Empremta digital del navegador i consentiment: guia del editor per a una tècnica de seguiment que els reguladors supervisen
Durant la major part del debat de l'era de les galetes sobre el seguiment en línia, la superfície tècnica que importava era la capa d'emmagatzematge: galetes al navegador, entrades a localStorage, bases de dades IndexedDB, les coses que un desenvolupador podia veure i un regulador podia assenyalar. L'empremta digital funciona d'una manera diferent. No demana al navegador que emmagatzemi res. En canvi, fa preguntes al navegador: quines fonts tens instal·lades, com sembla el renderitzat d'aquest canvas, com processa el context d'àudio aquest senyal? I combina les respostes en un identificador que persisteix entre sessions, dispositius i fins i tot finestres de navegació privada. Per als editors i els proveïdors de tecnologia publicitària, l'empremta digital ha estat una manera atractiva d'evitar la obsolescència de les galetes de tercers. Per als reguladors, s'ha convertit en una de les tècniques de seguiment més perseguides agressivament perquè, per disseny, identifica els usuaris sense la seva cooperació. El CNIL, l'EDPB, el UK ICO i el Garante italià han emès decisions d'aplicació o directrius dirigides específicament a l'empremta digital dels navegadors durant els darrers 24 mesos. Aquesta guia explica què és realment l'empremta digital, què es considera empremta digital legalment i com hauria de gestionar-la un editor dins d'un marc de gestió del consentiment.
Què és l'empremta digital del navegador
Una empremta digital del navegador és un identificador d'alta entropia construït a partir de propietats que el navegador exposa a qualsevol JavaScript en execució. Les tècniques bàsiques es divideixen en diverses famílies, cadascuna de les quals contribueix a l'entropia de l'empremta combinada.
Empremta digital de Canvas
L'element canvas de HTML5 renderitza gràfics de maneres lleugerament diferents depenent de la GPU subjacent, el controlador, el sistema operatiu i el subsistema de fonts. Dibuixar una cadena fixa amb una font específica i, a continuació, fer el hash de les dades de píxels resultants produeix un identificador que varia entre dispositius però és estable entre sessions al mateix dispositiu. L'empremta digital de canvas és l'exemple canònic i la tècnica més citada en les resolucions d'aplicació.
Empremta digital d'àudio
L'API AudioContext processa senyals d'àudio a través del mateix tipus de pipeline de maquinari i programari que els gràfics, i la sortida resultant varia d'una manera que crea entropia. Executar un oscil·lador conegut a través d'un compressor i fer el hash del resultat produeix un identificador estable per dispositiu.
Enumeració de fonts
Els diferents sistemes operatius i perfils d'usuari tenen conjunts diferents de fonts instal·lades. Sondejar la presència o absència de fonts —mesurant les mètriques de text d'una llista de fonts candidates— produeix un identificador que és especialment distingidor per als usuaris que han personalitzat el seu conjunt de fonts.
Empremta digital de WebGL
WebGL exposa les capacitats de la GPU i el comportament de renderitzat. La combinació de la cadena del proveïdor, la cadena del renderitzador i el renderitzat d'una escena fixa produeix un altre identificador d'alta entropia.
Metadades de xarxa i dispositiu
Més enllà de les tècniques de sondeig actiu, les empremtes digitals solen incorporar metadades passives: cadena User-Agent, preferències d'idioma, zona horària, resolució de pantalla, profunditat de color, memòria disponible, processadors disponibles, estat de la bateria i empremta TLS a la capa de connexió. Cada element afegeix entropia per si sol i es combina multiplicativament amb els altres.
Com tracten els reguladors les empremtes digitals
L'anàlisi jurídica és senzilla en línies generals, però més difícil en la pràctica. Les empremtes digitals que identifiquen un usuari produeixen dades personals d'acord amb la definició del GDPR, i llegir o accedir a la informació ja emmagatzemada en un dispositiu cau sota l'Article 5(3) de la Directiva ePrivacy, la mateixa disposició que regeix les galetes. Tant l'Article 5(3) com el GDPR requereixen el consentiment previ per al seguiment no essencial. On la llei va més enllà de les galetes és que ePrivacy 5(3) cobreix "l'emmagatzematge d'informació, o l'accés a la informació ja emmagatzemada, en l'equip terminal d'un subscriptor o usuari", un llenguatge prou ampli per cobrir el sondeig de l'estat del dispositiu del qual depèn l'empremta digital.
L'EDPB va confirmar aquesta interpretació en les seves directrius de 2023 sobre l'aplicació de l'Article 5(3) al seguiment sense galetes, i el CNIL ha estat el regulador més agressiu: diverses multes de 2024 van citar biblioteques d'empremtes digitals que funcionaven abans del consentiment com a infracció principal. La declaració del UK ICO de 2024 sobre el seguiment és fins i tot més directa a l'hora d'enquadrar les empremtes digitals de canvas, àudio i similars com a que requereixen consentiment opt-in en peu d'igualtat amb les galetes.
La zona grisa: prevenció del frau versus seguiment
El cas d'ús d'empremtes digitals més controvertit és la prevenció del frau. La detecció de bots, la defensa contra la presa de comptes i el filtratge del frau en els pagaments depenen tots de l'empremta digital del dispositiu com a senyal bàsic. Els reguladors han reconegut que part d'aquest processament es pot justificar per interès legítim en lloc del consentiment, però el nivell és alt i l'abast és estret. La posició del CNIL, que s'ha fet ressò en altres APD, és que:
- La prevenció del frau estrictament necessària en propietats pròpies pot continuar per interès legítim, amb la documentació adequada en una avaluació d'interès legítim (LIA).
