He estado siguiendo durante las últimas semanas la ofensiva legal de la Unión Europea a las multinacionales tecnológicas. La Comisión está empeñada en hacer cumplir sus normativas en lo que refiere a privacidad, competencia y tributación, lo que ha puesto en el punto de mira a empresas como Google, Facebook, Amazon o Apple. Las recientes investigaciones podrían terminar en elevadas multas para todos aquellos que se demuestre que han incumplido la normativa comunitaria.
Sin embargo, no puedo evitar recordar que la tecnología siempre suele ir uno o varios pasos por delante de la Ley, y tenemos numerosos ejemplos recientes. Cuando Amazon presentó en 2013 su programa Prime Air, que pretendía realizar entregas de mensajería mediante drones, recibió una notificación de la FAA (el regulador de aviación americano) indicando que el servicio no era legal. En España se reguló el uso de drones en Julio de 2014, y la Agencia Estatal de Seguridad Aérea (AESA) está actualmente valorando las alegaciones presentadas al Real Decreto que actualizará la norma antes de 2016. Por otra parte Google presentó en Mayo de 2014 su prototipo de coche sin conductor aunque sólo estaba permitido, y únicamente para pruebas, en el estado de Nevada. En España el uso de vehículos autónomos en carretera aún no sido regulado.
Lo mismo parece ocurrir con el seguimiento de los usuarios en Internet. Cuando parecía que la normativa europea sobre cookies iba a solucionar la creciente inquietud con la privacidad nos encontramos con el reemplazo encontrado por la industria. El Device Fingerprint (Browser Fingerprint), o la huella de dispositivo o navegador, es una técnica que permite recolectar información sobre un dispositivo remoto, como un ordenador o un teléfono móvil, con el propósito de identificación. Cada vez que un usuario abre una página web cierta información se envía al proveedor sin el consentimiento del usuario, como el tipo de navegador, los plugins instalados, el tamaño de la pantalla, la resolución, la zona horaria… La combinación de todos estos factores permite actualmente identificar al usuario con una fiabilidad del 94%, y estos datos suelen utilizarse con una finalidad publicitaria.
Existen ya empresas que están utilizando estas técnicas en sus plataformas. Una de ellas es Bluecava, que utiliza el Device Fingerprint como base de su estrategia publicitaria multidispositivo, aunque ofrece un procedimiento de opt-out. Existe incluso una librería gratuita en Github para implementar este método de seguimiento en aplicaciones web.
De momento la normativa europea no regula explícitamente el seguimiento de los usuarios mediante huella de navegador, aunque ya han surgido las primeras voces que intentar poner el asunto sobre la mesa. La Electronic Frontier Foundation ha puesto a disposición de los usuarios de Internet la herramienta Panopticlick, una web que nos permite comprobar si nuestro navegador tiene una huella única de identificación, lo que es bastante probable. La Comisión Europea, a través del grupo de Trabajo Article 29 Working Group, ha sugerido que el Device Fingerprinting debería ser regulado bajo la normativa de cookies, y que el seguimiento de visitantes a través de estas técnicas debería requerir consentimiento previo. Sin embargo esta sugerencia debe ahora ser aprobada por el Parlamento Europeo para posteriormente ser implementada en las leyes de protección de datos de los países miembros.
Además, para cuando tengamos una regulación firme sobre la huella del navegador ya tendremos alguna otra tecnología dispuesta a recoger el testigo. Evercookie parece estar tomando posiciones, pero ese tema lo comentaremos más adelante. Internet ya va dos pasos por delante.