La AEPD publica un estudio sobre cómo la huella digital de los dispositivos afecta a la privacidad de los ciudadanos

12-02-2019 — AR/2019/006

El estudio de la AEPD concluye que muchas compañías recopilan datos de todos los terminales que se conectan a sus servidores para construir un perfil del usuario, en su mayoría sin ofrecer información y solicitar su consentimiento. Aunque a veces esa recopilación pueda ser legítima, muchas otras se recopilan sin que el propio usuario sea consciente de ello, e incluso, por la gran cantidad de datos, puede llegarse a tratar categorías especiales de ellos. La agencia ofrece recomendaciones para los usuarios y desarrolladores en este sentido.

 

La Agencia Española de Protección de datos (AEPD) publicó, el 7-2-2019, el estudio Fingerprinting o huella digital del dispositivo”, documento que analiza esta técnica de identificación y rastreo de los usuarios a través de sus dispositivos.

La AEPD ha analizado más de 14.000 páginas web dirigidas al público español y revisado las técnicas más utilizadas para realizar ese perfilado, como el canvas font fingerprinting o el webRTC fingerprinting.

El uso de estas técnicas puede tener finalidades legítimas. Por ejemplo, formar parte de mecanismos de autenticación de factor múltiple y reforzar así la seguridad en la navegación. Sin embargo, también se utilizan para hacer un seguimiento de la navegación web de los usuarios y recopilar determinada información sin que el propio usuario sea consciente de ello.

El estudio concluye que las entidades que utilizan los mecanismos de huella digital recopilan datos de todos los terminales que se conectan a sus servidores con el objetivo de singularizarlos y poder seguir la navegación del usuario para construir un perfil de él, sin que, en su mayoría, ofrezcan la suficiente información ni soliciten su consentimiento para instalar esos mecanismos. También señala que el conjunto de datos recabados puede ser tan extenso, o enriquecerse de tal forma, que puede llegar a recoger categorías especiales de datos.

Incluye también este trabajo las siguientes recomendaciones para que los usuarios protejan su privacidad:

  • utilizar la opción Do not track del navegador,
  • instalar bloqueadores, que permiten eludir la publicidad y el rastreo,
  • deshabilitar el uso de Javascript o usar más de un navegador.

Asimismo, recoge recomendaciones para los desarrolladores de productos y servicios y para las entidades que explotan los datos obtenidos del dispositivo:

  • El procedimiento de la huella deberá seguir los requisitos de información al usuario y obtención del consentimiento.
  • La entidad deberá incluir en su registro de actividades de tratamiento los que se deriven de la utilización de estas técnicas.
  • Deberá igualmente evaluar si cumple los criterios para contar con los servicios de un delegado de protección de datos (DPO).
  • Deberá realizar un análisis de riesgos de protección de datos. Si de dicho análisis se deriva que el nivel de riesgo es elevado, será entonces obligado realizar una evaluación de impacto para establecer las medidas necesarias que garanticen la protección de los derechos de los usuarios.

Por último, por la experiencia obtenida de la participación en proyectos en los que se utilizan este tipo de técnicas, en la que la finalidad última es el perfilado de usuarios para su posterior explotación comercial, entendemos que contar siempre con los servicios de un DPO demostrará una actitud diligente en aplicación del principio de responsabilidad proactiva.