En casi todas las páginas web existen enlaces a otras páginas web. Al hacer clic en un enlace por parte del visitante de una página web, se transfieren inevitablemente datos personales. ¿Es eso un problema de protección de datos? ¿Y qué hay con los objetivos de los enlaces en países terceros inseguros como EE. UU.?
Introducción
Un enlace o una enlázada es un hyperenlace, que es posible en páginas de HTML. Una página de HTML es lo que muchos entienden bajo el término "página web". HTML significa Lenguaje de Marcado de Hipertexto.
En HTML hay llamados a Tags. Un Tag es una instrucción. Un Tag controla la apariencia o comportamiento de un texto. Con el tag <b> se puede activar el tipo de letra negrita para una pasaje de texto. El tag <a> define en cambio un enlace. Ejemplo de definición de enlace:
<a href="https://www.ein-linkziel.es">Haga clic aquí para ir al otro sitio web</a>
El tag se define por un objetivo de enlace, es decir, una dirección de destino (URL) y un texto incluido dentro del a-tag. Al hacer clic en el texto, la dirección de destino se llama.
Transferencia de datos al hacer clic en un enlace
Solo cuando un usuario hace clic en un enlace de su propia iniciativa, tiene lugar un transferencia de datos. Solo entonces se produce una recopilación de datos. Una recopilación de datos ocurre tan pronto como, debido a una oferta de un responsable, los datos pueden ser recibidos por el anunciantes o un tercero y llegan prácticamente a la conciencia.
Un responsable en el caso de un enlace externo es el proveedor del enlace, es decir, el responsable de la página web que contiene el enlace externo.
Los datos transferidos al hacer clic en un enlace son técnicamente necesarios y están condicionados por el protocolo de Internet TCP. TCP significa Protocolo de Control de Transmisión.
Las transferidas datos contienen la dirección IP del usuario. La dirección IP como dirección de red es un valor personalizado. Esto lo han establecido el TJUE y el BGH. Lo mismo vale para las direcciones IP dinámicas, es decir, aquellas que se asignan regularmente nuevamente. Incluso si un usuario recibe una nueva dirección IP cada día de su proveedor de servicios de Internet, esta se considera personalizada en consecuencia.
Al hacer clic en un enlace externo se transfieren datos personales a un tercero
Consecuencia del Protocolo de Internet TCP
Procesamiento de datos en el objetivo de enlace
El proveedor de enlaces no es responsable del procesamiento de datos que realiza el objetivo de enlace por iniciativa propia. Sería diferente si existiera una instrucción emitida por el proveedor de enlaces. También sería otro caso la responsabilidad compartida entre el proveedor de enlaces y el objetivo de enlace, que puede surgir a través de un contrato.
El objetivo del enlace es por tanto responsable de la elaboración de los datos que recibe a raíz del clic en el enlace externo en la página web del remitente del enlace.
Objetivo en un tercer país seguro
En un tercer país seguro, se garantiza oficialmente y formalmente un nivel de protección de datos comparable a la RGPD.
Si el objetivo del enlace está en un país seguro de terceros, el remitente es responsable solo del tráfico y la recopilación de datos que él mismo ha iniciado. El tráfico de datos es técnicamente necesario. Para esto no hay nadie a quien se pueda hacer responsable. Una responsabilidad puede existir. No ser responsable de nada es lo mismo, en realidad, que no serlo.
La recopilación de datos en el objetivo de la vinculación solo puede realizarse hasta donde lo permite la RGPD. Por ejemplo, el objetivo de la vinculación puede tomar medidas para proteger los sistemas contra hackers, pero no puede registrar direcciones IP a efectos publicitarios. Para esto es responsable el objetivo de la vinculación.
En este caso, el proveedor de enlaces es prácticamente responsable ni por la transferencia de datos ni por la recopilación de datos.
En realidad, no hay responsabilidad para el proveedor de enlaces cuando los enlaces apuntan a objetivos seguros en terceros países.
Objetivo en un país extranjero de difícil acceso
La consideración de enlaces a objetivos en países terceros es más compleja. Los EE.UU son y seguirán siendo un país tercero inseguro mientras el Cloud Act estadounidense tenga validez en su forma actual. A esto no cambia nada ninguna decisión de la UE. Lamentablemente, la UE ha vendido nuestros derechos fundamentales al firmar un acuerdo de protección de datos políticamente motivado llamado Data Privacy Framework (DPF) con los EE.UU. El DPF se basa en una Executive Order del presidente estadounidense, que puede ser revocado en cualquier momento. Independientemente de esto, los ciudadanos de la UE no están lo suficientemente protegidos contra la espionaje estadounidense. La corona es colocada sobre todo esto porque un organismo en EE.UU se denomina tribunal, pero no es un tribunal regular, sino una plataforma teatral. Independientemente de esto, debe comprobarse qué países terceros entran en juego cuando un proveedor de servicios está siendo atacado con datos. En particular, Google a menudo incorpora a numerosas otras partes interesadas de otros países terceros, para las que a menudo no existe una decisión de adecuación.
