Las 'supercookies' que todo lo saben

Los sistemas de identificación de usuarios únicos en servicios que utilizan distintas plataformas (ordenador, móvil, tabletas y televisores) están causando bastantes dolores de cabeza a sus responsables. Son las llamadas ‘supercookies’ o ‘cookies zombies’, una denominación genérica que se materializa en distintas variantes tecnológicas, desde el llamado “enriquecimiento de cabeceras” (UIDH, en inglés) que usan las operadoras de telefonía a la famosa ‘cookie DART’ de Facebook tan denostada por las autoridades europeas, porque además dura dos años, frente a la duración estándar de un mes de las 'cookies' convencionales.

En general, las legislaciones de protección de datos aceptan cualquier ‘cookie’ siempre que ese chivato tecnológico avise a los usuarios de que está actuando, le informe de qué tipo de información provee a sus dueños, que esta no sea un dato sensible (salud, religión, afiliación política y sindical…) y explique para qué lo quiere.

Pero no siempre es así, y entonces es cuando se incurre en denuncias y expedientes que acaban en sanción. Telefónica recibió el pasado septiembre una sanción de la Agencia Española de Protección de Datos de 20.000 euros por utilizar UIDH sin avisar. Según la resolución, la operadora enviaba este tipo de petición de datos que utilizaba para clasificar (y poder facturar) a los clientes que habían adquirido servicios 'premium' a otras empresas con las que tenían acuerdos comerciales dentro de Movistar. Pero lo hacía de modo indiscriminado y sin avisar a los clientes, de ahí la sanción.

En EEUU, Verizon, actual dueña de Yahoo, recibió una multa de 1,3 millones de dólares por algo muy parecido. Y los navegadores Chrome y Mozilla se vieron envueltos en una polémica hace dos años porque no había manera de borrar el rastro de estas ‘supercookies’.

SIN EL TEXTO DE LAS CONVERSACIONES

En el caso de Facebook, las ‘supercookies’ también identifican al usuario en las distintas plataformas, pero no todo el mundo lo interpreta igual. Para la propia empresa, es un sistema para evitar el fraude, puesto que a partir del número de conexiones puede saber si es un robot (que se conecta muchas veces de forma seguida) o un humano. Para las autoridades belgas, es algo así como el caballo de Troya de la privacidad, pues permite cruzar datos entre las distintas plataformas para componer perfiles.

En el caso de Whatsapp, estos datos serían el tipo de usuario, la localización, el dispositivo (relacionado con el nivel de renta), el navegador (que da el idioma) y los contactos, además de las interacciones que realiza con cada uno. Con ellos, y los que tiene Facebook, se compone un perfil que permite suministrarle publicidad personalizada. Facebook, sin embargo, sostiene que no tiene acceso al contenido de las conversaciones privadas entre dos personas, que viajan encriptadas entre dispositivos y solo pueden ser descifradas en origen y destino. De los chats de grupo, ni media. Esos no son privados.