È possibile una utilizzo conforme al regolamento sulla protezione dei dati con Google reCAPTCHA?

Aggiornamento Maggio 2024: Il TTDSG è passato al TDDDG. Regola l'accesso alle dispositivi di fine, il che è importante per i cookie.

Aggiornamento del 27.07.2023: Il Framework per la protezione dei dati (DPF) tra l'UE e gli USA è in vigore. Consente i trasferimenti di dati negli Stati Uniti, se tutti i destinatari dei dati sono certificati secondo il DPF. È dubbia la possibilità che l'accordo abbia una durata, poiché si basa su un Ordine esecutivo instabile. Indipendentemente da ciò, vi sono altri motivi per cui non è consigliabile utilizzare Google reCAPTCHA (vedere articolo).

Aggiornamento del 16.05.2023: La Centrale dei Consumatori ha ottenuto un verdetto contro la Telekom. Il tribunale afferma che l'invio dei dati a Google negli Stati Uniti è consentito solo entro stretti limiti.

Aggiornamento del 12.04.2022: L'autorità francese per la protezione dei dati CNIL ha confermato, su segnalazione di una denuncia, ciò che ormai avrebbe dovuto essere noto da tempo: cioè che Google reCAPTCHA può essere utilizzato solo dopo aver ottenuto il consenso. Motivazione della CNIL, nella misura in cui l'ho capito: lo strumento non è pensato solo per la prevenzione dei pericoli, ma raccoglie anche (inutilmente) dati per altri scopi.

Con il Google reCAPTCHA vengono analizzati in profondità gli utenti e i loro comportamenti sul sito web dove è inserito reCAPTCHA. E cioè (in primo luogo), per poter distinguere meglio un essere umano da un programma robotico. Poiché il codice reCAPTCHA viene caricato in particolare dalla domanda google.com, l'utensile ottiene automaticamente accesso a Cookies, che vengono impostati per gli utenti Google registrati. Uno dei cookie si chiama NID e contiene un riconoscimento dell'utente univoco, che viene anche utilizzato per Google Signals, in modo da poter riconoscere gli utenti anche tra dispositivi diversi. In questo senso è quasi irrilevante dal punto di vista della protezione dei dati se reCAPTCHA (in situazioni specifiche) imposta ulteriori cookie o meno.

Inoltre, reCAPTCHA si collega anche alla domanda gstatic.com. Come riportato su Google Webseiten, questa domanda viene utilizzata anche da altri strumenti. Di conseguenza, attraverso questa domanda potrebbero essere scambiati cookie.

Al chiamata di un solo script da reCAPTCHA, mostro in modo esemplificativo quante cookie vengono utilizzati da _reCAPTCHA:

A causa del numero di cookie trasmessi, il problema di privacy con Google reCAPTCHA è ben evidente. Come ammette Google stesso, non tutti i cookie sono tecnologicamente necessari: „In aggiunta a certi standard cookie di Google, reCAPTCHA imposta un cookie necessario (_GRECAPTCHA) quando viene eseguito per fornire il suo analisi del rischio.“ (Fonte: https://developers.google.com/recaptcha/docs/faq. Aggiornamento: La frase si è leggermente modificata nel linguaggio; il significato è rimasto lo stesso). I cookie standard di Google sono quelli come NID. NID è adatto per tracciare l'utente, sia per scopi di marketing che per la creazione di profili utente. Ciò viene ammesso da Google stesso ("Alcuni cookie servono a memorizzare le impostazioni di un utente. Ad esempio, in molti browser dei utenti che utilizzano i servizi di Google, c'è un cookie chiamato „NID“. Questo cookie contiene un ID univoco, con cui vengono salvate le preferenze e altre informazioni…", Fonte: https://policies.google.com/technologies/cookies?hl=de=).

Da già risulta un obbligo di consenso:

• Secondo la sentenza del Tribunale Federale Tedesco l'articolo 15, comma 3 della legge tedesca sul diritto d'autore e sui diritti connessi deve essere interpretato in conformità all'articolo 5, comma 3 della direttiva europea sulla protezione dei dati personali. La legge tedesca sul diritto d'autore e sui diritti connessi è stata incorporata nel Codice di diritto germanico [7] nel maggio 2024.
• L'articolo 5 (3) della direttiva ePrivacy richiede il consenso se si accede a informazioni conservate nel dispositivo dell'utente e ciò non è tecnicamente necessario. L'accesso ai cookie è stato provato. Tali accessi sono tecnici non necessari, la sola quantità di cookie può dimostrarlo. I cookies vengono utilizzati anche per scopi pubblicitari a causa della loro quantità e valenza. Sarebbe difficile dimostrare il contrario.
• Il giudice dell'Unione europea aveva stabilito nel caso Planet49 che è irrilevante se i dati raccolti dai cookie sono personali o meno.
• A partire da dicembre 2021 è valido § 25 TTDSG in Germania per i cookie

Se Google reCAPTCHA viene utilizzato per moduli di sicurezza, allora un interesse legittimo è già escluso in quanto ci sono molte alternative efficaci che sono molto più rispettose della privacy. L'interesse legittimo è solo il chiodo scordato tra le basi legali indicate nella Art. 6 comma 1 DSGVO. Almeno, in caso di moduli protetti da Captcha non amichevoli con la privacy, dovrebbe essere fornita una possibilità diretta al modulo per scrivere direttamente un'email.

Varianti

Ci sono più varianti di reCAPTCHA https://developers.google.com/recaptcha/docs/versions:

La versione precedente 2 è disponibile in una forma visiva e in una forma non visiva.

