapar chiar și după ce au fost șterse înadins și se încăpățânează să urmărească istoricul de browsing al userului. Not nice!

Totuși avem motive să spunem că va fi bine în final, pentru că în lumina regulilor GDPR (mai ales privacy by design și by default) Big Tech au început să protejeze implicit utilizatorii (opt out by default) de cookie-uri third-party sau încearcă să înlocuiască cookie-urile third-party cu alte soluții de privacy cu funcții asemănătoare dar fără aceste efecte adverse nefaste.

Rămân oricum in place cookie-urile first-party, mult mai directe, mai transparente și mai previzibile care însă trebuie și ele acceptate de utilizator (dacă nu sunt esențiale/strict necesare funcționării site-ului).

Și atunci nouă celorlalte personaje din povestea asta, ce ne rămâne de făcut?

Răspunsul e diferit în funcție de ce rol ți-a dat povestitorul…

Dacă ești utilizator de website, persoană fizică, atunci din punct de vedere al GDPR ești persoană vizată. Asta înseamnă că ai niște drepturi care trebuie respectate. Ai posibilitatea de a accepta sau refuza utilizarea de cookie-uri (first-party și third-party) în timp ce navighezi pe un website. Sau altfel spus, acel website are nevoie de consimțământul tău pentru a putea instala cookie-uri pe dispozitivul tău.

Există însă și excepții, cum ar fi cookie-urile strict necesare pentru funcționarea site-ului. În acest caz nu există obligația de a obține consimțământul utilizatorului pentru că aceste cookie-uri sunt de natură să livreze operațiuni esențiale care facilitează interacțiunea optimă a utilizatorului cu site-ul. Totuși utilizatorul trebuie să fie informat chiar și cu privire la existența acestor cookie-uri esențiale pentru a știi exact ce i se întâmplă, cu atât mai mult cu cât e în continuare neclară delimitarea acestei categorii de strictly necessary cookies, pentru că nu există un consens în rândul Autorităților de supraveghere naționale despre ce se încadrează sau nu în această categorie.

Despre consimțământ

Consimțământul tău ca utilizator trebuie să fie liber exprimat. Asta înseamnă că trebuie să ai posibilitatea de a alege în mod real dacă accepți sau refuzi folosirea cookie-urilor. Consimțământul nu trebuie forțat sau condiționat prin interzicerea accesului la conținutul site-ului spre exemplu.

yes
Poză de Vie Studio pe Pexels

Consimțământul tău trebuie să fie specific, adică având în vedere în mod direct cookie-urile, și nu la modul general prin acceptarea unor termeni și condiții, spre exemplu. Asta nu înseamnă neapărat că politica cookie nu poate fi integrată în cadrul platformei de termeni și condiții a unui site, ci ea, chiar integrată fiind, trebuie să-ți dea posibilitatea să accepți sau să refuzi utilizarea de cookie-uri, independent de acceptarea termenilor și condițiilor. Dar despre asta vom vorbi pe larg într-un alt articol.

Consimțământul tău trebuie să fie și granular, adică îți poți da acordul asupra cookie-urilor instalate pentru un anumit scop (sa zicem pentru a reține un nume de utilizator și o parola de cont) și poți refuza altele care au alt scop (spre exemplu scopuri de marketing).

De asemenea consimțământul tău trebuie să fie acordat în cunoștință de cauză. Asta însemnă că înainte să dai click pe „Sunt de acord/ Accept” trebuie să ai la îndemână toate informațiile necesare privind cine utilizează aceste cookie-uri, ce scopuri au, cum să le accepți sau să le refuzi, ce consecințe sunt dacă le refuzi, cum să retragi ulterior consimțământul acordat inițial.

Și în final această acțiune de a consimți la utilizarea cookie-urilor trebuie să fie una clar afirmativă. Adică trebuie să rezulte clar din acțiunea ta că într-adevăr accepți să fie folosite cookie-uri. Căsuțele pre bifate sau utilizarea în continuare a site-ului după afișarea unui mesaj generic despre cookie-uri nu pot fi luate drept consimțământ real și valid. Deci mesajele de genul „Acest site folosește cookies. Navigând în continuare vă exprimați acordul asupra folosirii lor.” sunt abuzive și ilegale. Just so you know.

În plus, chiar dacă îți dai acordul inițial pentru folosirea cookie-urilor, te poți răzgândi oricând. Și dacă te răzgândești trebuie să fie ușor să retragi consimțământul. Cam la fel de ușor cum l-ai și dat în primă fază.

