¿Cuáles son los riesgos de privacidad de la huella digital del dispositivo?

En el vlog de esta semana hablamos sobre la huella digital del dispositivo.

¿Sueles borrar las cookies? ¿Te sientes así protegido frente a los identificadores online?

Te contamos por qué borrar las cookies ya no es suficiente para no ser rastreado en internet.

¿Qué es el fingerprinting o huella digital?

Más allá de las cookies o los pixels, existen otras técnicas de identificación y seguimiento en internet que permiten la realización de perfiles y la rentabilización potencial de los datos asociados a los mismos. En esta categoría aparece el denominado fingerprintingo huella digital del dispositivo, que se define como una recopilación sistemática de información sobre un determinado equipo remoto a fin de identificarlo y singularizarlo. Si bien puede llevarse a cabo con un fin legítimo como la habilitación de mecanismos de autenticación múltiple, también se puede utilizar para hacer seguimiento y perfilado, con el objetivo último de explotar tales datos, aunque inicialmente la información se recoja con una finalidad técnica.

Los motivos por los que la privacidad se ve amenazada por la huella digital del dispositivo son los siguientes:

-Puesto que normalmente los dispositivos no se comparten entre varias personas, ser capaz de singularizar un teléfono móvil conduce automáticamente a la identificación de una persona.

-Un riesgo adicional surge de la posibilidad de relacionar la información entre sí incluso cuando las cookies han sido eliminadas.

Los interesados pueden ser por tanto identificados mediante la huella digital del dispositivo, y los tres elementos principales que dan lugar a ello son los siguientes:

-Recogida masiva de datos.

-Naturaleza global de internet.

-Identificador único.

La huella digital del dispositivo está regulada en el RGPD por medio del considerando 30, que se refiere de manera genérica a los identificadores online. La legislación de protección de datos, por tanto, se aplica de forma directa al fingerprinting.

Consejos para los usuarios:

-Establecer las preferencias en los ajustes de los navegadores.

-Activar el mecanismo “Do Not Track”, que ha sido diseñado para frenar el seguimiento online.

Consejos para los responsables del tratamiento:

-Comprobar de manera previa al tratamiento la configuración del mecanismo DNT.

-Recoger el consentimiento del usuario (aun cuando la opción DNT esté inactiva).

-Incluir el uso de la huella en el registro de actividades de tratamiento.

Te recomendamos:

-Realizar una Evaluación de Impacto que considere el riesgo de compartir y difundir los datos del perfil de los interesados.

-Evitar el sesgo cultural, racial o social y su presencia en la toma automatizada de decisiones.

-Crear controles de acceso tanto de los empleados como de terceros a los datos de los usuarios.

-Evitar la colección masiva de datos y períodos largos de almacenamiento, lo que implica implantar políticas de minimización de datos.

-Considerar el impacto del uso libre de los datos del perfil de los usuarios.

-Evitar la manipulación de los interesados mediante el uso de sus datos.

-Tener en cuenta el riesgo de re-identificación.

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.

Apple da un paso más para proteger la privacidad de los niños

Aún a riesgo de afectar a su negocio, Apple ha decidido cambiar sus normas en relación a las apps infantiles.

Bajo las nuevas normas, las apps infantiles de Apple Store no podrán utilizar software analítico externo, que son líneas invisibles de código empleadas para recoger información muy detallada sobre quién y cómo se usa la app. Apple también restringirá la habilidad de vender publicidad en estas apps, lo cual hasta el momento es lo que ha sostenido el modelo de negocio de aquellas apps que son gratuitas. Estos cambios se han introducido a raíz de que muchos niños estaban recibiendo anuncios inapropiados, según Apple.

Las novedades forman parte de un movimiento para mejorar la protección de la privacidad de los usuarios, lo cual ha sido elogiado por muchos abogados. Se teme sin embargo que estas medidas, lejos de proteger a los niños, los expongan en mayor medida al uso de apps para adultos.

