Huella digital o fingerprinting: Qué es, cuestiones legales y recomendaciones

Fingerprinting huella digital
Share on facebook
Share on twitter
Share on linkedin

Hoy en día, lo datos son el nuevo petróleo. Las empresas utilizan técnicas como el “fingerprinting” o la huella digital para realizar un seguimiento de usuario durante su navegación en la web con el objetivo de conocer sus gustos, intereses y hábitos de navegación sin que, en la mayoría de los casos, el usuario sea consciente de ello. Estos datos recabados por las empresas son utilizados para la elaboración de perfiles, y rentabilizados a través de campañas de marketing que dirigen de forma personalizada al usuario web.

A fin de velar por el Derecho a la Protección de Datos de la ciudadanía, consagrado como derecho fundamental e independiente en la Sentencia del Tribunal Constitucional del 30 de Noviembre del 2000, la AEPD publicó el pasado 4 de febrero una guía sobre la huella digital o el “fingerprinting” del dispositivo, estudio del que nos hemos nutrido para elaborar el presente artículo.

¿Qué es la huella digital o el “fingerprinting” del dispositivo?

El Comité Europeo de Protección de Datos, en su Dictamen 9/2014 sobre la aplicación de la Directiva 2002/58/CE a la toma de “fingerprinting” de dispositivos adopta la definición de la RFC 6973 que define la huella digital del dispositivo como

“un conjunto de elementos de información que identifica un dispositivo o una instancia de aplicación”.[1]

via GIPHY

En términos más sencillos, podemos definir la huella digital del dispositivo como el conjunto de información (en forma de datos) extraída del dispositivo del usuario con el objetivo de individualizarlo y perfilarlo. Generalmente, las personas no comparten sus dispositivos (móviles, tabletas, ordenadores etc.) por lo que gracias a las técnicas de huella digital, se puede identificar y singularizar al usuario del terminal.

Una vez que accedes a una determinada página web, el navegador ejecuta en el terminal del usuario una serie de tratamientos que permiten recabar la suficiente información como para individualizar al dispositivo, información que posteriormente es enviada al servidor. Esta información es complementada con otra información de índole “aparentemente técnica” (por ejemplo, para adaptar el contenido web a la pantalla del dispositivo), pero que sin embargo, posteriormente es reciclada con fines de identificación y singularización.

A diferencia de cómo ocurre con las famosas “cookies”, es poco habitual encontrar en aplicaciones o en páginas web, información o clausulas de privacidad que permitan al usuario del dispositivo dar su consentimiento informado sobre el uso técnicas de rastreo basadas en la huella digital. Es por ello que, las técnicas de “fingerprinting” reciben también el nombre de “cokieless monster”.

Técnicas de “fingerprinting”

Existen técnicas muy avanzadas para obtener la huella digital del dispositivo, que permiten obtener individualizaciones muy precisas, como; canvas fingerprint, canvas Font fingerprint, webRTC fingerprint o audio fingerprint.

Algunas de las propiedades del dispositivo que se pueden recoger mediante el navegador web y que contribuyen a la construcción de la huella digital del dispositivo son  las siguientes:

  • Tipo, versión y configuración personal del navegador.
  • Idioma
  • Zona horaria
  • Dirección IP
  • Lista de plugins activados en el navegador
  • Resolución de la pantalla
  • Tarjeta gráfica instalada

Además de las propiedades descritas anteriormente, otras características más específicas que se podrían recoger mediante técnicas de rastreo basadas en la huella digital son las siguientes:

  • Instalación de bloqueadores de publicidad en el navegador.
  • Memoria del dispositivo.
  • Presencia de teclados virtuales.
  • Perfil de uso de batería del terminal.
  • Número de monitores conectados al dispositivo.
  • Codecs de audio y de video disponibles.
  • Movimientos que realiza el usuario a través de la página web por medio del ratón (información muy útil a efectos de usabilidad web y experiencia de usuario).[2]

Problemática jurídica respecto del fingerprinting

Las técnicas de huella digital pueden entrar en conflicto con el actual régimen jurídico para protección de datos de carácter personal, conformado por el Reglamento General de Protección de Datos de Carácter Personal (en adelante RGPD), y por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD). También hemos de considerar la Ley 34/2002, de 11 de Julio, de servicios de la sociedad de la información y de comercio electrónico (a partir de ahora, LSSI). 

Por regla general, no se proporciona al usuario información suficiente sobre el uso de técnicas de “fingerprinting”, impidiendo que los usuarios adopten las medidas técnicas adecuadas para evitar el rastreo de su huella digital. Una vez que el usuario accede a la página web, incluso antes de haber podido visualizar el contenido, el servidor ya ha recogido toda su información referente a su “fingerprint”

Esta omisión de información incumple con el deber de recogido en el apartado segundo del artículo 22 la LSSI:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos,..”.

