L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat recentement l’estudi ‘Fingerprinting o empremta digital del dispositiu’, un document que analitza aquesta tècnica d’identificació i rastreig dels usuaris a través dels seus dispositius. Per a la seva realització l’Agència ha analitzat més de 14.000 pàgines web dirigides al públic espanyol, descrivint les tècniques més utilitzades per a dur a terme aquest perfilat. L’estudi també inclou les mesures que poden posar en marxa els usuaris per tractar d’evitar aquest tipus de seguiment i una sèrie de recomanacions a la indústria, tant per a fabricants i desenvolupadors com per a les companyies que exploten dades obtingudes a partir de la empremta dels dispositius.

L’empremta digital del dispositiu és un conjunt de dades extretes del dispositiu de l’usuari que permeten individualitzar de manera unívoca aquest terminal.

Atès que el més habitual és que les persones no comparteixin els seus equips o dispositius, individualitzar el terminal suposa individualitzar la persona que l’utilitza i, en conseqüència, és possible realitzar un perfil d’aquesta. El perfilat no es limita a recopilar i analitzar els hàbits de navegació o les recerques que realitza, sinó a extreure geolocalització, dades de configuració del sistema i les aplicacions, programes instal·lats, moviments del ratolí, etc. La combinació d’aquesta i altra informació detallada en l’estudi permet confeccionar una empremta digital única del dispositiu que el singularitza i, per tant, diferencia de manera unívoca a cada usuari d’internet.

L’estudi afirma, entre altres conclusions, que molt sovint es fan servir aquestes tècniques per a recollir dades de l’equip de l’usuari sense oferir-li informació i sense sol·licitar-li el seu consentiment, i que el conjunt de dades recollides pot ser tan extens, o enriquir-se de tal manera, que pot arribar a recollir fins i tot categories especials de dades.

El document afegeix que, en la majoria dels casos, a l’usuari no se li proporcionen eines per poder evitar de manera efectiva la recollida de dades i no se li ofereixen mitjans per exercir els drets establerts en el RGPD quan es recullen o s’associen a dades personals.

A l’estudi es dedica un apartat complet amb recomanacions per a l’usuari, entre les quals es troben utilitzar l’opció Do not Track del navegador, que permet deixar constància que es vol evitar el seguiment; instal·lar bloquejadors, que permeten eludir la publicitat i el rastreig; desactivar l’ús de Javascript; alternar entre diferents navegadors o executar l’accés a internet en màquines virtuals. L’estudi de l’AEPD recorda que la navegació privada o d’incògnit no resulta efectiva per prevenir el seguiment i que projecta una falsa sensació de seguretat.

El document inclou també unes recomanacions per a la indústria, tant per als desenvolupadors de productes i serveis, com per a aquelles entitats que exploten les dades obtingudes a partir de l’empremta del dispositiu. En el cas de fabricants o desenvolupadors, el document afirma que haurien d’incloure en els seus productes les opcions necessàries perquè l’usuari disposi de capacitats per denegar o acceptar, de manera total o parcial, l’ús d’aquestes tecnologies. A més, haurien de proporcionar al consumidor els equips amb les màximes opcions de privacitat activades per defecte, i que sigui el mateix usuari qui redueixi aquestes opcions. Com a bona pràctica, els navegadors podrien tenir activada per defecte l’opció Do Not Track.

En termes generals, l’estudi recomana a les entitats que utilitzen el fingerprinting comptar amb els serveis d’un Delegat de Protecció de Dades, així com dur a terme una anàlisi de riscos de protecció de dades relatives als drets i llibertats dels afectats.

En el cas d’entitats que vulguin explotar dades obtingudes a partir de l’empremta del dispositiu, s’indica que el responsable del tractament s’ha d’abstenir de demanar i tractar l’empremta i qualsevol altra dada associada a aquesta si l’usuari no ha donat el seu consentiment. A més, tota aplicació d’empremta hauria de revisar l’estat de l’opció Do Not Track.

En termes generals, l’estudi recomana a les entitats que utilitzen el fingerprinting comptar amb els serveis d’un Delegat de Protecció de Dades, així com dur a terme una anàlisi de riscos de protecció de dades relatives als drets i llibertats dels afectats. Si d’aquesta anàlisi es deriva que el nivell de risc és elevat, serà llavors obligada la realització d’una Avaluació d’Impacte per a la Protecció de Dades (EIPD) per establir les mesures necessàries que garanteixin la protecció dels drets dels usuaris.

Es pot descarregar el document sencer en aquest enllaç

 

Font: AEPD


DPO Consulting, Consultors de Protecció de Dades

Iniciatives de Comunicació del Camp de Tarragona SL

E: info@dpoconsulting.cat

T: +34 877 200 125

Reus

Multioficines MO 
Avinguda La Salle, 45
43205 Reus

Tarragona

Nou de Santa Tecla, 14
43004 Tarragona

Vilanova i la Geltrú

ESPAIZ
Picapedrers, 14
08800 Vilanova i la Geltrú (Barcelona)