Toolkit GDPR formulare de consimțământ

Unul din temeiurile legale pentru prelucrarea datelor conform GDPR este obținerea consimțământului. În setul nostru găsești documentația necesară, ușor de implementat, pentru a obține în mod corect consimțământul persoanelor cărora le prelucrezi datele personale.

Dacă, pe de altă parte, ești deținătorul unui website, din punct de vedere al GDPR ești operator de date cu caracter personal și ai obligația de a obține acest consimțământ al utilizatorului în felul detaliat mai sus. Și asta înainte de plasarea cookie-urilor pe dispozitivul utilizatorului!

Excepția cookie-urilor strict necesare funcționării site-ului este o excepție controversată, care necesită atenție sporită din partea operatorului. Acesta va trebui să analizeze care dintre cookie-uri aparțin categoriei de cookie-uri operaționale fără de care site-ul nu poate funcționa optim.

O serie de exemple de cookie-uri exceptate de la obligația consimțământului sunt oferite de Autoritatea de Supraveghere franceză (CNIL) în versiunea finală a ghidului despre cookie-uri publicată pe 1 Octombrie 2020:

  • Cookie-uri având ca unic scop transmiterea comunicațiilor în cadrul unei rețele de comunicații electronice.

Cele care fac informațiile să zburde din rețea spre device și invers.

  • Cookie-uri strict necesare pentru a presta un serviciu online solicitat de utilizator.
  • Cookie-uri ce rețin consimțământul sau refuzul utilizatorului privind cookie-urile.

Mai ales că asta e una dintre obligațiile esențiale ale operatorului în legătură cu consimțământul utilizatorului: să înregistreze sesiunea prin care acesta și-a dat acordul la folosirea cookie-urilor pentru a putea dovedi oricând i se solicită.

  • Cookie-uri de autentificare.
  • Cookie-uri ce rețin produsele adăugate într-un coș de cumpărături și cele care sunt folosite în procesul de plată.
  • Cookie-uri de personalizare a interfeței cu utilizatorul unde personalizarea este o parte intrinsecă a serviciului (limba site-ului spre exemplu).
  • Cookie-uri de Load balancing.

Care creează o legătură între ID-ul dispozitivului și un anumit server din rețea pe perioada unei sesiuni. Această legătură are rolul de a optimiza experiența utilizatorului și folosirea resurselor de rețea.

  • Cookie-uri care limitează accesarea serviciului sau conținutului dintr-un site la câteva vizualizări (free views) sau la o perioadă determinată de timp, pentru ca mai apoi să solicite o plată pentru respectivul conținut/ serviciu.
  • Cookie-uri analitice first-party care colectează date convertite în statistici anonime strict necesare pentru măsurarea performanței, detectarea problemelor de navigare, optimizarea performanțelor tehnice, analiza capacităților serverului, analiza conținutului vizualizat și alte scopuri similare.

Ce e de reținut e că toate cookie-urile care nu se încadrează la excepții trebuie justificate prin consimțământ. Iar consimțământul trebuie fie liber exprimat, specific, granular, exprimat în cunoștință de cauză, o acțiune clară afirmativă și (extrem de important!) dovedit prin înregistrarea sesiunii în care a fost acordat.

Toate aceste condiții ale consimțământului pentru cookie-uri, scrise negru pe alb, sunt însă presărate uneori cu zone gri, iar regulile pot deveni elastice de la caz la caz.

Să luăm spre exemplu chiar situația recentă a Autorității de supraveghere franceze (CNIL) care a încercat să interzică, fără diferențiere, celebrele cookie walls, care transformă consimțământul utilizatorului într-un soi de gustare obligatorie dacă vrea să treacă la felul principal. N-a reușit. Zidurile de cookie-uri vor fi analizate de la caz la caz și dacă se constată că utilizatorul are posibilitatea de a-și exprima în mod liber consimțământul ele rămân în picioare. Vom vorbi pe larg despre cookie walls într-un alt articol.

În final, în orice rol ne-am afla trebuie să rămânem cu toții vigilenți, să analizăm lucrurile și din perspectiva celuilalt, și mai ales să nu abuzăm de poziția noastră în poveste.

Așadar, keep calm and eat cookies (sau cozonac, după preferințe), dar cu măsură!

Poză de Vyshnavi Bisani pe Unsplash.com

Un răspuns

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *