Se împlinesc curînd 2 ani de cînd am scris, pe scurt, despre cookies și interacțiunea utilizatorului simplu cu siturile. Între timp, am constatat că majoritatea siturilor media și-au instalat „cookies consent manager„/„cookies management platform„. Doar că, majoritatea siturilor pe care ajung ascund „scopul„ pentru care utilizează cookies iar „bifarea/debifarea butoanelor„ a devenit o mare artă.

Reiau o scurtă clasificare a cookies:

• după durată:
  • sesiune
  • persistente
• după sursă:
  • first party
  • third party
• după scop:
  • strict necesare
  • preferințe
  • statistică
  • marketing

Cookie-urile nu trebuie judecate numai în funcție de conținutul lor, ci mai ales în funcție de scopul prelucrării, cine le stabilește și riscurile pe care le aduc confidențialității utilizatorului.
O mare parte din normele privind cookie-urile se regăsesc în e-Privacy Directive. În timp ce ePD vorbește despre „cookie-uri”, conform WP29, semnificația acestora „se aplică tuturor tipurilor de informații stocate sau accesate” (WP29 04/2012) și, prin urmare, ar trebui să includă alte tehnologii, cum ar fi scripturi și trackere.
Rareori cookie-urile setate de operator/controller indirect sînt strict necesare: ele sînt acolo pentru a servi interesele unui alt operator de date pe care eu nu l-am solicitat explicit cînd accesez pagina respectivă (de ex am vizitat un site și primesc un cookie facebook sau google)

Cînd consider eu că nu trebuie consimțămînt pentru cookies și „urmăritori„? Pentru orice altă situație cu excepția cookies strict necesare:

• În general, ori de cîte ori eu solicit o funcționalitate pe site și cookies este necesară pentru a mi se livra acea funcționalitate.
• Atunci cînd trebuie să se urmărească conținutul curent pe site (coșul de cumpărături, datele completate într-un formular) – sesiune
• Atunci cînd mă autentific și sesiunea mea trebuie să fie activă toată această perioadă
• Atunci cînd se oferă funcționalități legate de securitatea sitului (de exemplu evitarea brut-force login sau bots)
• Atunci cînd interfața sitului se comportă conform preferințelor mele.

Odată cu decizia Curții UE în cazul Planet49, s-a clarificat modul în care ar trebui configurate bannerele cookie. Plasarea cookie-urilor necesită acum consimțământul activ al utilizatorului (trebuie să fie un consimțământ opt-in) și cookie-urile nu pot fi preselectate. Mai mult, utilizatorilor trebuie să li se prezinte un mod ușor de a refuza consimțământul pentru cookie-uri (și, prin urmare, prelucrarea datelor). Această decizie nu privește doar cookie-urile proprii ci și pe cele de la terți.

Am constat că în cazul multor situri media de la noi, pentru cookie-urile Google se folosesc setările implicite din imaginea de mai sus: consimțămînt inactiv, dar interes legitim activ? Chiar dacă există documentat un interes legitim, folosirea acestuia pentru alte cookie-uri decît cele strict necesare nu cred că este corectă. Cum incorectă mi se pare și opțiunea lăsată implicit activă: în mod implicit și din momentul creării, totul trebuie să fie minim, adică „off„.

Toate acestea sînt manipulative, o formă de „dark pattern„. Iată ce spune ICO despre considerentul 25 din ePD:

• „Conținut specific site-ului web” înseamnă că nu trebuie să supuneți „accesul general” condițiilor care impun utilizatorilor să accepte cookie-uri neesențiale – puteți limita anumite conținuturi numai dacă utilizatorul nu este de acord;
• termenul „interes legitim” se referă la facilitarea furnizării unui serviciu al societății informaționale – adică un serviciu pe care utilizatorul îl solicită în mod explicit. Aceasta nu include terțe părți, cum ar fi serviciile de analiză sau publicitatea online;

Nu cred că va dura mult timp și vom vedea ceva comunicări publice de la ANSPDCP cu privire la acest subiect.