Algunos desarrolladores web, por su parte, están preocupados de que las nuevas normas limiten la posibilidad de introducir anuncios en las apps, lo cual conduciría a la necesidad de abandonar el modelo de negocio que permite actualmente que éstas se ofrezcan sin coste. Apple alega que con este giro está respondiendo a las preocupaciones de muchos padres. Phil Schiller, Vicepresidente de Apple de marketing a nivel mundial, explicó que algunos padres estaban quejándose de la publicidad inapropiada que llegaba a sus hijos cuando utilizaban apps de iPhone: “los padres se decepcionan en gran medida cuando esto ocurre, porque ellos confían en nosotros”.

Con las nuevas normas, el software analítico de Apple sí podrá seguir utilizándose, pero, una vez que los datos hayan sido recogidos, Apple no podrá ver qué se hace con ellos como tal, como enviarlos a un servidor donde puedan ser analizados por terceros. De alguna forma, y conforme a profesionales de la industria, parece que Apple podría estar incluso empeorando la situación al relegar el análisis de datos a prácticas ocultas.

La App Store de Apple se encuentra en el punto de mira de una investigación europea antimonopolio, tras la acusación de una app de música sueca que alegó que Apple beneficiaba la música de Apple Music en la Apple Store. Asimismo, el Tribunal Supremo aceptó a trámite un caso que apuntaba a Apple de usar su poder de monopolio para aumentar de manera injustificada los precios de las app.

Las apps infantiles suponen sólo una pequeña parte de los millones de app disponibles en Apple Store, aunque Apple se ha negado a aportar datos sobre cuál es el porcentaje. Tampoco se ha proporcionado información sobre cuántas de dichas apps recogen información personal de los niños y cuáles lo hacen de manera inapropiada.

Muchos abogados se han quejado durante años de estos problemas de Apple que ahora la compañía dice estar intentando resolver. La Ley de 1998 sobre la protección de la privacidad de los menores (COPPA) y el RGPD limitan los datos que las apps infantiles pueden recoger y rastrear.

Según el Cristina Contero Almagro, Socio Gerente de Aphaia,»si bien esto es un paso remarcable en la dirección correcta, está todavía por ver cómo se aplicará en la práctica. La imposición de las nuevas normas muestra una preocupación teórica de Apple, uno de los gigantes de internet, sobre privacidad, si bien la protección de datos va más allá de una serie de reglas escritas. Dado que el software propio de Apple sí se permite, la información personal de los menores se seguirá recogiendo, y estará por tanto expuesta a un mal uso. Y, lo que es peor, si no hay control sobre cómo y a quién los desarrolladores transfieren después esos datos, los interesados no podrán ejercer de forma adecuada sus derechos, lo cual supondrá una inaceptable limitación del RGPD».

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

IA Y LAS MULTAS BAJO EL RGPD

En el blog de esta semanahemos analizado las multas impuestas bajo el RGPD y el rol de la Inteligencia Artificial en este contexto.

Una de las multas más sonadas de las impuestas bajo el RGPD hasta el momento ha sido la multa de más de 500.000 € que la ICO, en el Reino Unido, ha impuesto a Facebook por incumplimiento de la normativa. La investigación de la ICO ha probado que Facebook trató información personal de forma ilegítima al permitir a los desarrolladores de aplicaciones acceso a los datos de interesados sin consentimiento claro e informado. Asimismo, Facebook tampoco realizó los debidos controles de seguridad en las apps y desarrolladores que utilizaban su plataforma. Todo esto condujo a que datos de más de 87 millones de personas en todo el mundo fueron recogidos sin su consentimiento.

Además, un subconjunto de estos datos fue también compartido con otras compañías, incluida Cambridge Analytica, la cual estuvo involucrada en el escándalo político de Estados Unidos. La ICO descubrió que información personal de al menos un millón de interesados británicos fue expuesta.

