Sui quasi tutti i siti web esistono collegamenti ad altri siti web. Al momento del clic su un link da parte di un visitatore di un sito web vengono inevitabilmente trasferite dati personali. È questo un problema di protezione dei dati? E come si comportano gli obiettivi dei link nei paesi terzi instabili come gli Stati Uniti?
Introduzione
Un link o una collegamento è un hyperlink, che è possibile su pagine HTML. Una pagina HTML è ciò che molti intendono con il termine "sito web". HTML sta per HyperText Markup Language.
In HTML ci sono chiamati Tags. Un tag è un'istruzione. Un tag controlla l'aspetto o il comportamento di un testo. Con il tag <b> ad esempio può essere attivato il carattere grassetto per una frase di testo. Il tag <a> invece definisce un link. Esempio di definizione di un link:
<a href="https://www.ein-linkziel.it">Clicca qui per andare all'altro sito web</a>
Il tag viene definito da un obiettivo di collegamento, quindi un indirizzo di destinazione (URL) e un testo racchiuso tra i tag a. Se l'utente clicca sul testo, si richiama l'indirizzo di destinazione.
Trasferimento di dati al clic su un link
Solo quando un utente clicca su un link di sua iniziativa, avviene il trasferimento dei dati. E solo allora si verifica una raccolta di dati. Una raccolta di dati è presente non appena, a causa di un'offerta da parte di un responsabile, i dati vengono ricevuti dall'offerente o da un terzo e possono effettivamente giungere alla conoscenza.
Un responsabile nel caso di un link esterno è il fornitore del link, cioè colui che è responsabile della pagina web che contiene il link esterno.
I dati trasferiti al clic su un link sono tecniciamente necessari e condizionati dal protocollo di Internet TCP. TCP sta per Transmission Control Protocol.
Le informazioni trasferite contengono l'indirizzo IP dell'utente. L'indirizzo IP come indirizzo di rete è un valore personale. Ciò sono stati stabiliti dal Tribunale Europeo dei Diritti Umani e dalla Corte Federale Tedesca. Ciò vale anche per gli indirizzi IP dinamici, cioè quelli che vengono regolarmente assegnati nuovamente. Anche se un utente riceve ogni giorno una nuova IP-Address dal suo fornitore di servizi internet, essa è comunque considerata personale.
Al click su un link esterno vengono trasferite dati personali a un terzo
Conseguenza dal protocollo di rete TCP
Elaborazione dei dati al destinatario
Il fornitore del link non è responsabile per l'elaborazione dei dati che il destinatario del link esegue di sua iniziativa. Sarebbe diverso se ci fosse un ordine da parte del fornitore del link. Anche una responsabilità condivisa tra il fornitore del link e il destinatario, che può essere stabilita mediante un contratto, è un caso diverso.
Il destinatario del link è quindi responsabile anche per l'elaborazione dei dati che riceve in seguito al click sul link esterno sulla pagina web dell'emittente del link.
Obiettivo nel paese terzo sicuro
In un paese terzo sicuro è garantito, almeno ufficialmente e formalmente, un livello di protezione dei dati comparabile a quello della GDPR.
Se il link destinatario si trova in un paese terzo sicuro, l'invia è responsabile solo per la trasmissione dei dati e la raccolta di essi che egli stesso ha predisposto. La trasmissione dei dati è tecnica mente necessaria. Non esiste nulla per cui qualcuno possa essere responsabile. Una responsabilità può essere presente. Non essere responsabili per nulla, è in pratica lo stesso che non essere responsabili.
La raccolta di dati presso il destinatario del link è consentita solo nella misura in cui lo consente la GDPR. Ad esempio, il destinatario del link può adottare misure per proteggere i sistemi dai hacker, ma non può registrare le indirizzi IP a scopi di marketing. In tal caso, il destinatario del link è responsabile.
In questo caso il fornitore del link è di fatto responsabile né per la trasmissione dei dati, né per l'acquisizione dei dati.
In realtà non esiste alcuna responsabilità per il fornitore di link nei confronti degli obiettivi dei link in paesi terzi sicuri.