Versione reCAPTCHA 3 è sempre invisibile o crea per l'utente attuale un valore di punteggio. Con questo punteggio la pagina richiamata può stabilire se si tratta di un visitatore umano o di un robot.

Condizioni d'uso

Per utilizzare Google reCAPTCHA è necessario accettare le condizioni d'uso, che tra l'altro affermano[1]: „Si conferma e si prende atto che la funzionalità dell'API reCAPTCHA si basa sull'estrazione di informazioni relative all'hardware e al software, ad esempio dati relativi ai dispositivi e alle applicazioni, e sulla loro invio a Google per scopi di analisi.“ e „Per gli utenti nell'Unione Europea è necessario rispettare la direttiva sull'autorizzazione dell'utente UE e i propri client API devono essere conformi a questa direttiva.“ (in grassetto aggiunto, link dalla fonte rimosso).

L'impiego di Google reCAPTCHA senza consenso sembra quindi poco sostenibile e, secondo le condizioni d'uso di Google, è addirittura vietato. Le condizioni d'uso sono riportate lì in più parti come segue:

• Condizioni di utilizzo per le API di Google
• Condizioni di utilizzo di Google
• Condizioni di utilizzo per reCAPTCHA:

Confermano e prendono atto che il funzionamento dell'API reCAPTCHA si basa sull'estrazione e invio a Google di informazioni relative all'apparecchiatura e al software, ad esempio dati relativi ai dispositivi e alle applicazioni. Le informazioni raccolte durante l'utilizzo del servizio vengono utilizzate per migliorare reCAPTCHA e la sicurezza generale. Non verranno utilizzate da Google per pubblicità personalizzata. Ai sensi dell'articolo 3(d) delle Condizioni di utilizzo delle API di Google, dichiarano di essere a conoscenza del fatto che sono responsabili della fornitura o dell'ottenimento dei necessari avvisi o autorizzazioni per l'estrazione e la trasmissione di tali dati a Google. Per gli utenti dell'Unione Europea è richiesto il rispetto della Direttiva sulla conformità UE. I propri client API devono essere conformi a tale direttiva. L'utilizzo di reCAPTCHA è soggetto a determinate limitazioni per le chiamate. Google si riserva il diritto di imporre tali limitazioni mediante tutte le misure descritte in Limitazioni per le chiamate o nelle Condizioni di utilizzo sopra citate.

Fonte: https://www.google.com/recaptcha/admin/create

Molto successo nel leggere, capire e rispettare queste condizioni complesse. La linea guida per l'assenso dell'utilizzo da parte degli utenti UE di Google è degna di essere letta. Se un terzo richiedesse informazioni, ciò potrebbe scatenare un processo complesso.

Posso quindi solo sconsigliare l'uso di Google reCAPTCHA, poiché è necessaria un consenso e può essere difficile ottenere in modo legale.

Alternatives

Per WordPress e il popolare Contact Form 7 modulo di contatto esiste con Contact Form 7 Image Captcha una variante utente-freudliche e rispettosa della privacy.

Quasi ogni server supporta Il codice PHP non è un testo da tradurre, ma piuttosto un linguaggio di programmazione. Se vuoi, posso aiutarti a tradurre il significato o la funzione del codice PHP in italiano. Per favore, fornisci il codice PHP che desideri tradurre. Con PHP si può creare un Captcha in modo relativamente semplice. Ecco un esempio in PHP che stampa un testo come immagine.

<?php
$img = imagecreatetruecolor(300, 80);
$text\_color = imagecolorallocate($img, 233, 200, 200);
imagestring($img, 2, 1, 1,  'Datenschutz hilft', $text\_color);
$x=imagejpeg($img,"test1.jpg");
imagedestroy($img);

Un altro esempio di PHP mostra come utilizzare semplici calcoli come domande .

È semplicissimo, se una domanda di calcolo è configurata come campo di input normale. Ad esempio la domanda potrebbe suonare: "Quanto è meno 17 rispetto a 3". Come risposta sarebbe ammesso: "14" o "quattordici". La risposta potrebbe essere verificata con una semplice funzione JavaScript. reCAPTCHA richiede comunque molte conoscenze di sviluppatore e anche molte conoscenze giuridiche.

Un altro contributo descrive alternative per gli strumenti Google più utilizzati.

Se una agenzia insiste nell'uso di reCAPTCHA, chiedete loro di accettare la responsabilità e vedrete cosa succede. Se l'agenzia crede che non ci sia un'altra soluzione possibile, suggerite loro di conoscere qualcuno che possa aiutarli gratuitamente con questa impresa impossibile. Se qualcuno propone reCAPTCHA, quel qualcuno dovrebbe conoscere le condizioni legali basilari.

Come spesso accade per i siti web, ci sono alternative migliori alle possibilità più note, che possono funzionare allo stesso modo dei "topi" (più noti come "platzhirsche"). A differenza di Google e altri servizi ben noti, le opzioni che rispettano la privacy offrono una grande sicurezza giuridica e spesso un'autonomia massima. Chi vuole essere dipendente da singoli conglomerati? Io certamente no. Per questo motivo consiglio di utilizzare il meno possibile le applicazioni Google. Ciò inizia con i dispositivi mobili, per cui sono disponibili anche dispositivi "anti-Google" come il Fairphone, basato su Android. Prosegue con motori di ricerca che non provengono da Microsoft o Google. Ecosia, DuckDuckGo e Startpage sono esempi di ciò. I risultati sono molto buoni e la fame di dati è minima o addirittura assente rispetto a quanto accade per i conglomerati americani. Se invece preferite affidare le vostre informazioni ai servizi segreti americani, allora continuate ad utilizzare Google & Co. (che ammettono di essere monitorati dalle autorità americane, come l'FBI).