La biometría también se topa con GDPR
- Actualidad
La Agencia Española de Protección de Datos (AEPD) ha publicado el estudio "Fingerprinting o huella digital del dispositivo", un documento que analiza esta técnica de identificación y rastreo de los usuarios a través de sus dispositivos. Los perfilados que hacen las empresas con esta técnica les lleva a no cumplir con GDPR, advierte el organismo, por lo que ofrece sus consejos para usuarios, empresas y desarrolladores.
Según la AEPD, con la huella digital del dispositivo se extraen un conjunto de datos del usuario que permiten individualizar de forma unívoca dicho terminal. Dado que lo habitual es que las personas no compartan sus equipos, individualizar el terminal supone hacerlo con la persona que lo utiliza y, en consecuencia, poder realizar un perfil de la misma.
La agencia, que ha analizado más de 14.000 páginas web dirigidas al público español para ver las técnicas de perfilado del usuario que realizan, ha concluido que el perfilado no se limita a recopilar y analizar los hábitos de navegación o las búsquedas que realiza, sino a extraer geolocalización, datos de configuración del sistema y las aplicaciones, programas instalados, movimientos del ratón, etc. “La combinación de ésta y otra información detallada en el estudio permite confeccionar una huella digital única del dispositivo que lo singulariza y, por lo tanto, diferencia de forma unívoca a cada usuario en Internet”, explica.
El estudio afirma, entre otras conclusiones, que con mucha frecuencia se emplean estas técnicas para recoger datos del equipo del usuario sin ofrecerle información y sin solicitarle su consentimiento, y que el conjunto de datos recabados puede ser tan extenso, o enriquecerse de tal forma, que puede llegar a recoger incluso categorías especiales de datos. El documento añade que, en la mayoría de los casos, al usuario no se le proporcionan herramientas para poder evitar de forma efectiva la recogida de datos y no se le ofrecen medios para ejercer los derechos establecidos en el Reglamento General de Protección de Datos (GDPR) cuando se recogen o asocian a datos personales.
Consejos para todos: usuarios, empresas y desarrolladores
El informe también incluye un apartado completo con recomendaciones para el usuario, entre las que se encuentran utilizar la opción Do not track del navegador, que permite dejar constancia de que se quiere evitar el seguimiento; instalar bloqueadores, que permiten eludir la publicidad y el rastreo; deshabilitar el uso de Javascript; alternar entre distintos navegadores o ejecutar el acceso a internet en máquinas virtuales. El estudio de la AEPD recuerda que la navegación privada o de incógnito no resulta efectiva para prevenir el seguimiento, proyectando una falsa sensación de seguridad.
Para fabricantes y desarrolladores de productos y servicios el documento explica que deberían incluir en sus productos las opciones necesarias para que el usuario disponga de capacidades para denegar o aceptar, de forma total o parcial, el uso de estas tecnologías. Además, deberían proporcionar al consumidor los equipos con las máximas opciones de privacidad activadas de forma predeterminada, y que sea el propio usuario quien reduzca esas opciones. Como buena práctica, los navegadores podrían tener activada por defecto la opción Do Not Track.
En el caso de entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, se indica que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dado su consentimiento. Además, toda aplicación de huella debería chequear el estado de la opción Do Not Track. En términos generales, el estudio recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un Delegado de Protección de Datos, y deberán realizar un análisis de riesgos de protección de datos relativos a los derechos y libertades de los afectados. Si de dicho análisis se deriva que el nivel de riesgo es elevado, será entonces obligada la realización de una Evaluación de Impacto para la Protección de Datos (EIPD) para establecer las medidas necesarias que garanticen la protección de los derechos de los usuarios.