Obiettivo nel paese straniero di terzo livello
La considerazione è più complessa per i link in paesi terzi non sicuri. Gli Stati Uniti sono e rimarranno un paese terzo non sicuro, finché il Cloud Act americano non sarà abrogato nella sua forma attuale. Non cambierà nulla anche se l'UE stabilirà delle norme. Purtroppo l'UE ha venduto i nostri diritti fondamentali stipulando un accordo di protezione dei dati politicamente motivato chiamato Data Privacy Framework (DPF) con gli Stati Uniti. Il DPF si basa su una Ordinanza esecutiva del presidente degli Stati Uniti, che può essere revocata in qualsiasi momento. Indipendentemente da ciò, i cittadini dell'UE non sono sufficientemente protetti dalla spiazzatura americana. La goccia che fa traboccare il vaso è che un organo negli Stati Uniti viene definito come tribunale, ma non è un tribunale regolare, bensì una scena teatrale. Indipendentemente da ciò, bisogna verificare quali paesi terzi entrano in gioco quando un fornitore di servizi viene caricato con dati. In particolare, Google spesso coinvolge numerose altre parti provenienti da altri paesi terzi per cui non esiste alcun parere di conformità.
Art. 44 DSGVO definisce i principi generali per la trasmissione dei dati. Questi principi affermano che una trasmissione di dati personali_, „_che sono già stati elaborati o che saranno elaborati dopo la loro trasmissione in un paese terzo o in un'organizzazione internazionale“ è ammissibile solo sotto determinate condizioni.
La trasmissione dei dati negli Stati Uniti è consentita solo dopo l'autorizzazione precedente da parte di una persona interessata. La trattazione dei dati trasmessi dalla fonte del link non si è ancora verificata.
Da ciò deriva, si pongono diverse domande per i collegamenti esterni.
Cliccando su un tale link, l'utente ha dato poi consenso? Un consenso è secondo Art. 4 Nr. 11 DSGVO "ogni dichiarazione volontaria per il caso specifico, fornita in modo informativo e inequivocabile, con cui la persona interessata manifesta di essere d'accordo con l'elaborazione dei dati personali che la riguardano".
Una classica autorizzazione, come quella che si conosce dai cosiddetti Cookie Popups, è diversa. Lì si clicca su Accetto o Rifiuto. Un rifiuto dovrebbe essere lì possibile con lo stesso sforzo di un accettare. Una autorizzazione al click su un link esiste secondo me quando il utente era stato informato in precedenza. Infatti, una autorizzazione richiede qui un click, mentre un rifiuto non richiede alcun click, quindi meno sforzo, anzi addirittura di più.
Una informazione al utente può avvenire effettivamente solo se un collegamento esterno è riconoscibile come tale. Molte pagine web rappresentano in modo identico i collegamenti interni e esterni. Ciò non basta, secondo la mia valutazione, per informare l'utente. Infatti, l'utente potrebbe avere paura di cliccare su un collegamento esterno, e quindi non cliccare su nessun collegamento. Ciò potrebbe essere risolto solo con testi dei collegamenti ben definiti o con una dichiarazione generale secondo cui non vengono utilizzati collegamenti esterni o che essi non comportano la trasmissione di dati in paesi terzi poco sicuri.
Cliccando su un link che indica gli Stati Uniti, sollrebbero quindi secondo l'articolo 44 GDPR i dati essere trattati dopo averli inviati negli Stati Uniti? Sì, perché il trattamento dei dati è già avvenuto con la raccolta dei dati. La raccolta dei dati si verifica quasi sempre quando viene richiamata una pagina web (eccetto se l'accesso alla pagina web viene bloccato o non ha luogo per altre ragioni rare, ad esempio a causa di un'interruzione della connessione).
A chi arrivano i dati al clic su un link?
La domanda su quando avviene un trasferimento di dati in un paese terzo non sicuro è legata a chi riceve i dati. Sul web non è facile rispondere a questa domanda.
Il percorso dei dati è caratterizzato da un punto di partenza e un punto di arrivo. Il punto di partenza è il browser del visitatore di una pagina web. Il punto di arrivo è il server a cui si dirige la richiesta dell'utente, nel nostro caso il server che rappresenta l'obiettivo del link.
Di solito c'è un solo server su cui si trova una pagina web, quindi un link di destinazione. Non è raro che ci sia una distribuzione del carico. In particolare, grandi aziende come Google utilizzano questo metodo. Ma anche le pagine web dei negozi online tedeschi utilizzano spesso la distribuzione del carico per assicurarsi contro i guasti, ad esempio attraverso un Network di consegna di contenuti (CDN) come Cloudflare.
Cosa è l'obiettivo?
