Para muchas herramientas y cookies se requiere una autorización que también se conoce como consentimiento. Se llaman herramientas de consentimiento a aquellas que ayudan en este sentido, pero no lo hacen suficientemente, como demostró mi prueba práctica. ¿Cuáles son las exigencias que debe cumplir una solicitud de consentimiento?
Introducción
El uso de plugins y herramientas de procesamiento de datos en sitios web está según Artículo 6, apartado 1 RGPD básicamente solo permitido si
a) existe un interés legítimo del propietario de la página web
Se ha obtenido un consentimiento del visitante de la página web.
Páginas que no utilizan cookies y tampoco procesan datos más allá de lo necesario (por ejemplo, formulario de contacto), no necesitan un "popup de cookie".
También es válido si solo se utilizan los cookies necesarios, como por ejemplo para la gestión del carrito de compras.
La ePrivacy Directiva en el artículo 5, apartado 3 , establece que también la solicitud de cookies o la lectura de cookies es obligatoria. La directiva es aplicable a Alemania por encima del § 15 Abs. 3 TMG, como estableció el BGH en 2020 en el fallo Planet49 (28.05.2020 – I ZR 7/16). La norma fue oficialmente introducida en Alemania en diciembre de 2021 con el § 25 TTDSG .
La Artículo 44 ss RGPD establece que el traslado de datos a países terceros (como EE.UU.) no está permitido en sí mismo. Como direcciones IP ya son datos personales, la ley RGPD se aplica principalmente a todas las páginas web.
Según estas bases legales, por ejemplo, los siguientes herramientas son obligatorios para la autorización:
- Análisis de Google: Directiva ePrivacy, transferencia de datos a EE.UU. Más detalles
- Google Maps: Directiva de privacidad del e (y/o otros). Más detalles
- *Plugin de Facebook: Directiva de privacidad en línea (y/o otras)
- Google Fuentes (consulta externa): Art 44ff. RGPD o Art. 5 RGPD (minimización de datos). Más detalles
- Google reCAPTCHA: ePrivacy-Direktiva (y/o otros). Más detalles
- Vídeos de YouTube con cookies: Directiva de privacidad de comunicaciones electrónicas (y/o otras)
- Vídeos de YouTube sin cookies: Art. 44ff. RGPD o Art. 5 RGPD (minimización de datos)
- Vimeo-Videos: Art. 44ff. RGPD o Art. 5 RGPD (Minimización de datos). Más detalles
- Reproductor de SoundCloud: ePrivacy-Directiva (y/o otros). Más detalles
La lista se puede extender casi a voluntad con herramientas conocidas adicionales. El interés legítimo puede excluirse para todos estos servicios. Esto incluso puede demostrarse en parte de manera técnica y por lo tanto indudablemente.
Aquí puede comprobar en segundos (gratis y sin registro) si una página web es amigable con la protección de datos o si necesita medidas correctivas.
Lista de comprobación para herramientas de consentimiento
Si usted es suficientemente consciente del riesgo, quiere utilizar una de las soluciones de consentimiento más comunes, le ayudará la siguiente lista de verificación para asegurarse de que su proyecto esté bien. Las soluciones comunes, como se ha demostrado en mi prueba práctica, no son soluciones.
Según mis pruebas inadecuados son los siguientes herramientas de consentimiento:
- Borlabs Cookie
- CCM19
- Cookiebot
- Administrador de consentimiento
- ¡Claro!
- OneTrust / Optanon / CookieLaw
- Centros de Usuarios
Las exigencias a las consultas de consentimiento se derivan del texto legal de la RGPD y de sentencias del TJUE y el BGH. En este momento también hay sentencias de tribunales menores, como por ejemplo del LG Rostock (15.09.2020 – 3 O 762/19), que considera ilegal si no es tan fácil rechazar como aceptar.
Requisitos para solicitudes de consentimiento:
- El derecho de retractación debe ser directamente visible → Artículo 7, apartado 3 del RGPD
- El rechazo debería ser tan fácil como el consentimiento → Sentencia del Tribunal de Distrito de Rostock
- Una prevención de protección de datos hostil no está permitida → Sentencia del TJUE Planet49
- Facilidad de fácil acceso para el reembolso → Artículo 7, apartado 3 del RGPD
- El rechazo debe ser simplemente posible (número de clics!) → Artículo 7, apartado 3 del RGPD
- El rechazo debe ser posible en su totalidad (borrado de todos los cookies, descarga de todos los servicios) → Artículo 7, apartado 3 RGPD
- Después del rechazo, la página web debería recargarse automáticamente para desactivar los servicios activos hasta el momento mediante un nuevo cargado de la página web
- Declaración de los servicios a los que se da consentimiento. Posibilidad de dar consentimiento por servicio o en categorías de servicios→ Artículo 12 RGPD, Artículo 7, apartado 4 RGPD
- Para el servicio → Artículo 13 del RGPD
- Declaración del proveedor (nombre completo de la empresa, dirección y país)
- Declaración de los fines → Artículo 5, apartado 1 del RGPD
- Declaración de los receptores de datos (nombre completo de la empresa, dirección y país)
- Listado de países de la recolección de datos
- Declaración de riesgos al transmitir a terceros países inseguros → Artículo 49, apartado 1 del Reglamento General de Protección de Datos
- Nominación de todos los cookies para el servicio. Por cookie:
- Nombre de la cookie
- Declaración de los fines → Sentencia del TJUE Planet49
- Nombramiento de la vida útil → Sentencia del TJUE Planet49
- Registro de la autorización otorgada como prueba en caso de consultas posteriores → Artículo 7, apartado 1 del RGPD
- Sólo después de la autorización, se pueden cargar scripts para videos de Vimeo o YouTube, fuentes externas, así como la mayoría de las herramientas de Google, incluyendo el Administrador de etiquetas de Google. Los Estados Unidos son un tercer país inseguro. Ni siquiera las cláusulas estándar del contrato cambian eso.
- Explicación completa de todos los procesos de tratamiento de datos en la política de privacidad de los servicios utilizados.
- La política de privacidad debe estar accesible directamente a pesar del cuadro de asentimiento, el enlace a ella no puede ser ocultado por un popup.
- La política de privacidad debe ser legible sin tener que cerrar una solicitud de consentimiento.
Puede ser que haya más requisitos. Me alegraría si alguien me enviara una notificación correspondiente en caso de que algo faltara.
Importante saber:
- Servicios también se denominan herramientas o complementos. Casi cada herramienta conocida requiere una autorización.
- Los cookies son solo una causa de consentimiento. Ver IP-Adreses y minimización de datos así como mi artículo profesional.
- Direcciones IP son datos personales. Cada acceso a una página web o un servicio significa un intercambio de datos personales.
- Minimización de datos: Se deben evitar los transferencias innecesarias de datos → Art. 5 Abs. 3 RGPD.
- Las llamadas Herramientas de consentimiento resultan inadecuadas para cumplir con todas las normativas de protección de datos, según Prueba práctica. Incluso hay razones objetivas por las que las herramientas de consentimiento no pueden funcionar de manera fiable.
En un artículo separado se describen alternativas para diferentes herramientas de Google.
Mensajes clave
Para usar herramientas como Google Analytics o plugins de redes sociales en tu sitio web, necesitas el consentimiento explícito de los visitantes.
Las herramientas de consentimiento para sitios web a menudo no cumplen con las leyes de privacidad.
Es importante que las políticas de privacidad sean claras, accesibles y fáciles de leer, y que se minimicen los datos personales que se recopilan y comparten.
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.
