La AEPD ha publicado un estudio que analiza los elementos principales del denominado fingerprinting o huella digital
¿Qué es el fingerprintingo huella digital?
Más allá de las cookies o los pixels, existen otras técnicas de identificación y seguimiento en internet que permiten la realización de perfiles y la rentabilización potencial de los datos asociados a los mismos. En esta categoría aparece el denominado fingerprintingo huella digital del dispositivo, que se define como una recopilación sistemática de información sobre un determinado equipo remoto a fin de identificarlo y singularizarlo. Si bien puede llevarse a cabo con un fin legítimo como la habilitación de mecanismos de autenticación múltiple, también se puede utilizar para hacer seguimiento y perfilado, con el objetivo último de explotar tales datos, aunque inicialmente la información se recoja con una finalidad técnica.
¿Cómo afecta la huella digital a la privacidad?
El elemento clave de esta situación es el hecho de que la singularización de un dispositivo suele implicar también la identificación directa de un individuo, lo que conduce de manera automática a la aplicación de la normativa de protección de datos. Este hecho se agrava por la posibilidad de restitución de las cookies a partir de la huella digital, aunque éstas hayan sido borradas, con lo que se perdería así la eficacia de eliminación de cookies como medida de protección de la privacidad y se incrementaría el riesgo por la posibilidad de analizar al individuo sin que éste sea consciente de ello.
Pulsa en la imagen para verla en grande
¿Realmente se puede identificar a un individuo por la huella digital?
Las claves que permiten la singularización total de los dispositivos y, en consecuencia, de los individuos, deriva de tres factores principales presentes en la huella digital:
- Recopilación de grandes cantidades de datos sobre características discriminantes.
- Naturaleza global de internet.
- Identificador único, por dispositivo y en el tiempo.
¿Pueden los usuarios bloquear el seguimiento web?
Si bien no existe actualmente una opción real de bloquear por completo la huella digital, la mayoría de los navegadores permiten establecer las preferencias de seguimiento del usuario para los parámetros de seguimiento de uso más extendido. El Consorcio WWW (W3C) ha elaborado el mecanismo Do Not Track (DNT) para que el usuario pueda configurar sus preferencias de privacidad, de forma que un servicio web pueda deshabilitar sus técnicas de seguimiento ante la petición del individuo. El estándar establece que por defecto no se envíe este campo de cabecera a menos que el usuario lo habilite desde el navegador.
De esta forma, los sitios web deberían comprobar dicho parámetro mediante llamadas a funciones Javascrip en el dipositivo del usuario, lo cual permitiría al responsable del tratamiento conocer el consentimiento del interesado. Sin embargo, en el estudio realizado por la AEPD se detectó que únicamente el 16,72% de los sitios web comprueban este elemento y, aún efectuando dicha comprobación, las preferencias del usuario se respetan en menos de un 40% de los casos, pues se siguen haciendo llamadas a funciones sospechosas de ser utilizadas para la confección de la huella de usuario. Se reflejó además que en algunas circunstancias la variable DNT es incluso utilizada como factor adicional para configurar la huella digital.
Otras medidas para proteger la privacidad:
- Instalación de bloqueadores.
- Deshabilitación del uso de Javascrip.
- Uso alternado de varios navegadores.
- Ejecución del acceso a internet en máquinas virtuales.
- Reducir la instalación de otro tipo de extensiones en el navegador.
Requisitos de privacidad y protección de datos para la industria
Fabricantes y desarrolladores:
- Productos con opciones de configuración del seguimiento web.
- Activación predeterminada y por defecto de la máxima privacidad.
Entidades que utilicen la huella:
- Previa comprobación de la configuración del mecanismo DNT.
- Previo consentimiento del usuario (aun cuando la opción DNT esté inactiva).
- Incluir el uso de la huella en el registro de actividades de tratamiento.
- Supervisión y asesoramiento del Delegado de Protección de Datos.
- Análisis de riesgos y posterior Evaluación de Impacto si procede, que deberá incluir:
- El impacto de la filtración de la información de perfilado contenidas en las bases de datos.
- En relación con la anterior, el acceso a dicha información por organizaciones gubernamentales o políticas.
- La utilización de sesgos sociales, culturales, raciales, etc, que conlleven decisiones automáticas.
- El acceso por empleados o terceros a datos de usuarios concretos.
- La utilización de los datos para la realización de acoso social, político o de género.
- La recogida excesiva de datos y su conservación por un tiempo excesivo.
- El impacto sobre la percepción de la libertad de actuación del uso de la información de perfilado.
- La manipulación de los deseos, creencias y estado emocional de los usuarios.
- En relación con los anteriores, el riesgo de una re-identificación.
La huella digital podría ser una prueba de cómo la tecnología avanza más rápido que la normativa, si bien este tipo de circunstancias están ya previstas en el RGPD que incluye una referencia genérica a los identificadores en línea en su Considerando 30, de tal forma que la regulación en protección de datos se aplica de manera directa al fingerprinting.
