Ce înseamnă amprentarea dispozitivelor electronice?
Așa cum puteți deduce, amprenta reprezintă un identificator unic al unei persoane, deci prin comparație ”amprentarea dispozitivelor electronice” reprezintă extragerea unor seturi de identificatori unici care duc la identificarea unei persoane. Dispozitivele electronice sunt caracterizate de adresa fizică ”MAC” (media access control media) sau adresă ”IP” (Internet Protocol) publică. Adresa MAC este atribuită de fabricant pentru fiecare dispozitiv pe care îl produce, iar adresa IP este atribuită de obicei de ISP (Internet Service Provider) – firme care distribuie internet (ex. RDS, UPC, Orange, etc.).
Cum se poate face amprentarea?
Atunci când accesăm o pagină de internet, pot apărea acele cookies care sunt stocate de browser-ul dumneavoastră de internet (de obicei în fișierele temporare din PC) pe timpul cât navigați pe internet. Acestea au rolul de înregistra porțiuni de date din ce anume vizitați într-o sesiune de navigare (cat timp navigați pe internet până la închiderea browser-ului). Totuși acestea singure nu reprezintă neapărat un mod de identificare precis, dar împreună cu alte elemente precum adresa IP poate face identificarea mult mai evidentă.
În conformitate cu articolul 5 alineatul (3) din Directiva 2002/58 / CE, așa cum a fost modificată prin Directiva 2009/136 / CE5 (Directiva privind confidențialitatea în mediul electronic), statele membre se asigură că “stocarea informațiilor sau dobândirea accesului la informații deja stocate, în echipamentele terminale ale unui abonat sau utilizator” este permisă numai cu condiția ca abonatul sau utilizatorul în cauză să își fi dat consimțământul, fiind furnizate informații clare și complete în conformitate cu GDPR articolul 6 alineatul (1) și articolul 7 cu privire la scopul prelucrării.
De asemenea, amprentarea dispozitivelor se face nu numai pentru calculatoare, ci se extinde la toate dispozitivele electronice ce sunt conectate la internet, deoarece sunt folosite diferite protocoale și aplicații ce permit identificarea și controlul acestora (exemplu: centrale termice, aere condiționate, prize smart, televizoare smart etc.)
Pe scurt, informațiile obținute prin amprentarea dispozitivelor sunt informații care au caracter personal și trebuie obținut consimțământul în conformitate cu GDPR.
Detalii tehnice
RFC69739 definește o amprentă digitală ca fiind “un set de elemente de informare care identifică un dispozitiv sau o instanță a aplicației”. Prezenta Directivă utilizează termenul în sens larg, ceea ce înseamnă că acesta include un set de informații care pot fi utilizate pentru a identifica un utilizator, un agent utilizator sau un dispozitiv în timp. Aceasta include, dar nu se limitează la, date derivate din:
- configurația unui agent / dispozitiv utilizator;
- datele expuse prin utilizarea protocoalelor de comunicații de rețea.
Există mai multe tipuri de date care pot forma o amprentă digitală, inclusiv următoarele exemple:
- informații CSS;
- obiecte JavaScript (de exemplu, document, fereastră, ecran, navigator, dată și limbă);
- informații despre antetul HTTP (de exemplu, numărul de biți de informații din șirul de agent utilizator, ordonarea antetului HTTP, variația antetului HTTP după tipul solicitării);
- informații despre ceas (de exemplu, eroare de ceas și ceas);
- variația stivei TCP;
- fonturile instalate;
- informații despre plugin-ul instalat (de exemplu, informații privind configurația și versiunea);
- utilizarea interfețelor interne de programare a aplicațiilor (API) expuse de agentul / dispozitivul utilizator;
- utilizarea API-urilor externe ale serviciilor Web pe care le comunica agentul / dispozitivul utilizatorului.
Riscuri la adresa protecției datelor personale
Este comun ca o singură pagină Web să fie generată dinamic în timp real prin solicitarea de conținut din mai multe surse. Fiecare dintre aceste resurse va genera propriile cereri HTTP, descărcând imagini, fișiere JavaScript și CSS. De asemenea, se pot emite solicitări HTTP care se înregistrează atunci când un utilizator derulează sau dă clic pe o pagină, o imagine sau o reclamă. Prin urmare, terțele părți au în mod frecvent posibilitatea de a colecta informațiile necesare pentru amprentarea dispozitivului utilizatorului.
Riscurile de protecție a datelor nu se limitează la urmărirea de către terți. Combinația de date obținute prin intermediul interfețelor de programare de aplicație (API) prezente în software-ul pe dispozitivele client prezintă și riscul de amprentare a dispozitivului. Diferite programe software, platforme și API vor oferi fiecare acces la diferite elemente de informație stocate în dispozitiv. Aplicația JavaScript API pentru browser-ul web, de exemplu, poate furniza informații referitoare la dimensiunea ecranului, profunzimea culorii și fonturile de sistem disponibile. Alte API-uri pot solicita accesul la elementele de informație stocate în firmware (de exemplu tipul procesorului), sistemul de operare (de exemplu, tipul de sistem de operare) sau modelul plăcii grafice. Apelurile API pot de asemenea să prezinte prezența software-ului instalat sau chiar numerele de versiune precisă. Accesul la astfel de seturi de informații mărește numărul de biți de informație și, prin urmare, riscul de recunoaștere a indivizilor unici prin intermediul dispozitivului lor.
Spre deosebire de modulele cookie HTTP, amprentarea dispozitivului poate funcționa în secret/ascuns (spyware, web bugs, identificatori ascunși – art. 24 din Directiva 200/58). Nu există mijloace simple pentru utilizatori pentru a preveni activitatea și există oportunități limitate disponibile pentru resetarea sau modificarea oricăror elemente de informare folosite pentru a genera amprenta. Prin urmare, amprentele dispozitivului pot fi utilizate de terțe părți pentru a identifica în secret sau pentru a identifica utilizatorii cu potențialul de a viza conținutul sau de a le trata în mod diferit.
În avizul nr. 16/2011 al CE s-a observat că societățile de publicitate au susținut că utilizarea codurilor unice sau a altor valori nu implică prelucrarea datelor cu caracter personal. Acest lucru este în contradicție cu scopul prelucrării pentru livrarea de conținut și reclame personalizate, adică de a comunica direct cu o anumită persoană. Grupul de lucru a susținut de mai multe ori că astfel de identificatori unici se califică drept date cu caracter personal.
Ce putem face?
Pentru a ne proteja și evita aceste riscuri putem lua totuși câteva măsuri (observația 12 și 16 din Avizul 1/2017):
- Achiziționarea unui sistem de operare cu licență (pentru a beneficia de update-uri de securitate la zi);
- Achiziționarea unui antivirus cu licență;
- Folosirea de servicii VPN;
- Folosirea unui firewall sau router care să includă și setări de firewall;
- Blocarea aplicațiilor/browser în momentul în care ni se solicită acces la diferite date.
- Folosirea unui browser în modul incognito/anonim sau un browser anonim (exemplu: Tor)
Dacă totuși doriți să vă dați acordul pentru prelucrarea datelor cu caracter personal să aveți în vedere drepturile oferite prin GDPR și mai ales articolul 13 – informarea clientului.
Bibliografie:
Directivei 2002/58/EC – privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice
Decizia 9/2014 privind aplicarea Directivei 2002/58/EC referitoarea la amprentarea dispozitivelor – adoptată în 25 noiembrie 2014
Avizul 1/2017 al GL 29 cu privire la Propunerea de regulament privind viața privată și comunicațiile electronice