Η απαγόρευση των cookies τρίτων παρόχων και η συναφής λήξη της παντοδυναμίας της περιόδου της επαναστόχευσης στη διαφήμιση αποτελεί ένα καλό παράδειγμα του πώς η νομοθεσία για τα προσωπικά δεδομένα μπορεί να επηρεάσει καταλυτικά μια καθιερωμένη πρακτική, ακόμα και όταν δεν την απαγορεύει ρητά.
Η επαναστόχευση (retargeting) και η συμπεριφορική διαφήμιση αποτελούσαν τα τελευταία χρόνια εξαιρετικά χρήσιμα εργαλεία για τους online διαφημιστές, ώστε να στοχεύσουν στο κατάλληλο κοινό και να επιτύχουν υψηλότερες πωλήσεις. Με τη χρήση cookies μπορούσαν να προβάλλουν εξατομικευμένες διαφημίσεις σε χρήστες, οι οποίοι είτε είχαν επισκεφθεί ένα συγκεκριμένο site είτε αναζητούσαν ένα προϊόν ή μια υπηρεσία σε άλλο site του διαδικτύου. Η πρακτική αυτή έχει εγείρει σοβαρά θέματα για την προστασία των προσωπικών δεδομένων των χρηστών, αν και τυπικά δεν απαγορεύεται από τον GDPR. Ωστόσο, υπό την πίεση του γενικότερου πνεύματος της προστασίας των προσωπικών δεδομένων οδηγείται σταδιακά στο τέλος της.
Η συμπεριφορική διαφήμιση έχει εγείρει σοβαρά θέματα για την προστασία των προσωπικών δεδομένων των χρηστών, αν και τυπικά δεν απαγορεύεται από τον GDPR
Η διαφορά μεταξύ first-party και third-party cookies
Η διάκριση ανάμεσα σε cookies του ίδιου του παρόχου που επισκέπτεται ο χρήστης (first-party cookies) και τρίτων παρόχων (third-party cookies) είναι καθοριστική, αφού αυτά που καταργούνται, επηρεάζοντας το retargeting σε δυνητικούς πελάτες είναι τα δεύτερα.
Τα first-party cookies δημιουργούνται και αποθηκεύονται στη συσκευή του χρήστη από τον ιστότοπο που επισκέπτεται και χρησιμοποιούνται για τη διευκόλυνση της εμπειρίας του και ορισμένες βασικές λειτουργικίες του ιστότοπου. Θεωρούνται σχετικά αβλαβή, καθώς δεν κατασκοπεύουν σε μεγάλο βαθμό τον χρήστη, αν και μπορούν να χρησιμοποιηθούν, ώστε να προβληθούν διαφημίσεις από το ίδιο site σε άλλες πλατφόρμες που επισκέπτεται ο χρήστης (π.χ. στο Facebook).
Τα third-party cookies, από την άλλη, αποθηκεύονται στη συσκευή του χρήστη από διαφορετικό ιστότοπο από εκείνον που επισκέπτεται ο χρήστης, παρακολουθώντας την ψηφιακή του δραστηριότητα και το ιστορικό αναζήτησης. Έτσι, κατόπιν του παρουσιάζονται εξατομικευμένες διαφημίσεις με βάση τις προτιμήσεις και τα γούστα του, αλλά από διαφορετικά brands (π.χ. αναζητούσε αθλητικά παπούτσια στο e-shop μιας μάρκας και του εμφανίζονται διαφημίσεις από μια άλλη μάρκα). Πρόκειται για μία πρακτική που τυπικά καλύπτεται από τη συγκατάθεση του χρήστη για τη χρήση μη απαραίτητων cookies, όμως οδηγεί στην αίσθηση ότι τα προσωπικά του δεδομένα δεν προστατεύονται επαρκώς, αφού κάποιος εισβάλλει και αποκτά πρόσβαση σε πληροφορίες που κανονικά θα έπρεπε να προστατεύονται.
Νομοθεσία για την προστασία προσωπικών δεδομένων και cookies
Εκτός από τον GDPR, στην ΕΕ τη χρήση cookies επηρεάζει και η Οδηγία για την προστασία της προσωπικής ζωής στις ηλεκτρονικές επικοινωνίες (Οδηγία ePrivacy 2002/58), η οποία έχει ενσωματωθεί στην ελληνική έννομη τάξη με τον ν. 3471/2006. Η Οδηγία αυτή έχει χαρακτηριστεί εύγλωττα ως «ευρωπαϊκός νόμος για τα cookies», καθώς απαιτεί τη συγκατάθεση του χρήστη για την εγκατάσταση και χρήση cookies, τα οποία δεν είναι λειτουργικά, δηλαδή δεν είναι απαραίτητα για τη λειτουργία της σελίδας που επισκέπτεται ο χρήστης.
