Las claves del fingerprinting o huella digital

La AEPD ha publicado un estudio que analiza los elementos principales del denominado fingerprinting o huella digital

¿Qué es el fingerprintingo huella digital?

Más allá de las cookies o los pixels, existen otras técnicas de identificación y seguimiento en internet que permiten la realización de perfiles y la rentabilización potencial de los datos asociados a los mismos. En esta categoría aparece el denominado fingerprintingo huella digital del dispositivo, que se define como una recopilación sistemática de información sobre un determinado equipo remoto a fin de identificarlo y singularizarlo. Si bien puede llevarse a cabo con un fin legítimo como la habilitación de mecanismos de autenticación múltiple, también se puede utilizar para hacer seguimiento y perfilado, con el objetivo último de explotar tales datos, aunque inicialmente la información se recoja con una finalidad técnica.

¿Cómo afecta la huella digital a la privacidad?

El elemento clave de esta situación es el hecho de que la singularización de un dispositivo suele implicar también la identificación directa de un individuo, lo que conduce de manera automática a la aplicación de la normativa de protección de datos. Este hecho se agrava por la posibilidad de restitución de las cookies a partir de la huella digital, aunque éstas hayan sido borradas, con lo que se perdería así la eficacia de eliminación de cookies como medida de protección de la privacidad y se incrementaría el riesgo por la posibilidad de analizar al individuo sin que éste sea consciente de ello.

Pulsa en la imagen para verla en grande

¿Realmente se puede identificar a un individuo por la huella digital?

Las claves que permiten la singularización total de los dispositivos y, en consecuencia, de los individuos, deriva de tres factores principales presentes en la huella digital:

  • Recopilación de grandes cantidades de datos sobre características discriminantes.
  • Naturaleza global de internet.
  • Identificador único, por dispositivo y en el tiempo.

¿Pueden los usuarios bloquear el seguimiento web?

Si bien no existe actualmente una opción real de bloquear por completo la huella digital, la mayoría de los navegadores permiten establecer las preferencias de seguimiento del usuario para los parámetros de seguimiento de uso más extendido. El Consorcio WWW (W3C) ha elaborado el mecanismo Do Not Track (DNT) para que el usuario pueda configurar sus preferencias de privacidad, de forma que un servicio web pueda deshabilitar sus técnicas de seguimiento ante la petición del individuo. El estándar establece que por defecto no se envíe este campo de cabecera a menos que el usuario lo habilite desde el navegador.

De esta forma, los sitios web deberían comprobar dicho parámetro mediante llamadas a funciones Javascrip en el dipositivo del usuario, lo cual permitiría al responsable del tratamiento conocer el consentimiento del interesado. Sin embargo, en el estudio realizado por la AEPD se detectó que únicamente el 16,72% de los sitios web comprueban este elemento y, aún efectuando dicha comprobación, las preferencias del usuario se respetan en menos de un 40% de los casos, pues se siguen haciendo llamadas a funciones sospechosas de ser utilizadas para la confección de la huella de usuario. Se reflejó además que en algunas circunstancias la variable DNT es incluso utilizada como factor adicional para configurar la huella digital.

Otras medidas para proteger la privacidad:

  • Instalación de bloqueadores.
  • Deshabilitación del uso de Javascrip.
  • Uso alternado de varios navegadores.
  • Ejecución del acceso a internet en máquinas virtuales.
  • Reducir la instalación de otro tipo de extensiones en el navegador.

Requisitos de privacidad y protección de datos para la industria

Fabricantes y desarrolladores:

  • Productos con opciones de configuración del seguimiento web.
  • Activación predeterminada y por defecto de la máxima privacidad.

