La Agencia Española de Protección de Datos (AEPD) ha publicado un estudio sobre el Fingerprinting o Huella digital del dispositivo. Analiza cómo esta huella digital afecta a la privacidad de los usuarios. Da medidas para que el usuario evite esta recopilación de datos y recomendaciones a los desarrolladores web para cumplir la normativa de protección de datos.
La Agencia explica en su estudio que la huella digital del dispositivo es un conjunto de datos extraídos del terminal del usuario que permiten individualizar de forma unívoca dicho terminal. Teniendo en cuenta que lo habitual es que las personas no compartan sus equipos, ya sea este un teléfono móvil, tableta, portátil u ordenador de trabajo, individualizar el terminal supone individualizar a la persona que lo utiliza.
Este hecho hace que las organizaciones que utilizan los mecanismos de huella digital, pueden hacer una recopilación sistemática de información de todos los terminales que se conecten a sus servidores. De este modo consiguen individualizar cada usuario y poder hacer un seguimiento de la navegación del usuario para construir un perfil de éste.
El estudio que está disponible en el enlace del primer párrafo, analiza más de 14.000 páginas web dirigidas al público español. Indicando cómo realizan y las técnicas que utilizan para individualizar y crear estos perfiles de usuarios.
Conclusiones del estudio Fingerprinting o Huella digital del dispositivo
Entre las conclusiones del estudio destacan no solo las técnicas, sino la cantidad tan extensa de datos que llegan a recabar los desarrolladores web. Muchos de los cuales, se consideran de categoría sensible. Además, en muchos casos esta recogida de datos no cumple lo dispuesto en la Ley, ya que no piden un consentimiento expreso ni informado al usuario.
Además, la Agencia resalta que en la mayoría de las webs analizadas, no se dan herramientas al usuario para que pueda evitar la recogida de datos, ni los medios para que ejerza sus derechos, definidos en el Reglamento General de Protección de Datos europeo (RGPD).
Medidas para el usuario
En la publicación aparecen una serie de medidas para evitar esta singularización y perfilado de los usuarios. Aconseja entre otras medidas activar la opción Do Not Track (DNT) del navegador, activación de bloqueadores de publicidad (los bloqueadores más eficaces son Ghostery y uBlock Origin), deshabilitar el uso de Javascript, alternar el uso de navegadores, ejecución del acceso a Internet en máquinas virtuales, reducir la instalación de otro tipo de extensiones en el navegador. Por otra parte, no son eficaces para evitar la singularización el uso de la navegación en incógnito y la utilización de redes de anonimización o VPNs.
Recomendaciones desarrolladores
Las recomendaciones que da la Agencia a los desarrolladores, es que estén activadas todas las opciones de privacidad por defecto, y sea el usuario quien decida reducir este nivel de privacidad. Como buena práctica, los navegadores podrían tener la opción DNT activada por defecto.
Uso de la huella digital
Por su parte, las organizaciones que quieran utilizar esta huella digital, deben abstenerse de recabar y tratar los datos si el usuario no ha dado su consentimiento expreso e informado para ello. Si el usuario tiene habilitada DNT debería ser interpretado como una negativa clara a la recogida y tratamiento de datos. En caso de no tener activada el DNT, debe pedirse el consentimiento de forma clara y expresa, al igual que la opción de retirar este consentimiento.
La AEPD también recomienda a estas entidades que tratan los datos de la huella digital, que cuentan con un Delegado de Protección de Datos, realicen un análisis de riesgo de protección de datos relativos a los derechos y libertades de los afectados. Si el riesgo es elevado, entonces deben realizar una Evaluación de Impacto para la Protección de Datos (EIPD) para establecer las medidas necesarias que garanticen la protección de los derechos de los usuarios.
El estudio concluye diciendo que el tratamiento de datos mediante técnicas de huella del dispositivo ha de seguir los criterios recogidos en la ‘Guía del Uso de Cookies’ de la AEPD y lo establecido en el Reglamento General de Protección de Datos en los tratamiento de datos de carácter personal.