La Comisión Federal de Comercio ha anunciado un acuerdo de 5 billones de dólares con Facebook, después de una larga investigación sobre el escándalo de Cambridge Analytica y otras brechas de privacidad. Esta multa es la segunda mayor cuantía jamás impuesta por la Comisión Federal de Comercio.

Las multas del RGPD han sido diseñadas de tal modo que no cumplir con la normativa suponga un alto coste para las empresas independientemente de su tamaño. Los incumplimientos más graves pueden resultar en una multa de 20 millones de euros o el 4% del beneficio financiero del año anterior, según qué cuantía sea mayor.

Estas multas pueden surgir por la violación de los artículos que regulan:

  • Los principios básicos del tratamiento.
  • Las condiciones del consentimiento.
  • Los derechos de los interesados.
  • La transferencia de datos a una organización internacional o un receptor en un tercer país.

Un mal uso de los sistemas de IA puede estar vinculado con la mayoría de ellos, porque, por un lado, hay sólo dos bases válidas para el tratamiento: contrato y consentimiento, y cuando rija el consentimiento éste debe ser explícito. Por otro lado, la toma automatizada de decisiones y la elaboración de perfiles se regula en el artículo 22 del RGPD, que está incluido en el Capítulo III, sobre los derechos de los interesados.

En consecuencia, aplicar todas las medidas de seguridad que recoge el RGPD se convierte en un paso esencial para evitar incurrir en una brecha del tratamiento:

  • Pseudonimización y cifrado de los datos;
  • la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  • la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  • un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

El uso de sistemas de IA requiere sin embargo la implementación de algunas medidas de seguridad adicionales para salvaguardar los derechos y libertades de los sujetos y también el interés legítimo. Entre ellas se encuentran: el derecho a obtener intervención humana, expresar su punto de vista y cuestionar la decisión.

La ICO pretende imponer una multa de más de 180 millones de euros a British Airways por el robo de información personal y financiera de sus clientes, y también una multa de más de 100 millones de euros al hotel Marriott por exponer de forma accidental 339 millones de registros de huéspedes de forma global. Las multas de British Airways y de Marriott no están relacionadas con el uso de IA. ¿Te imaginas qué cantidad hubiesen alcanzado si se hubiese aplicado IA? ¡Comparte tus ideas con nosotros!

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.

El CNIL impone una multa de 180.000 euros por brecha de seguridad

La aseguradora Active Insurances ha sido multada por el CNIL, la autoridad de control de Francia, con una cantidad de 180.000 euros por “no proteger la información de manera adecuada conforme al artículo 32 del RGPD”.

El incidente fue notificado por primera vez al CNIL por parte de un cliente que afirmaba que era capaz de acceder a los datos personales de otros usuarios, incluidos carnés de conducir, tarjetas y registros bancarios. El CNIL se lo comunicó en consecuencia a la compañía, que aceptó tomar medidas correctivas para proteger los datos de sus consumidores.

Active Insurances informó al CNIL de la aplicación de las medidas necesarias, y la autoridad de control procedió a una inspección de las oficinas, tras lo que concluyó que:

  • las medidas no eran suficientes;
  • los protocolos de contraseñas, impuestos por la empresa, se correspondían con la fecha de nacimiento de cada trabajador, de lo cual se informaba en los mismos manuales;
  • tras la creación de la cuenta de cliente, tanto el usuario como la contraseña eran enviados a los sujetos por email con una indicación expresa.

El CNIL ha considerado que Active Insurances no ha actuado con la diligencia debida para la protección de los datos personales que trata y destacó los siguientes puntos:

  • la compañía debería haber implementado controles de acceso a los documentos;
  • se debería haber cambiado el nombre de los documentos para que no fuesen fácilmente accesibles mediante un motor de búsqueda;
  • se debería haber instado a los usuarios a utilizar contraseñas reforzadas y bajo ninguna circunstancia se deberían haber compartido por email.

La decisión del CNIL toma en cuenta la seriedad de la violación de seguridad debido a la naturaleza de la misma, la sensibilidad de la información personal comprometida y el número de personas afectadas.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.