Entidades que utilicen la huella:

  • Previa comprobación de la configuración del mecanismo DNT.
  • Previo consentimiento del usuario (aun cuando la opción DNT esté inactiva).
  • Incluir el uso de la huella en el registro de actividades de tratamiento.
  • Supervisión y asesoramiento del Delegado de Protección de Datos.
  • Análisis de riesgos y posterior Evaluación de Impacto si procede, que deberá incluir:
    • El impacto de la filtración de la información de perfilado contenidas en las bases de datos.
    • En relación con la anterior, el acceso a dicha información por organizaciones gubernamentales o políticas.
    • La utilización de sesgos sociales, culturales, raciales, etc, que conlleven decisiones automáticas.
    • El acceso por empleados o terceros a datos de usuarios concretos.
    • La utilización de los datos para la realización de acoso social, político o de género.
    • La recogida excesiva de datos y su conservación por un tiempo excesivo.
    • El impacto sobre la percepción de la libertad de actuación del uso de la información de perfilado.
    • La manipulación de los deseos, creencias y estado emocional de los usuarios.
    • En relación con los anteriores, el riesgo de una re-identificación.

La huella digital podría ser una prueba de cómo la tecnología avanza más rápido que la normativa, si bien este tipo de circunstancias están ya previstas en el RGPD que incluye una referencia genérica a los identificadores en línea en su Considerando 30, de tal forma que la regulación en protección de datos se aplica de manera directa al fingerprinting.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Directrices del Comité Europeo de Protección de Datos sobre los Códigos de Conducta

El Comité Europeo de Protección de Datos publica unas pautas sobre los Códigos de Conducta y las correspondientes autoridades de control conforme al RGPD.

Uno de los principales conceptos que introduce el RGPD es el principio de “accountability” que recae sobre el responsable de los datos, lo que se traduce en un deber de diligencia respecto del tratamiento, entendido como la obligación de aplicar las medidas correspondientes según la naturaleza de la información y del contexto. Uno de los métodos previstos en el RGPD para demostrar la observancia de este principio son los denominados Códigos de Conducta, previstos en los artículos 40 y 41 de la norma. El Comité Europeo de Protección de Datos se ha pronunciado con una interpretación práctica de la materia, a fin de establecer un criterio base y clarificar los conceptos y reglas que se aplican.

Los Códigos de Conducta son herramientas de cumplimiento de carácter voluntario que establecen una serie de normas específicas para un determinado sector, y que se aplicarán a los responsables y encargados de dicho sector que de forma libre deseen adherirse. Los Códigos otorgan así cierto nivel de autonomía a los responsables y encargados, que pueden determinar las prácticas más adecuadas que mejor se adaptan a su sector, y generan confianza en los usuarios al suponer un compromiso concreto en cuanto al tratamiento de sus datos. Los Códigos de Conducta están además reconocidos en el RGPD como un método válido para demostrar cumplimiento con algunos de sus principios y previsiones.

El Comité Europeo de Protección de Datos ha establecido una serie de criterios que las Autoridades de Control deberán tener en cuenta para evaluar la viabilidad de los Códigos de Conducta, a saber:

  • Declaración de aplicabilidad y documentación de apoyo, a fin de detallar el propósito y ámbito del Código.
  • Representante: los Códigos deberán ser presentados por una asociación o conjunto de ellas en representación de determinadas categorías o grupos de responsables y encargados.
  • Ámbito del tratamiento: el Código deberá definir las actividades de tratamiento sobre las que opera, así como las categorías de responsables y encargados.
  • Alcance territorial: se habrá de señalar de forma específica si es un Código nacional o internacional, y las jurisdicciones sobre las que tendrá efecto.
  • Sumisión a una Autoridad de Control: la Autoridad de Control que reciba el Código para su revisión deberá ser competente para ello conforme a las normas del RGPD.
  • Previsión de mecanismos de cumplimiento: el Código deberá incluir un sistema de supervisión de cumplimiento por parte de aquellos que se adhieran.
  • Consulta: el Código deberá configurarse de modo que incluya la información relevante sobre las consultas realizadas para su redacción (empresas, interesados, etc.).
  • Legislación nacional: cualquier Código propuesto tendrá que haber sido redactado en consonancia con la legislación nacional, sobre todo cuando haya normativa sectorial que sea de aplicación.
  • Idioma: en términos generales los Códigos deberán ser presentados en el idioma oficial del país de la Autoridad de Control, y, aquellos de ámbito internacional, también en inglés.