Art. 44 DSGVO define los principios generales de la transmisión de datos. Estos principios establecen que la transmisión de datos personales, "que ya se han procesado o deben ser procesados después de su transmisión a un tercer país u organización internacional", es solo admisible bajo ciertas condiciones.
La transmisión de datos a los EE.UU. es solo permitida después de una autorización previa por parte de la persona afectada. Un procesamiento de los datos transmitidos en la fuente de enlace no ha tenido lugar aún.
De ahí surgen varias preguntas con respecto a los enlaces externos.
Al hacer clic en un enlace de este tipo, ¿el usuario ha dado entonces su consentimiento? Un consentimiento es según Artículo 4 Número 11 DSGVO "cada declaración voluntaria para el caso específico, informada y no ambigua, que se hace por declaraciones o alguna otra acción inequívocamente confirmatoria, con la que la persona afectada da a entender que está de acuerdo en la tratamiento de los datos personales relacionados".
Una declaración de consentimiento clásica, como la que se conoce en los llamados pop-ups de cookies, es diferente. Allí se hace clic en Aceptar o Rechazar. Un rechazo allí debería ser idealmente tan fácil de hacer como aceptar. Una declaración de consentimiento al hacer clic en un enlace está a mi juicio presente, si el usuario fue informado previamente. Porque una declaración de consentimiento requiere aquí un clic, un rechazo por otro lado no requiere clic, es decir, menos esfuerzo, sino incluso menos.
Una información al usuario puede ser efectiva solo si un enlace externo es reconocible como tal. Muchas páginas web muestran enlaces internos y externos de manera igualitaria. Esto no basta, a mi juicio, para informar al usuario. Pues el usuario podría tener miedo de hacer clic en un enlace externo, y entonces quizás ni siquiera haga clic en algún enlace. Esto podría ser solucionado únicamente mediante textos de enlaces inequívocos o mediante una declaración general de que no se utilizan enlaces externos o que estos no implican la transferencia de datos a países terceros inseguros.
Al hacer clic en un enlace que apunta a los EE.UU., deberían entonces, según el Artículo 44 DSGVO, los datos ser procesados después de su transmisión a los EE.UU.? Sí, porque ya existe una procesamiento de datos con la recopilación de datos. Una recopilación de datos ocurre casi siempre que se llama a una página web (a menos que el llamado a la página web sea bloqueada o no ocurra por otras razones poco comunes, por ejemplo debido a un corte de conexión).
A quién llegan los datos al hacer clic en un enlace?
La cuestión de cuándo se realiza un transferencia de datos a un país extranjero no seguro, está relacionada con quién es el destinatario de los datos. En Internet esto no es tan fácil de responder.
El camino de los datos está marcado por un punto de partida y un punto final. El punto de partida es el navegador del visitante de una página web. El punto final es el servidor a quien se dirige la solicitud del usuario, en nuestro caso el servidor que representa el objetivo del enlace.
Por lo general hay un servidor en el que se encuentra una página web, es decir, un destino de enlace. No es raro que se produzca una distribución de carga. En particular, las grandes empresas como Google utilizan esto. Pero también las páginas web de tiendas en línea alemanas suelen utilizar a menudo una distribución de carga para asegurarse contra fallas, por ejemplo, mediante un Red de entrega de contenido (CDN) como Cloudflare.
¿Cuál es el objetivo?
Al realizar una distribución de carga, el Servicio de Nombres de Dominio (DNS) puede ser responsable de determinar qué servidor se utiliza realmente. A su vez, el DNS también puede ser configurado por el propio usuario. Diferentes DNS pueden devolver teóricamente diferentes servidores objetivo para una solicitud a la misma dirección en el mismo momento.
Además, no es solo el país de destino donde se encuentra un servidor lo que es relevante para determinar si por ejemplo, la inteligencia americana tiene acceso a él. Se debe considerar toda la estructura organizativa. Una sucursal de una central estadounidense ubicada en Alemania y sobre la cual la central tiene autoridad, también podría ser requerida por las autoridades americanas que le exijan que entregue datos. O bien, entonces la central incumpliría el derecho americano o europeo. Yo apostaría a que las empresas locales prefieren cumplir con las leyes nacionales antes de satisfacer a personas o instituciones extranjeras.
Kurzum: A menudo no saben a quién van los datos que salen de un enlace. Si el responsable de una página web llega a conocerlo, surge la pregunta de si entonces no es él quien está siendo responsable del reenvío al destino del enlace.
Flexibilizar un objetivo
Pero eso no es todo la incertidumbre: Supongamos que enlaza a una página X. El servidor para esto se encuentra en Alemania, el propietario es una empresa alemana pura. Hasta ahí todo bien. Ahora puede que el propietario deje de usar la dirección web (dominio) por lo que un tercero pueda apropiársela. O el propietario decide cambiar la dirección X a la dirección Y, que puede estar en cualquier servidor.
Tan pronto como el proveedor de enlaces se da cuenta de que hay un nuevo objetivo, puede surgir una responsabilidad para él.
