Pegada Dixital do Navegador e Consentimento: Guía para Editores sobre unha Técnica de Rastrexo que os Reguladores Vixían
Durante a maior parte do debate da era das cookies sobre o seguimento en línea, a superficie técnica que importaba era a capa de almacenamento: cookies no navegador, entradas de localStorage, bases de datos IndexedDB, as cousas que un desenvolvedor podía ver e un regulador podía sinalar. O fingerprinting funciona de xeito diferente. Non lle pide ao navegador que almacene nada. No seu lugar, faille preguntas ao navegador — que fontes tes instaladas, como se ve a renderización deste canvas, como procesa este sinal o contexto de audio — e combina as respostas nun identificador que persiste entre sesións, dispositivos e incluso ventás de navegación privada. Para editores e provedores de ad-tech, o fingerprinting foi unha forma atractiva de evitar a desaprobación das cookies de terceiros. Para os reguladores, converteuse nunha das técnicas de seguimento perseguidas de forma mais agresiva porque, por deseño, identifica usuarios sen a súa cooperación. A CNIL, a EDPB, a UK ICO e a Garante italiana emitiron decisións de aplicación ou orientacións dirixidas específicamente ao fingerprinting nos últimos 24 meses. Esta guía explica que é realmente o fingerprinting, que conta como fingerprinting baixo a lei e como un editor debería xestionalo dentro dun marco de xestión de consentimento.
Que é o Fingerprinting do Navegador
Unha pegada dixital do navegador é un identificador de alta entropía construído a partir de propiedades que o navegador expón a calquera JavaScript en execución. As técnicas básicas divídense en varias familias, cada unha das cales contribúe entropía á pegada dixital combinada.
Fingerprinting de canvas
O elemento canvas de HTML5 renderiza gráficos de formas lixeiramente diferentes dependendo da GPU subxacente, o controlador, o sistema operativo e o subsistema de fontes. Debuxar unha cadea fixa cunha fonte específica e logo aplicar un hash aos datos de píxeles resultantes produce un identificador que varía entre dispositivos pero é estable entre sesións no mesmo dispositivo. O fingerprinting de canvas é o exemplo canónico e a técnica mais citada nas accións de aplicación.
Fingerprinting de audio
A API AudioContext procesa sinais de audio a través do mesmo tipo de canalización de hardware e software que os gráficos, e a saída resultante varía dun xeito que crea entropía. Executar un oscilador coñecido a través dun compresor e aplicar hash ao resultado produce un identificador estable por dispositivo.
Enumeración de fontes
Diferentes sistemas operativos e perfís de usuario teñen diferentes conxuntos de fontes instaladas. Sondear a presenza ou ausencia de fontes — medindo métricas de texto para unha lista de fontes candidatas — produce un identificador que é particularmente distintivo para usuarios que personalizaron o seu conxunto de fontes.
Fingerprinting de WebGL
WebGL expón capacidades da GPU e comportamento de renderización. A combinación da cadea de provedor, cadea de renderizador e renderización dunha escena fixa produce outro identificador de alta entropía.
Metadatos de rede e dispositivo
Alén das técnicas de sondaxe activa, as pegadas dixitais adoitan incorporar metadatos pasivos: cadea User-Agent, preferencias de idioma, zona horaria, resolución de pantalla, profundidade de cor, memoria dispoñible, procesadores dispoñibles, estado da batería e pegada dixital TLS na capa de conexión. Cada elemento engade entropía por si só e combínase multiplicativamente cos demais.
Como Tratan os Reguladores o Fingerprinting
A análise xurídica é directa en esquema pero mais difícil na práctica. O fingerprinting que identifica a un usuario produce datos persoais baixo a definición do GDPR, e ler ou acceder a información xa almacenada nun dispositivo cae baixo o Article 5(3) da Directiva ePrivacy — a mesma disposición que regula as cookies. Tanto o Article 5(3) como o GDPR requiren consentimento previo para o seguimento non esencial. Onde a lei vai mais alá das cookies é que ePrivacy 5(3) cobre "o almacenamento de información, ou a obtención de acceso a información xa almacenada, no equipo terminal dun subscritor ou usuario" — linguaxe suficientemente ampla para cubrir a sondaxe do estado do dispositivo da que depende o fingerprinting.
A EDPB confirmou esta lectura nas súas directrices de 2023 sobre a aplicación do Article 5(3) ao seguimento sen cookies, e a CNIL foi o aplicador mais agresivo: varias multas en 2024 citaron bibliotecas de fingerprinting operando antes do consentimento como unha violación primaria. A declaración de 2024 da UK ICO sobre seguimento é aínda mais directa ao enmarcar canvas, audio e pegadas dixitais similares como que requiren consentimento de adhesión en pé de igualdade coas cookies.
A Área Gris: Prevención de Fraude fronte a Seguimento
O caso de uso de fingerprinting mais contestado é a prevención de fraude. A detección de bots, a defensa contra a apropiación de contas e o cribado de fraude de pagamentos todos dependen do fingerprinting de dispositivos como sinal central. Os reguladores recoñeceron que algo deste procesamento pode xustificarse baixo interese lexítimo en lugar de consentimento — pero o listón é alto e o alcance é estreito. A posición da CNIL, repetida por outras DPAs, é que:
- A prevención de fraude estritamente necesaria en propiedades de primeira parte pode proceder baixo interese lexítimo, con documentación apropiada nunha avaliación de interese lexítimo (LIA).
