Huella digital del navegador y consentimiento: guía del editor para una técnica de seguimiento bajo la vigilancia de los reguladores
Durante la mayor parte de la discusión de la era de las cookies sobre el seguimiento en línea, la superficie técnica que importaba era la capa de almacenamiento: cookies en el navegador, entradas en localStorage, bases de datos IndexedDB, las cosas que un desarrollador podía ver y un regulador podía señalar. El fingerprinting funciona de manera diferente. No le pide al navegador que almacene nada. En cambio, hace preguntas al navegador: ¿qué fuentes tiene instaladas, cómo se ve este renderizado de canvas, cómo procesa el contexto de audio esta señal? Y combina las respuestas en un identificador que persiste entre sesiones, dispositivos e incluso ventanas de navegación privada. Para los editores y los proveedores de tecnología publicitaria, el fingerprinting ha sido una forma atractiva de sortear la eliminación de las cookies de terceros. Para los reguladores, se ha convertido en una de las técnicas de seguimiento más agresivamente perseguidas porque, por diseño, identifica a los usuarios sin su cooperación. El CNIL, el EDPB, el UK ICO y el Garante italiano han emitido todos decisiones de aplicación o directrices dirigidas específicamente al fingerprinting de navegadores en los últimos 24 meses. Esta guía explica qué es realmente el fingerprinting, qué cuenta como fingerprinting según la ley y cómo debería gestionarlo un editor dentro de un marco de gestión del consentimiento.
Qué es la huella digital del navegador
Una huella digital del navegador es un identificador de alta entropía construido a partir de propiedades que el navegador expone a cualquier JavaScript en ejecución. Las técnicas base se dividen en varias familias, cada una de las cuales contribuye a la entropía de la huella combinada.
Fingerprinting de Canvas
El elemento canvas de HTML5 renderiza gráficos de maneras ligeramente diferentes según la GPU subyacente, el controlador, el sistema operativo y el subsistema de fuentes. Dibujar una cadena fija con una fuente específica y luego aplicar un hash a los datos de píxeles resultantes produce un identificador que varía entre dispositivos pero es estable entre sesiones en el mismo dispositivo. El fingerprinting de canvas es el ejemplo canónico y la técnica más citada en las decisiones de aplicación.
Fingerprinting de audio
La API AudioContext procesa señales de audio a través del mismo tipo de cadena de hardware y software que los gráficos, y la salida resultante varía de una forma que crea entropía. Ejecutar un oscilador conocido a través de un compresor y aplicar un hash al resultado produce un identificador estable por dispositivo.
Enumeración de fuentes
Los diferentes sistemas operativos y perfiles de usuario tienen diferentes conjuntos de fuentes instaladas. Sondear la presencia o ausencia de fuentes —midiendo métricas de texto para una lista de fuentes candidatas— produce un identificador que es especialmente distintivo para los usuarios que han personalizado su conjunto de fuentes.
Fingerprinting de WebGL
WebGL expone las capacidades de la GPU y el comportamiento de renderizado. La combinación de la cadena del proveedor, la cadena del renderer y el renderizado de una escena fija produce otro identificador de alta entropía.
Metadatos de red y dispositivo
Más allá de las técnicas de sondeo activo, las huellas digitales suelen incorporar metadatos pasivos: cadena User-Agent, preferencias de idioma, zona horaria, resolución de pantalla, profundidad de color, memoria disponible, procesadores disponibles, estado de la batería y huella TLS en la capa de conexión. Cada elemento añade entropía por sí solo y se combina multiplicativamente con los demás.
Cómo tratan los reguladores el fingerprinting
El análisis jurídico es sencillo en términos generales, pero más difícil en la práctica. El fingerprinting que identifica a un usuario produce datos personales según la definición del GDPR, y leer o acceder a información ya almacenada en un dispositivo queda bajo el Artículo 5(3) de la Directiva ePrivacy, la misma disposición que rige las cookies. Tanto el Artículo 5(3) como el GDPR requieren el consentimiento previo para el seguimiento no esencial. Donde la ley va más allá de las cookies es que ePrivacy 5(3) cubre "el almacenamiento de información o el acceso a información ya almacenada en el equipo terminal de un abonado o usuario", un lenguaje lo suficientemente amplio como para cubrir el sondeo del estado del dispositivo del que depende el fingerprinting.
El EDPB confirmó esta interpretación en sus directrices de 2023 sobre la aplicación del Artículo 5(3) al seguimiento sin cookies, y el CNIL ha sido el aplicador más agresivo: varias multas de 2024 citaron bibliotecas de fingerprinting que operaban antes del consentimiento como una violación principal. La declaración del UK ICO de 2024 sobre el seguimiento es aún más directa al enmarcar las huellas digitales de canvas, audio y similares como que requieren consentimiento opt-in en igualdad de condiciones con las cookies.
La zona gris: prevención del fraude frente al seguimiento
El caso de uso de fingerprinting más controvertido es la prevención del fraude. La detección de bots, la defensa contra la toma de cuentas y el filtrado del fraude en los pagamentos dependen todos del fingerprinting de dispositivos como señal central. Los reguladores han reconocido que parte de este procesamiento puede justificarse en base al interés legítimo en lugar del consentimiento, pero el listón es alto y el alcance es estrecho. La posición del CNIL, que se hace eco en otros APD, es que:
- La prevención del fraude estrictamente necesaria en propiedades de primera parte puede continuar bajo interés legítimo, con la documentación adecuada en una evaluación de interés legítimo (LIA).
- El uso conductual o publicitario de la misma huella digital requiere consentimiento y no puede apoyarse en la base de prevención del fraude.
