El estudio de la AEPD pone de relieve prácticas preocupantes, como ignorar la señal Do Not Track o utilizar estas técnicas sin evaluación previa de riesgos. Desde una perspectiva de cumplimiento, esto supone una vulneración del principio de responsabilidad proactiva.
El uso de técnicas de huella digital del dispositivo exige a los responsables del tratamiento una especial diligencia. El RGPD es claro: si mediante el fingerprinting se puede identificar directa o indirectamente a una persona, estamos ante un tratamiento de datos personales y deben cumplirse todas las garantías legales.
Pensemos, por ejemplo, en una web que utiliza fingerprinting para personalizar publicidad. Aunque el usuario no introduzca su nombre ni acepte cookies, su comportamiento puede ser seguido de forma persistente. En estos casos, no basta con alegar una finalidad técnica: es necesario informar de manera clara y obtener un consentimiento válido antes de iniciar el tratamiento.
Entre las buenas prácticas recomendadas destacan la minimización de datos, la limitación de técnicas intrusivas y la integración de la privacidad desde el diseño. Aquí, el papel del Delegado de Protección de Datos resulta clave, ya que puede ayudar a valorar si el uso del fingerprinting es realmente proporcional o si existen alternativas menos invasivas.