Η Οδηγία αυτή συμπληρώθηκε από τον GDPR, ο οποίος αναφορικά με τη συγκατάθεση για τη χρήση cookies ξεκαθάρισε ότι αυτή πρέπει να είναι ρητή και θετική ενέργεια και δεν συνάγεται σιωπηρά από το κλείσιμο του cookie banner (χωρίς δηλαδή αποδοχή) και τη συνέχιση της πλοήγησης στην ιστοσελίδα. Έτσι, μπήκε τέλος σε έναν προβληματισμό που κυριαρχούσε και ο οποίος είχε προκύψει από τον διαφορετικό τρόπο, με τον οποίο είχε ενσωματωθεί η Οδηγία ePrivacy στις εθνικές έννομες τάξεις των κρατών-μελών. Μέχρι, δηλαδή, τη θέσπιση και την εφαρμογή του GDPR δεν ήταν σαφές αν η συγκατάθεση για τη χρήση cookies πρέπει να είναι ρητή ή μπορεί να συνάγεται σιωπηρά από τη συμπεριφορά του χρήστη.
Το πρόβλημα και η λύση του
Με βάση, πάντως, τα παραπάνω νομοθετήματα τα third-party cookies δεν απαγορεύονται, εφόσον ο χρήστης δηλώσει ρητά ότι τα αποδέχεται συμφωνώντας με την πολιτική απορρήτου του ιστοτόπου, η οποία πρέπει να φαίνεται ευκρινώς και να είναι γραμμένη σε απλή και κατανοητή γλώσσα. Η συγκατάθεση αυτή υπάρχει η δυνατότητα να δοθεί μόνο σε συγκεκριμένες κατηγορίες cookies, αν και η συνήθης πρακτική των χρηστών είναι να τα αποδέχονται όλα.
Έτσι, δίνουν άκριτα τη συγκατάθεσή τους για την επεξεργασία τόσο των first-party όσο και των third-party cookies, κάτι που στη συνέχεια τους δημιουργεί την αίσθηση ότι κάποιος τους παρακολουθεί και δεν σέβεται τα προσωπικά τους δεδομένα, αφού τους προβάλλονται συναφείς διαφημίσεις από brands που δεν γνωρίζουν καν.
Το πρόβλημα της άκριτης και επαναλαμβανόμενης συγκατάθεσης των χρηστών για τη χρήση cookies που οδηγεί σε προσβολή των προσωπικών τους δεδομένων αναμένεται να ρυθμιστεί με τον Κανονισμό ePrivacy
Αυτό το δυσεπίλυτο πρόβλημα που οδηγεί σε καταστρατήγηση του πνεύματος της νομοθεσίας για την προστασία των προσωπικών δεδομένων επισημάνθηκε και στο τελικό σχέδιο για τον Κανονισμό ePrivacy, ο οποίος αναμένεται να τεθεί σε ισχύ το προσεχές διάστημα. Συγκεκριμένα, σε αυτόν αναφέρεται ότι η επαναλαμβανόμενη συγκατάθεση για τα cookies οδηγεί στην κόπωση των χρηστών, οπότε είναι απαραίτητο να ληφθούν επιπλέον μέτρα, όπως η εγκατάσταση εγκεκριμένων παρόχων για συγκεκριμένα cookies, ώστε ο χρήστης να μην καταλήγει να δίνει άκριτα τη συγκατάθεσή του.
Βέβαια, σε μεγάλο βαθμό η κατάσταση ρυθμίστηκε και από την αγορά. Τον Ιανουάριο του 2020, η Googleανακοίνωσε ότι μέχρι το 2022 το πρόγραμμα περιήγησης Google Chrome θα πάψει να υποστηρίζει third-partycookies, κάτι που είχε ανακοινωθεί νωρίτερα και από το Safari της Apple και το Mozilla Firefox. Πρόκειται ουσιαστικά για συμμόρφωση των κολοσσών του internet στις υψηλές απαιτήσεις που έθεσε ο GDPR σχετικά με την προστασία των προσωπικών δεδομένων, αφού πλέον η τάση είναι να τίθεται νέα αυστηρά πρότυπα και οι εταιρείες να λαμβάνουν πρωτοβουλίες που εγγυώνται αυτή την προστασία ακόμα και σε μεγαλύτερο βαθμό από αυτόν που προβλέπει το νομοθετικό κείμενο.