- L'ús conductual o publicitari de la mateixa empremta digital requereix consentiment i no pot recolzar-se en la base de prevenció del frau.
- Compartir l'empremta digital amb tercers per a qualsevol propòsit sol quedar fora de l'abast de l'interès legítim i requereix consentiment.
- L'emmagatzematge persistent de l'empremta digital més enllà de la comprovació immediata del frau generalment requereix o bé el consentiment o bé una posició d'interès legítim molt ben redactada.
La implicació pràctica és que un editor que executa tant empremtes digitals per a la prevenció del frau com empremtes digitals per a la tecnologia publicitària no pot confiar en la base del frau per cobrir ambdues. Els dos fluxos han de ser arquitectònicament separats, amb el flux de tecnologia publicitària controlat pel consentiment i el flux de prevenció del frau limitat al seu propòsit documentat.
Com gestionar l'empremta digital en un CMP
El patró d'integració per a les empremtes digitals és similar a altres tècniques de seguiment, però amb una atenció addicional perquè l'absència d'emmagatzematge obvi fa que el límit del consentiment sigui més fàcil de passar per alt.
1. Inventariar la superfície d'empremta digital
Auditar el lloc per trobar qualsevol script que cridi canvas toDataURL(), el processament basat en AudioContext, el sondeig de fonts mitjançant la mesura de mètriques de text o les consultes del renderitzador WebGL. Aquestes trucades sovint estan amagades en biblioteques de tercers —SDK de tecnologia publicitària, proveïdors de prevenció del frau, eines de proves A/B— i no són immediatament visibles.
2. Categoritzar cada ús de l'empremta digital
Per a cada biblioteca que fa empremtes digitals, documentar si és (a) estrictament necessària per al funcionament del lloc, (b) una mesura de prevenció del frau per interès legítim, o (c) per a seguiment, anàlisi o publicitat. Les categories (a) i (b) poden continuar sense consentiment explícit sota bases documentades; la categoria (c) requereix opt-in.
3. Controlar les empremtes digitals amb finalitats de seguiment
Per a les biblioteques de la categoria (c), el CMP hauria de tractar-les de manera idèntica a les galetes de màrqueting: el script és al DOM però és inert fins que el visitant accepta la categoria de màrqueting. La majoria dels CMP moderns ja admeten això mitjançant el patró estàndard type="text/plain" + atribut de categoria.
4. Documentar la base d'interès legítim per a les empremtes digitals de prevenció del frau
On les empremtes digitals continuen per interès legítim, la LIA ha de ser específica, actualitzada i reflectir l'abast real del processament. Una genèrica "prevenció del frau" no és suficient; la LIA ha d'identificar quines dades es processen, durant quant de temps es conserven, quines proteccions s'apliquen i quines són les expectatives realistes de l'usuari.
5. Proporcionar una opció de desactivació significativa per als fluxos d'interès legítim
Fins i tot quan les empremtes digitals per a la prevenció del frau continuen sense consentiment, l'Article 21 del GDPR atorga a l'usuari el dret a oposar-se al processament per interès legítim. El CMP ha d'exposar aquest dret, i la implementació tècnica ha d'aturar realment les empremtes digitals quan s'exerceix el dret, no només registrar l'oposició mentre es continuen prenent empremtes.
Llista de verificació d'auditoria
Sis preguntes concretes per respondre per a qualsevol lloc que potencialment exposi superfícies d'empremta digital.
1. Integritat de l'inventari
L'equip de seguretat ha produït una llista actualitzada de totes les biblioteques que fan sondeig de canvas, àudio, fonts, WebGL o metadades del dispositiu? Si la resposta és "no estem segurs", l'auditoria no pot continuar.
2. Classificació de la base
Per a cada biblioteca, hi ha una base jurídica documentada (consentiment, interès legítim amb LIA, necessitat contractual)? Les bases no documentades estan de facto absents pel principi de responsabilitat proactiva.
3. Control del consentiment
Les biblioteques d'empremtes digitals amb finalitats de seguiment estan controlades darrere de la categoria de consentiment de màrqueting, amb el script incapaç d'executar-se abans de l'acceptació?
4. Actualitat de la LIA
Les avaluacions d'interès legítim estan datades dins dels darrers 12 mesos i reflecteixen l'abast real del processament actual en lloc de descripcions heretades?
5. Compliment de la desactivació
Quan un usuari exerceix l'Article 21, el sistema atura realment les empremtes digitals per interès legítim, o només registra l'oposició?
6. Neteja entre proveïdors
Si una empremta digital es comparteix amb un tercer (una xarxa publicitària, un proveïdor d'atribució, un proveïdor d'identitat), aquest ús compartit està cobert per un consentiment separat i divulgat a l'avís de privadesa?
On se situen les empremtes digitals en el futur del seguiment
Els proveïdors de navegadors treballen activament per reduir l'entropia disponible per a les biblioteques d'empremtes digitals. L'ITP d'Apple, la protecció integrada de Firefox i les propostes de Google Privacy Sandbox erosionen tots la superfície subjacent. Cap d'aquestes intervencions elimina el problema regulador, però: fins i tot una empremta digital amb entropia reduïda continua sent dades personals quan aconsegueix identificar un usuari, i reduir la taxa d'èxit no canvia l'anàlisi jurídica quan funciona. Per als editors, la suposició més segura és que les empremtes digitals continuaran sent una tècnica real i rellevant per a les auditories durant els propers 24 mesos, que els reguladors continuaran considerant-les equivalents a les galetes a efectes del consentiment, i que la resposta operativa correcta és tractar les empremtes digitals com qualsevol altra superfície de seguiment: inventariades, categoritzades per finalitat, controlades pel consentiment quan sigui necessari i documentades exhaustivament quan continuïn sota una altra base.