- O uso comportamental ou publicitario da mesma pegada dixital require consentimento e non pode montarse na base de prevención de fraude.
- Compartir a pegada dixital con terceiros para calquera propósito adoita caer fóra do alcance do interese lexítimo e require consentimento.
- O almacenamento persistente da pegada dixital mais alá da comprobación inmediata de fraude xeralmente require ou consentimento ou unha posición de interese lexítimo moi estritamente redactada.
A implicación práctica é que un editor que executa tanto fingerprinting de prevención de fraude como fingerprinting de ad-tech non pode confiar na base de fraude para cubrir ambos. Os dous fluxos deben ser arquitectonicamente separados, co fluxo de ad-tech controlado detrás do consentimento e o fluxo de prevención de fraude restrinxido ao seu propósito documentado.
Como Xestionar o Fingerprinting nunha CMP
O patrón de integración para o fingerprinting é similar a outras técnicas de seguimento pero con coidado adicional porque a ausencia de almacenamento obvio fai que o límite de consentimento sexa mais fácil de perder.
1. Inventariar a superficie de fingerprinting
Auditar o sitio para calquera script que chame a canvas toDataURL(), procesamento baseado en AudioContext, sondaxe de fontes mediante medición de métricas de texto ou consultas de renderizador WebGL. Estas chamadas adoitan estar enterradas en bibliotecas de terceiros — SDKs de ad-tech, provedores anti-fraude, ferramentas de probas A/B — e non son inmediatamente visibles.
2. Categorizar cada uso de fingerprinting
Para cada biblioteca que fai fingerprinting, documentar se é (a) estritamente necesaria para que o sitio funcione, (b) unha medida de prevención de fraude baixo interese lexítimo, ou (c) para seguimento, analítica ou publicidade. As categorías (a) e (b) poden proceder sen consentimento explícito baixo bases documentadas; a categoría (c) require adhesión.
3. Controlar o fingerprinting con propósito de seguimento
Para bibliotecas que caen baixo a categoría (c), a CMP debería tratalas de forma idéntica ás cookies de mercadotecnia: o script está no DOM pero inerte ata que o visitante acepte a categoría de mercadotecnia. A maioría das CMPs modernas xa admiten isto a través do patrón estándar type="text/plain" + atributo de categoría.
4. Documentar a base de interese lexítimo para o fingerprinting de prevención de fraude
Onde o fingerprinting procede baixo interese lexítimo, a LIA debe ser específica, actual e reflectir o alcance real do procesamento. "Prevención de fraude" xenérica non é suficiente — a LIA necesita identificar que datos se procesan, canto tempo se conservan, que proteccións se aplican e cales son as expectativas realistas do usuario.
5. Proporcionar unha exclusión significativa para fluxos de interese lexítimo
Mesmo onde o fingerprinting de prevención de fraude procede sen consentimento, o Article 21 do GDPR outorga ao usuario o dereito a opoñerse ao procesamento de interese lexítimo. A CMP debe facer visible este dereito, e a implementación técnica debe realmente deter o fingerprinting cando se exerza o dereito — non só rexistrar a obxección mentres se continúa a facer fingerprinting.
Lista de Verificación de Auditoría
Seis preguntas concretas que responder para calquera sitio que potencialmente expón superficies de fingerprinting.
1. Integridade do inventario
Produciu o equipo de seguridade unha lista actual de cada biblioteca que realiza sondaxe de canvas, audio, fontes, WebGL ou metadatos de dispositivo? Se a resposta é "non estamos seguros", a auditoría non pode proceder.
2. Clasificación de base
Para cada biblioteca, hai unha base legal documentada (consentimento, interese lexítimo con LIA, necesidade contractual)? As bases non documentadas son de facto ausentes baixo responsabilidade.
3. Control de consentimento
Están as bibliotecas de fingerprinting con propósito de seguimento controladas detrás da categoría de consentimento de mercadotecnia, co script incapaz de executarse antes da aceptación?
4. Actualidade da LIA
Están as avaliacións de interese lexítimo datadas nos últimos 12 meses, e reflicten o alcance real do procesamento actual en lugar de descricións herdadas?
5. Aplicación da exclusión
Cando un usuario exerce o Article 21, o sistema realmente detén o fingerprinting de interese lexítimo, ou só rexistra a obxección?
6. Limpeza entre provedores
Se unha pegada dixital se comparte cun terceiro (unha rede publicitaria, un provedor de atribución, un provedor de identidade), está esa compartición cuberta por un consentimento separado e divulgada no aviso de privacidade?
Onde Se Sitúa o Fingerprinting no Futuro do Seguimento
Os provedores de navegadores están traballando activamente para reducir a entropía dispoñible para as bibliotecas de fingerprinting. O ITP de Apple, a protección integrada de Firefox e as propostas de Google Privacy Sandbox todos van erosionando a superficie subxacente. Ningunha desas intervencións elimina o problema regulatorio, non obstante — mesmo unha pegada dixital con entropía reducida segue sendo datos persoais cando consegue identificar a un usuario, e reducir a taxa de éxito non cambia a análise legal cando funciona. Para os editores, a suposición mais segura é que o fingerprinting continuará sendo unha técnica real e relevante para auditorías durante os próximos 24 meses, que os reguladores continuarán vendo como equivalente ás cookies para fins de consentimento, e que a resposta operativa correcta é tratar o fingerprinting como calquera outra superficie de seguimento: inventariada, categorizada por propósito, controlada por consentimento onde se requira e documentada exhaustivamente onde proceda baixo outra base.