Una vez más un supuesto avance pone fuera de nuestro control datos, costumbres, gustos y en definitiva nuestra privacidad. Hablamos de la huella digital. Una técnica de identificación y rastreo de los usuarios a través de sus dispositivos. Ante esta nueva amenaza, la Agencia Española de Protección de Datos (AEDP) ha realizado un estudio “Fingerprinting o huella digital del dispositivo” en el que se han analizado más de 14.000 páginas web dirigidas al público español, describiendo las técnicas más utilizadas para realizar ese perfilado.
La huella digital del dispositivo es un conjunto de datos extraídos del dispositivo del usuario que permiten individualizar de forma unívoca dicho terminal y por tanto a la persona que lo utiliza y así poder realizar un perfil de la misma. Este perfilado no se limita a recopilar y analizar los hábitos de navegación o las búsquedas que realiza, sino también a extraer geolocalización, datos de configuración del sistema, aplicaciones, programas instalados e incluso movimientos del ratón.
Ni conocimiento, ni consentimiento, ni protección
Entre otras conclusiones el estudio destaca que con mucha frecuencia se emplean estas técnicas para recoger datos del equipo del usuario sin ofrecerle información y sin solicitar su consentimiento y que el conjunto de datos recabados puede ser tan extenso que puede llegar a recopilar categorías especiales de datos.
Otro peligro que se ha detectado es que, en la mayoría de los casos, al usuario no se le proporcionan herramientas para poder evitar de forma efectiva la recogida de datos, ya que una vez iniciado el acceso a la página en internet y antes de que el usuario haya podido visualizarlo, el servidor ya tiene toda la información de su huella digital y tampoco se le dan los medios para ejercer los derechos establecidos por el RGPD. Este conjunto es a priori desconocido, planteando serias dudas sobre la aplicación del principio de minimización de datos, así como del periodo durante el cual son almacenados.
Incluso se han detectado casos en los que, de forma general, no se atiende a la configuración DNT(Do Not Track) establecida por el usuario para desactivar la recogida de la huella digital en los servicios de Internet.
Recomendaciones a usuarios, fabricantes y entidades explotadoras de datos
LA HUELLA DIGITAL: UNA NUEVA AMENAZA A LA PRIVACIDAD DE LOS USUARIOSAdemás de los problemas del “fingerprinting”, el estudio también incluye recomendaciones para el usuario entre las que destaca la utilización del DNT, ya que permite dejar constancia de que se quiere evitar el seguimiento; instalar bloqueadores que permitan eludir la publicidad y el rastreo; deshabilitar el uso de Javascript; alternar entre distintos navegadores o ejecutar el acceso a internet en máquinas virtuales. La AEPD subraya que la navegación privada o de incógnito no resulta efectiva para prevenir el seguimiento y proyecta una falsa sensación de seguridad.
Otro apartado del estudio esta dedicado a recomendaciones a la industria, tanto los desarrolladores de productos y servicios como las entidades que explotan los datos obtenidos a partir de la huella del dispositivo. En el en caso de los fabricantes, el documento afirma que deberían incluir en sus productos las opciones necesarias para que el usuario disponga de capacidades para denegar o aceptar, de forma total o parcial, el uso de estas tecnologías. También añade que deberían proporcionar al consumidor los equipos con las máximas opciones de privacidad activadas de forma predeterminada y que sea el propio usuario quien reduzca, si así lo desea, esas opciones. Otra buena práctica que recomienda la AEPD es que los navegadores tuvieran activada por defecto la opción Do Not Track.
En cuanto a las recomendaciones a las entidades que quieran explotar datos obtenidos a partir dela huella del dispositivo, el estudio señala que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dato su consentimiento. Además, toda aplicación de huella debería chequear el estado del DNT.
El estudio también recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un delegado de protección de datos y deberán realizar un análisis de riesgos de protección de datos relativos a los derechos y libertades afectados. Si de dicho análisis se deriva que el nivel de riesgo es elevado, será obligada la realización de una Evaluación de Impacto para la Protección de Datos, para establecer las medidas necesarias que garanticen la protección de los derechos de los usuarios.