Además de estos criterios objetivos base, la aprobación final del Código pasa también por la valoración de la forma en que éste da respuesta específica a las necesidades del sector en la materia a la vez que beneficia a toda la sociedad.

En cuanto al aspecto formal del resto del procedimiento, cabe destacar que los Códigos podrán presentarse a la Autoridad de Control tanto de forma online como escrita, y que en caso de sufrir algún defecto de forma o fondo no hay período de subsanación, sino que deberá presentarse de nuevo. En el caso de los Códigos de ámbito internacional, la Autoridad de Control competente remitirá el borrador al resto de autoridades interesadas, de las cuales dos se identificarán como co-revisores y tendrán un plazo de treinta días para pronunciarse al respecto, tras lo que se decidirá si se remite al Comité Europeo de Protección de Datos para su valoración.

Finalmente, el propio Código deberá prever una institución de supervisión que controle su efectivo cumplimiento por parte de las partes adheridas, y dicha institución tendrá que ser aprobada por parte de la Autoridad de Control. Se han establecido también una serie de requisitos que deberán cumplir estas instituciones, entre los que se encuentran:

  • Independencia: lo representantes tendrán que demostrar la efectiva independencia de la institución respecto de la profesión y el sector en sí mismo, pero este hecho no impide que la institución de control pueda ser tanto externa como interna, aunque en este último caso sus funciones, dirección y responsabilidades deberán estar separadas del resto de la organización.
  • Conflicto de intereses: en línea con la anterior característica y de manera similar a lo que ocurre con los Delegados de Protección de Datos, la institución de supervisión no podrá recibir normas del sector u organización al que sirve. Asimismo, deberá evitar cualquier incompatibilidad.
  • Experiencia: la misma propuesta de institución de supervisión deberá incluir una relación de la experiencia en la materia, tanto en protección de datos como en el campo específico al que se aplique.
  • Estructura y procedimiento: la institución deberá prever una serie de procesos que permitan un efectivo control de cumplimiento y toma de acción cuando sea necesario.
  • Transparencia: la institución habrá de contar con un sistema de funcionamiento transparente, principalmente en relación a la resolución de quejas y procedimientos, además de ser dotada de los poderes suficientes para ejercer su función.

Puedes acceder al documento original (en inglés) aquí.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Alemania prohíbe a Facebook combinar datos de diferentes fuentes

La autoridad alemana de regulación de la competencia (Bundeskartellamt) restringe el tratamiento de datos realizado por Facebook basado en combinar información de sus usuarios proveniente de diferentes fuentes.

Alemania prohíbe a Facebook el cruzado de datos de sus usuarios sin su consentimiento. Esta práctica consistía en la recopilación de datos tanto de diferentes websites y aplicaciones propiedad de la red social como de páginas de terceros a fin de combinar la información y relacionarla con la cuenta de Facebook de cada usuario particular, de manera que se creaba así una base de datos única para cada individuo en concreto.

Los términos de servicio de Facebook y la parte de su política de Privacidad correspondiente a la forma en que se tratan los datos infringen el RGPD. Facebook tendrá que rediseñar su actividad en este sentido y actualizar sus políticas para ceder al usuario más control sobre sus datos, y, en concreto, la posibilidad de cruzado de los mismos. En palabras de Andreas Mundt, presidente del Bundeskartellamt, “En el futuro los usuarios podrán evitar que Facebook recoja y use sus datos de manera indiscriminada. La práctica hasta ahora asentada basada en el cruzado de datos sin ninguna limitación deberá ahora estar sujeta a consentimiento voluntario de los usuarios. El hecho de que sea voluntario significa que el uso de los servicios de Facebook no debe estar condicionado a que el usuario otorgue o no el consentimiento para la combinación de información, de tal forma que, si no lo concede, los servicios deberán estar igualmente disponibles”. Si Facebook no recoge el consentimiento a estos efectos, el tipo de tratamiento que podrá dar a los datos será muy restringido. Facebook deberá desarrollar una solución a esta situación en los próximos cuatro meses y presentarla al Bundeskartellamt.

