2018/06/22

GDPR pode por fim ao "fingerprinting" dos browsers


A internet e as empresas ainda se estão a ajustar ao GDPR / RGPD que veio apertar as regras quanto ao tratamento de dados pessoais, mas há uma técnica que está a tentar passar "despercebida" no meio de tudo isto, e que também tem que ser arrastada para a claridade: o browser fingerprinting.

Por culpa da anterior lei dos cookies e da nova GDPR, grande parte das pessoas que visita a Internet já terá tido pelo menos um breve contacto com os cookies, nem que seja o simples clicar nos popups a dizer que aceita tudo, para os fazer desaparecer. Os cookies são pequenos pedaços de informação que os sites podem guardar nos nossos browsers, e que servem para coisas como saberem quem nós somos de modo a não estarem continuamente a perguntar-nos a password quando estamos num determinado site, mas que ultimamente também são utilizados pelas redes publicitárias para saberem que sites visitamos e apresentarem publicidade direccionada - não é por acaso que se fizerem uma pesquisa ou visitarem um site de viagens, depois irão ser seguidos por publicidade a viagens em praticamente todos os sites que visitem.

A questão é que os cookies há muito que têm estado na mira de quem luta pela privacidade na internet (podemos bloquear ou eliminar os cookies) e em resposta foram surgindo métodos alternativos de continuar a identificar pessoas mesmo sem recurso aos cookies, nomeadamente através do browser fingerprinting.

Esta técnica consiste em averiguar as capacidades do browser, sabendo-se que existe uma infinidade de variações entre os computadores espalhados pelo mundo. CPU, GPU, versão do sistema operativo e do browser, tipos de letra que se tenham instalados, configurações... há um sem número de parâmetros a que os serviços na internet têm acesso através do browser, e que lhes permite continuar a identificar um utilizador, mesmo sem recurso aos cookies - e podem fazer o teste no Panopticlick da EFF.



No meu caso, o meu browser, mesmo em modo privado, revela informação que permite que seja individualizado no meio de 1.7 milhões de computadores.


A questão é que, mesmo que as empresas e serviços não revelem publicamente que utilizam esta técnica, esta informação continua a ser considerada informação pessoal e ao abrigo da GDPR / RGPD, deixando como responsabilidade das empresas demonstrar que têm o consentimento dos utilizadores para recolher e utilizar estes dados ou, o que será mais provável, alegarem que existe "interesse legítimo" que justifique esta técnica.

... Será apenas uma questão de tempo até que alguém decida levar para os tribunais esta definição de "interesse legítimo"... e provavelmente resultando em mais um popup que teremos que clicar até finalmente chegarmos ao site que queremos visitar.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]