El camino al objetivo
Además se plantea la cuestión de qué ruta tomarían los datos desde el punto de partida hasta el punto final. Si los datos pasan por un nodo estadounidense, es posible que un servicio secreto estadounidense tenga acceso a ellos. Esta misma pregunta también se plantea para enlaces que apuntan a una página de la web visitada recientemente. En este sentido, esta cuestión puede considerarse irrelevante (por ahora) porque es demasiado amplia.
También aquí, según mi evaluación, que la conocimiento sobre el camino desde la fuente de enlace al destino del enlace por parte del proveedor de enlaces podría significar una responsabilidad para él con respecto a la ruta de los datos.
¿Cuál es el alcance de la responsabilidad que puede surgir?
En primer lugar, hay que establecer que el remitente no recopila datos del clic de un enlace a su propio efecto. El caso en el que esto podría ocurrir no se considerará aquí porque sería una acción que el remitente tendría que asumir además.
La procesamiento de datos en el objetivo del enlace no está dentro de la responsabilidad del remitente del enlace. Él sería solo entonces posible que por sí mismo o juntos responsable, si la procesamiento de datos en el objetivo del enlace también se produjo a partir de interés propio del remitente del enlace o una relación contractual entre remitente del enlace y objetivo del enlace existiera.
En sitios web deberían ser reconocibles los enlaces externos y nombrar sus riesgos.
Mi recomendación
El traslado de datos a un país extranjero inseguro debido al clic en un enlace externo se atribuye inicialmente al proveedor del enlace como responsable. La responsabilidad solo puede reducirse o eliminarse, a mi entender, si el usuario sabe qué riesgos conlleva hacer clic en un enlace externo antes de hacerlo.
Si el proveedor del enlace está al tanto de circunstancias críticas, surgen a mi juicio nuevas preguntas sobre la responsabilidad.
Si el responsable no marca los enlaces externos de manera adecuada o no informa al usuario suficientemente sobre posibles riesgos, es responsable de los problemas de protección de datos que pueden surgir debido a la transferencia de datos a países terceros inseguros.
Otros deberes de responsabilidad
Al lado de las cuestiones de protección de datos, también se plantean preguntas de contenido y derechos de autor al hacer referencia a terceros.
Un proveedor de enlaces es responsable de eliminar un enlace tan pronto como tenga conocimiento de contenido ilegal en el objetivo del enlace. Esto no tiene nada que ver con la protección de datos y por lo tanto no se considerará más aquí.
Tampoco se considerarán casos en los que el proveedor del enlace esté relacionado con la meta del enlace, por ejemplo, a través de un contrato.
Conclusión
Una responsabilidad por enlaces externos que apuntan a páginas ubicadas en países seguros puede casi descartarse. Sin embargo, existe un pequeño riesgo residual debido a la posibilidad de que el objetivo del enlace redirija a un nuevo destino. También se puede considerar una subsidiaria de una matriz estadounidense como perteneciente al mismo país, lo que hace que el lugar del verdadero objetivo del enlace ya no sea decisivo por sí solo.
Además de las preguntas que plantea la RGPD, me ha llamado la atención una normativa del Ley de Servicios de Sociedad de la Información y Comercio Electrónico. Esta tiene un cierto poder explosivo.
Sección 13, apartado 5 del TMG dice:
La retransmisión a otro proveedor de servicios debe ser informada al usuario.
Sección 13, apartado 5 del TMG
En qué medida el TMD desplaza a la RGPD debe ser verificada con precisión. Si el legislador ha omitido implementar las directrices europeas, se puede suponer que una interpretación conforme al derecho de la Unión Europea del TMD es necesaria. Esto fue decidido en el fallo del Tribunal Supremo alemán (BGH) sobre Planet 49 para el § 15 Abs. 3 TMD. Esa disposición del TMD debe ser interpretada según el Artículo 5, apartado 3 de la Directiva e-Privacidad. De ello se deriva una exigencia de consentimiento según la directriz que no está mencionada en el TMD.
En mi opinión, el artículo 13 del TMG será en parte reemplazado por la RGPD. Por lo tanto, no es necesario informar explícitamente a un proveedor de servicios diferente. Aunque esto se recomienda mucho y puede ser incluso obligatorio indirectamente. También es posible que solo una parte del artículo 13 del TMG sea reemplazada por la RGPD, pero no el apartado 5. Esto suena realista para mí porque una regulación alemana más estricta no contradice la RGPD europea.
Mensajes clave
Al hacer clic en un enlace en una página web, se transfieren datos personales al sitio web al que se hace clic.
Si un enlace apunta a un país seguro, el proveedor del enlace no es responsable de los datos que se recopilan allí.
El consentimiento para el tratamiento de datos debe ser claro, voluntario e inequívoco.
No siempre se sabe a dónde van los datos cuando se hace clic en un enlace.
Los proveedores de enlaces deben identificar claramente los enlaces externos y advertir sobre los riesgos potenciales para la protección de datos al hacer clic en ellos.
Es posible que solo parte del artículo 13 del TMG por el RGPD reemplazado sea, pero no el apartado 5.
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.
