Actualmente, las empresas realizan un seguimiento de los usuarios durante su navegación web recopilando información sobre sus hábitos e intereses sin que el propio usuario sea consciente de ello. En la mayoría de los casos, la información recogida de los usuarios se rentabiliza a través de servicios de marketing que dirigen campañas de publicidad personalizadas por quien desea publicitar un producto o servicio. Esto es posible gracias a técnicas como el “fingerprintingo la huella digital.

El estudio publicado por la AEPD explica en qué consiste el “fingerprinting” o huella digital, sus diferentes técnicas, cómo afecta a los usuarios, así como diversas recomendaciones ante esta nueva forma de recopilación de datos de los usuarios, con el objetivo de garantizar los derechos digitales de la ciudadanía, derecho que está aparado en el artículo 18.4 de nuestra Constitución, así como en la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPD GDD).

¿Qué es el “fingerprinting” o huella digital del dispositivo?

La huella digital de un dispositivo es una recopilación sistemática de información sobre un determinado dispositivo remoto con el objetivo de identificarlo y singularizarlo. De esta forma, se hace un seguimiento de la actividad del usuario con el propósito de perfilarlo. Esto se realiza sin el conocimiento ni consentimiento del usuario.

Dicho perfilado no se limita a recopilar y analizar los hábitos de navegación del usuario o las búsquedas que realiza en servidores. Las técnicas más avanzadas permiten registrar, por ejemplo, los movimientos que realiza el usuario a través de la página web con el ratón, examinando en que partes de la pantalla se detiene por más tiempo o los desarrollos de software para dispositivos, como JavaScript o Flash que facilitan la implementación de procedimientos para recoger información muy concreta del dispositivo.

Por lo tanto, la huella digital diferencia de forma univoca a cada usuario en internet, tratando información sobre las características del terminal o dispositivo, en algunos casos con una finalidad distinta del propósito técnico inicialmente previsto, mediante la ejecución en el terminal de aplicaciones que captan y transmiten los datos hacia los servidores responsables del tratamiento.

Técnicas de “fingerprinting”

Al acceder a una página web, mediante técnicas de huella digital, el navegador ejecuta en el dispositivo del usuario, sin su consentimiento, una serie de tratamientos con el objetivo de realizar una recopilación de datos de éste suficiente detallada como para poder individualizarlo. Esta información se trasmite al servidor que las almacena para su uso posterior.

En relación con la obligación de información, es habitual encontrar en los sitios web y aplicaciones cláusulas de privacidad específicas que permiten al usuario dar su consentimiento para el uso de cookies, pero no es tan común encontrar información para el usuario sobre el uso de técnicas de seguimiento basadas en huella digital para realizar un perfilado del usuario. Por ello las técnicas de “fingerprinting” son también conocidas como “cookieless monsters”.

Problemas e Inconvenientes

El informe concluye que no se proporcionan herramientas para informar a los usuarios y, que de este modo puedan evitar la recopilación de datos mediante esta técnica, ya que, una vez iniciado el acceso a la página web, y antes de que el usuario haya podido visualizarlo, el servidor ya tiene toda la información de su “fingerprint”.

En este sentido la AEPD explica que, y pese a que muchos navegadores tienen la opción de navegación privada o de incógnito, esta opción no proporciona más que una falsa seguridad en relación al “fingerprinting” ya que las características que chequea la huella digital son las mismas, con navegación privada o sin ella, y el equipo del usuario quedará igualmente individualizado.

Por lo general, tampoco se cumple con la obligación de obtener el consentimiento informado de los usuarios, en particular, respecto a la finalidad para la que se recaban los datos, ya que dichas técnicas se utilizan generalmente para realizar perfilado del usuario (entre las cuales cabe la toma de decisiones con consecuencias sobre el servicio) y analizar su actividad en internet.

Por esta razón, el usuario no dispone de medios para ejercer los derechos establecidos en la LOPD GDD cuando se recogen o asocian datos personales.

Recomendaciones

La AEPD ofrece recomendaciones tanto para los desarrolladores de productos y servicios, como para aquellas entidades que explotan los datos obtenidos a partir de la huella digital del dispositivo.

En este sentido, y en el caso de desarrolladores o fabricantes, indica que deberían añadir a sus productos las opciones necesarias para que el usuario disponga de capacidades para denegar o aceptar, de forma total o parcial, el uso de estas tecnologías.

En cuanto a las entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, la Agencia concluye que el tratamiento de datos mediante técnicas de huella del dispositivo ha de seguir los criterios recogidos en la ‘Guía del Uso de Cookies’ de la AEPD, así como lo establecido en la LOPD GDD como, entre otros, los requisitos de transparencia e información al afectado por tratamiento de los datos recopilados, recogidos en el artículo 11 de la mencionada Ley.

Por último, además el responsable y encargado de tratamiento de los datos deberán contar con el consentimiento explícito del afectado. Por el consentimiento del afectado, se entiende toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen, con arreglo al artículo 6 de la LOPD GDD. El cumplimiento de estos requisitos además de los restantes que contempla la LOPD GDD es fundamental pues su incumplimiento podría derivar en graves sanciones para los responsables y encargados del tratamiento de los datos de los usuarios.

En Letslaw ayudamos a empresas de todo tipo a cumplir con la normativa en materia de protección de datos personales y en todo lo relacionado con el sector digital.