El Dr Bostjan Makarovic, Socio Gerente de Aphaia, ha analizado este escenario y considera que “la forma en que Facebook recoge, cruza y usa los datos constituye una situación de abuso de posición dominante, y el descubrimiento de que se estaba dando esa práctica supone un paso importante tanto para la ley de protección de datos como para la de competencia y la interacción entre ambas”; y aclara las implicaciones que se pueden derivar: “se confirmaría así que algunas actividades de tratamiento pueden ser legales o ilegales en función del poder de mercado del responsable, lo cual afectaría no sólo a los particulares, sino también a algunas pequeñas empresas, pues se reconocería que la legitimación del tratamiento puede ser interpretada según el tamaño y alcance de las actividades. Queda por ver cómo se reflejará esta problemática en la jurisprudencia sobre protección de datos”.

Se puede acceder el documento original del Bundeskartellamt (en inglés) aquí.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Publicada la consulta pública de la Comisión Europea sobre los principios éticos para la Inteligencia Artificial

La Comisión Europea ha publicado los resultados a la consulta pública planteada en relación al informe sobre los principios éticos de la Inteligencia Artificial.

¿Imaginas ser parte de los criterios éticos de las personas que nos atienden en comercios y establecimientos? Por ejemplo, imaginemos ir al banco a pedir un crédito y poder discutir con el responsable las razones éticas para concederlo o denegarlo, como la polémica de considerar como variable la ciudad de residencia. Situémonos ahora en el proceso de admisión de un colegio, donde unos padres le preguntasen al director los derechos humanos que ha tenido en cuenta para decidir si su hijo es o no admitido, o incluso una sociedad en la que hubiese una moral supraindividual, de cumplimiento voluntario, pero conforme a la cual se juzgarían y calificarían todos los actos de nuestra vida, similar al famoso capítulo de la serie Black Mirror.

Algo similar se encuentra en pleno proceso de elaboración por parte de la Comisión Europea, pero no aplicado a las personas sino a la Inteligencia Artificial, lo cual es cuanto menos llamativo porque el fin último de la Inteligencia Artificial es asemejarse lo máximo posible al comportamiento humano, pero con las ventajas que la automatización implica. En este sentido y con tal propósito, es necesario dotar a la Inteligencia Artificial de determinados valores éticos que envuelvan sus actos y decisiones en unas mínimas normas morales que permitan su inserción en la sociedad.

A estos efectos, el Grupo de Expertos en Inteligencia Artificial de la Comisión Europea publicó el pasado 18 de diciembre un informe sobre las bases éticas que deben estar presentes en los sistemas que incorporen Inteligencia Artificial (puedes leer un resumen en español del documento aquí). Las claves de la iniciativa incluyen el establecimiento de unos principios éticos marco y la implantación práctica de soluciones, en ambos casos desde la perspectiva “human-centric approach”, conforme a la cual se prioriza el estatus civil, político, económico y social del ser humano.

El borrador fue expuesto a consulta pública, y ahora la Comisión ha publicado los resultados de la misma, a los que puedes acceder aquí. Se prevé que el documento definitivo sea publicado en marzo, a fin de crear un compromiso ético al que las empresas e instituciones puedan adherirse libremente.

Si necesitas asesoramiento en privacidad y protección de datos para sistemas de IA, en Aphaia realizamos Evaluaciones de Impacto y Adaptación a los requisitos éticos europeos.