L’empremta digital del dispositiu és un conjunt de dades extretes del dispositiu de l’usuari que permeten individualitzar de forma unívoca aquest terminal. Atès que l’habitual és que les persones no comparteixin els seus equips, individualitzar el terminal suposa individualitzar la persona que l’utilitza i, en conseqüència, poder realitzar un perfil de la mateixa. El perfilat no es limita a recopilar i analitzar els hàbits de navegació o les recerques que realitza, sinó a extreure geolocalització, dades de configuració del sistema i les aplicacions, programes instal·lats, moviments del ratolí, etc. La combinació d’aquesta i altra informació detallada en l’estudi permet confeccionar una empremta digital única del dispositiu que el singularitza i, per tant, diferència de forma unívoca a cada usuari d’internet.
L’estudi “Fingerprinting o empremta digital del dispositiu” afirma, entre altres conclusions, que molt sovint es fan servir aquestes tècniques per recollir dades de l’equip de l’usuari sense oferir-li informació i sense sol·licitar-li el seu consentiment, i que el conjunt de dades recollides pot ser tan extens, o enriquir-se de tal forma, que pot arribar a recollir fins i tot categories especials de dades. El document afegeix que, en la majoria dels casos, a l’usuari no se li proporcionen eines per poder evitar de manera efectiva la recollida de dades i no se li ofereixen mitjans per exercir els drets establerts en el RGPD quan es recullen o s’associen a dades personals.
L’estudi inclou un apartat complet de recomanacions per a l’usuari, entre les quals es troben utilitzar l’opció “Do not track” del navegador, que permet eludir la publicitat i el rastreig; desactivar l’ús Javascript; alternar entre diferents navegadors o executar l’accés a internet en màquines virtuals. L’estudi de l’AEPD recorda que la navegació privada o d’incògnit no resulta efectiva per prevenir el seguiment, projectant una falsa sensació de seguretat.
L’estudi també inclou unes recomanacions per a la indústria, tant per als desenvolupadors de productes i serveis, com per a aquelles entitats que exploten les dades obtingudes a partir de l’empremta del dispositiu. En el cas de fabricants o desenvolupadors, el document afirma que haurien d’incloure en els seus productes les opcions necessàries perquè l’usuari disposi de capacitats per denegar o acceptar, de manera total o parcial, l’ús d’aquestes tecnologies. A més, haurien de proporcionar al consumidor els equips amb les màximes opcions de privacitat activades per defecte, i que sigui el mateix usuari qui redueixi aquestes opcions. Com a bona pràctica, els navegadors podrien tenir activada per defecte l’opció “Do not track“.
En el cas d’entitats que vulguin explotar dades obtingudes a partir de l’empremta digital del dispositiu, s’indica que el responsable del tractament s’ha d’abstenir de demanar i tractar l’empremta i qualsevol altre dada associada a la mateixa si l’usuari no ha donat el seu consentiment. A més, tota aplicació d’empremta hauria de revisar l’estat de l’opció “Do not track“. En termes generals, l’estudi recomana a les entitats que utilitzen “fingerprinting” comptar amb els serveis d’un Delegat de Protecció de Dades, i hauran de realitzar una anàlisi de riscos de protecció de dades relatives als drets i llibertats dels afectats. Si d’aquesta anàlisi es deriva que el nivell de risc és elevat, serà llavors obligada la realització d’una Avaluació d’Impacte per a la Protecció de Dades (EIPD) per establir les mesures necessàries que garanteixin la rotecció dels drets dels usuaris.