Este deber de información debe de hacerse efectivo conforme a lo dispuesto en el artículo 13 del RGPD y el artículo 11 de la LOPDGDD.

via GIPHY

La propia AEPD en su estudio sobre “Fingerprinting” o Huella digital del dispositivo avisa de que, la navegación privada o de incógnito no es efectiva para eludir las técnicas de rastreo mediante huella digital, ya que estas técnicas de rastreo analizan las mismas características, independientemente de que se use o no la navegación privada, es por esto que el dispositivo del usuario quedará igualmente identificado. 

Puesto que la recolección de información pro medio de estas técnicas es tan extensa y específica que permite singularizar de forma unívoca al usuario del terminal, pueden ser contrarias a los principios de minimización de datos (Artículo 5.c del RGPD[3]) y limitación de la finalidad (Artículo 5.b del RGPD[4]), dado que como hemos señalado anteriormente, aunque de forma inicial estos datos son recabados por razones de índole técnica, posteriormente son reutilizados para la elaboración de perfiles. 

Tampoco cumplen con la obligación de obtener del usuario  el denominado “Consentimiento informado” (Artículos 7 y 8 del RGPD; Artículos 6,7 y 92 LOPDGDD), elemento indispensable para el tratamiento de datos de carácter personal, y por lo tanto para salvaguardar la autonomía del individuo en lo que respecta a la toma de decisiones, lo que conlleva a la imposición de graves sanciones. Recordamos que, para que el consentimiento sea válido, el responsable del tratamiento debe de proporcionar al usuario la siguiente información; 

  • La identidad del responsable del tratamiento.
  • La finalidad para cada una de las actividades de tratamiento para las que se solicita el consentimiento.
  • La base jurídica del tratamiento.
  • La previsión sobre si se pretenden realizar trasferencias internacionales de datos.
  • El tipo de datos que van a recogerse y utilizarse.
  • El derecho a revocar el consentimiento.
  • Información sobre el uso de los datos para decisiones automatizadas de conformidad con el artículo 22, apartado 2, letra c).

 Es por todo ello, por lo que el usuario no dispone de los medios adecuados para ejercer los derechos recogidos en el RGPD frente a estas prácticas de “fingerprinting” 

Algunas recomendaciones para usuarios y fabricantes:

via GIPHY

Con respecto a los usuarios, desde TicsLaw os dejamos una serie de medidas a su alance para salvaguardar su privacidad e intentar eludir el uso de técnicas de rastreo de su huella digital con fines de perfilado y seguimiento de navegación;

  • Instalación de bloqueadores.
  • Utilización de la opción Do Not Track del navegador.
  • Deshabilitar el uso de Javascript.
  • Alternar el uso de navegadores.
  • Ejecución del acceso a internet en máquinas virtuales.

Para los desarrolladores de productos y de servicios, así como para las entidades dedicadas a la explotación de los datos obtenidos a través de técnicas de “fingerprinting”, la AEPD en su estudio sobre la huella digital les facilita una serie de recomendaciones y consejos.

Para los desarrolladores y fabricantes, recomienda que indiquen en sus productos y servicios las opciones necesarias para que el usuario tenga la posibilidad de, rechazar o aceptar, tanto parcial como totalmente el uso de estas tecnologías.

En lo que respecta a las entidades dedicadas a explotar los datos obtenidos a partir de la huella digital del dispositivo, la AEPD recomienda seguir los criterios recogidos en su guía para el uso de Cookies, así como cumplir con los requisitos exigidos por el artículo 11 de la LOPDGDD sobre trasparencia e información con respecto el interesado, afectado por la recopilación de sus datos personales.

via GIPHY

Fuentes utilizadas:


[1]RFC 6973 Privacy Considerations for Internet Protocols. Documento ofrece una guía para desarrollar consideraciones de privacidad.Para su inclusión en las especificaciones del protocolo. Su objetivo es hacer diseñadores,implementadores, y usuarios de protocolos de Internet conscientes de la privacidad opciones de diseño relacionadas

[2]  Puede observar la actividad de https://www.hotjar.com que permite analizar y registrar clicks de los usuarios, navegación de las páginas, recorridos del ratón etc.

[3] Artículo 5.c) del R.P.G.D: “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);”

[4] Artículo 5.b) del R.G.P.D: “recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);”

Suscribete a nuestra newsletter

Si quieres estar al día de las novedades del Derecho Tecnológico y quieres estar más cerca de nosotros… No te lo pienses más y
¡SUSCRÍBETE!

Deja una respuesta

Tu dirección de correo electrónico no será publicada.