- Compartir la huella digital con terceros para cualquier propósito generalmente cae fuera del alcance del interés legítimo y requiere consentimiento.
- El almacenamiento persistente de la huella digital más allá de la verificación inmediata del fraude generalmente requiere consentimiento o una posición de interés legítimo muy cuidadosamente redactada.
La implicación práctica es que un editor que ejecuta tanto fingerprinting para la prevención del fraude como fingerprinting para la tecnología publicitaria no puede confiar en la base del fraude para cubrir ambos. Los dos flujos deben estar arquitectónicamente separados, con el flujo de tecnología publicitaria gestionado por el consentimiento y el flujo de prevención del fraude limitado a su propósito documentado.
Cómo gestionar el fingerprinting en un CMP
El patrón de integración para el fingerprinting es similar a otras técnicas de seguimiento, pero con un cuidado adicional porque la ausencia de almacenamiento obvio hace que el límite del consentimiento sea más fácil de pasar por alto.
1. Inventariar la superficie de fingerprinting
Auditar el sitio para detectar cualquier script que llame a canvas toDataURL(), el procesamiento basado en AudioContext, el sondeo de fuentes mediante medición de métricas de texto o las consultas del renderer WebGL. Estas llamadas a menudo están sepultadas en bibliotecas de terceros —SDK de tecnología publicitaria, proveedores antifraude, herramientas de pruebas A/B— y no son inmediatamente visibles.
2. Categorizar cada uso de fingerprinting
Para cada biblioteca que realice fingerprinting, documentar si es (a) estrictamente necesaria para el funcionamiento del sitio, (b) una medida de prevención del fraude bajo interés legítimo, o (c) para seguimiento, análisis o publicidad. Las categorías (a) y (b) pueden continuar sin consentimiento explícito bajo bases documentadas; la categoría (c) requiere opt-in.
3. Controlar el fingerprinting con fines de seguimiento
Para las bibliotecas de la categoría (c), el CMP debería tratarlas de manera idéntica a las cookies de marketing: el script está en el DOM pero es inerte hasta que el visitante acepta la categoría de marketing. La mayoría de los CMP modernos ya admiten esto a través del patrón estándar type="text/plain" + atributo de categoría.
4. Documentar la base de interés legítimo para el fingerprinting de prevención del fraude
Donde el fingerprinting continúe bajo interés legítimo, la LIA debe ser específica, actualizada y reflejar el alcance real del procesamiento. La genérica "prevención del fraude" no es suficiente; la LIA debe identificar qué datos se procesan, cuánto tiempo se conservan, qué protecciones se aplican y cuáles son las expectativas realistas del usuario.
5. Proporcionar una opción de exclusión significativa para los flujos de interés legítimo
Incluso donde el fingerprinting de prevención del fraude continúe sin consentimiento, el Artículo 21 del GDPR otorga al usuario el derecho a oponerse al procesamiento por interés legítimo. El CMP debe presentar este derecho, y la implementación técnica debe detener realmente el fingerprinting cuando se ejerce el derecho, no solo registrar la oposición mientras continúa tomando huellas digitales.
Lista de verificación de auditoría
Seis preguntas concretas que responder para cualquier sitio que potencialmente exponga superficies de fingerprinting.
1. Integridad del inventario
¿Ha producido el equipo de seguridad una lista actualizada de cada biblioteca que realice sondeo de canvas, audio, fuentes, WebGL o metadatos de dispositivo? Si la respuesta es "no estamos seguros", la auditoría no puede continuar.
2. Clasificación de la base
Para cada biblioteca, ¿existe una base jurídica documentada (consentimiento, interés legítimo con LIA, necesidad contractual)? Las bases no documentadas están de facto ausentes bajo la responsabilidad proactiva.
3. Control del consentimiento
¿Las bibliotecas de fingerprinting con fines de seguimiento están controladas detrás de la categoría de consentimiento de marketing, con el script incapaz de ejecutarse antes de la aceptación?
4. Frescura de la LIA
¿Las evaluaciones de interés legítimo están fechadas en los últimos 12 meses y reflejan el alcance real del procesamiento actual en lugar de descripciones heredadas?
5. Cumplimiento de la exclusión
Cuando un usuario ejerce el Artículo 21, ¿el sistema detiene realmente el fingerprinting por interés legítimo, o solo registra la oposición?
6. Limpieza entre proveedores
Si una huella digital se comparte con un tercero (una red publicitaria, un proveedor de atribución, un proveedor de identidad), ¿esa compartición está cubierta por un consentimiento separado y divulgada en el aviso de privacidad?
Dónde se sitúa el fingerprinting en el futuro del seguimiento
Los proveedores de navegadores trabajan activamente para reducir la entropía disponible para las bibliotecas de fingerprinting. El ITP de Apple, la protección integrada de Firefox y las propuestas de Google Privacy Sandbox erosionan todos la superficie subyacente. Ninguna de estas intervenciones elimina el problema regulatorio, sin embargo: incluso una huella digital con entropía reducida sigue siendo datos personales cuando logra identificar a un usuario, y reducir la tasa de éxito no cambia el análisis jurídico cuando funciona. Para los editores, la suposición más segura es que el fingerprinting seguirá siendo una técnica real y relevante para las auditorías durante los próximos 24 meses, que los reguladores seguirán considerándolo equivalente a las cookies a efectos del consentimiento, y que la respuesta operativa correcta es tratar el fingerprinting como cualquier otra superficie de seguimiento: inventariado, categorizado por propósito, gestionado por el consentimiento cuando sea necesario y documentado exhaustivamente cuando continúe bajo otra base.