Durante una distribuzione di carico, il Domain Name Service (DNS) può essere responsabile della scelta del server effettivamente utilizzato. Il DNS a sua volta può anche essere stabilito dall'utente stesso. Diversi DNS possono restituire teoricamente server-destinazione diversi per una stessa richiesta ad un indirizzo e alla stessa ora.
Inoltre non è necessariamente solo il paese di destinazione in cui si trova un server che è rilevante per sapere se ad esempio l'intelligence americana può accedere a esso. Piuttosto, deve essere considerata tutta la struttura organizzativa. Una filiale di una sede centrale americana che si trova in Germania e che riceve ordini dalla sede centrale, potrebbe essere richiesta dalle autorità americane a rilasciare dati. Ogni volta che ciò accade, la sede centrale viola il diritto americano o quello europeo. Scommetterei che le aziende locali preferiscono rispettare le leggi nazionali piuttosto che soddisfare autorità straniere o persone.
Kurzum: spesso non si sa a chi vadano i dati che partono da un link. Tuttavia, se il responsabile di una pagina web ne viene informato, si pone la domanda se egli non debba essere considerato responsabile anche per il reindirizzamento verso l'obiettivo del link.
Raddrizzare un obiettivo
Ma ciò non è ancora sufficiente per dissipare le incertezze: supponiamo che tu faccia un link a una pagina X. Il server di cui si avvale per questo scopo si trova in Germania, la società che lo gestisce è tedesca. Fino a qui tutto bene. Ma allora il gestore della pagina potrebbe decidere di abbandonare l'indirizzo web (dominio) e un terzo potrebbe appropriarsene. Oppure il gestore decide di cambiare l'indirizzo X in Y, che può essere ospitato su qualsiasi server.
Non appena il fornitore di link viene a sapere che c'è un nuovo obiettivo, può derivare una responsabilità per lui.
Il cammino verso la meta
Inoltre si pone la domanda, quale percorso intraprenderanno i dati dal punto di partenza a quello di arrivo. Se i dati passano attraverso un nodo americano, è possibile l'accesso da parte di un servizio segreto americano. Ma questa domanda si pone anche per i link che puntano ad una pagina della stessa web site appena visitata. Pertanto, a mio avviso (per il momento), può essere considerata irrilevante, in quanto troppo ampia.
Anche qui è della mia opinione che la conoscenza del percorso dalla fonte di collegamento al destinatario del collegamento da parte dell'invitante potrebbe significare una responsabilità per il percorso dei dati.
Qual è l'estensione di responsabilità che può sorgere?
Inizialmente va stabilito che il fornitore del link non raccoglie dati dal clic di un link presso di sé. Il caso in cui ciò potrebbe accadere non verrà esaminato ulteriormente, poiché si tratterebbe di un procedimento da affrontare in aggiunta.
La trattazione dei dati presso il destinatario del link non rientra nella responsabilità dell'invitante al link. Egli sarebbe forse solo o congiuntamente responsabile se la trattazione dei dati presso il destinatario del link fosse avvenuta anche per interesse proprio dell'invitante al link oppure esistesse un rapporto contrattuale tra l'invitante al link e il destinatario del link.
Sui siti web dovrebbero essere riconoscibili i collegamenti esterni e nominare i relativi rischi.
La mia raccomandazione
Il trasferimento dei dati in un paese non sicuro a causa del clic su un link esterno spetta inizialmente al fornitore del link come responsabile. La responsabilità può essere ridotta o eliminata solo se l'utente sa quali rischi comporti il clic su un link esterno prima di farlo.
Se il fornitore del link è a conoscenza di circostanze critiche, ne derivano, secondo me, ulteriori domande sulla responsabilità.
Se il responsabile non segnala correttamente i collegamenti esterni o non informa adeguatamente l'utente sui possibili rischi, è quindi responsabile dei problemi di protezione dei dati che possono sorgere a causa del trasferimento dei dati in paesi terzi non sicuri.
Altre responsabilità
Altre questioni relative alla protezione dei dati, ma anche di contenuto e diritti d'autore si pongono quando si fa riferimento a terzi.
Un fornitore di link è responsabile dell'eliminazione del link non appena viene a conoscenza di contenuti illegali al sito di destinazione. Ciò non ha nulla a che fare con la protezione dei dati e quindi non verrà ulteriormente trattato.
Inoltre non vengono considerati ulteriormente casi in cui il fornitore del link è collegato al destinatario del link, ad esempio attraverso un contratto.
Conclusione
Una responsabilità per i collegamenti esterni che puntano a siti web situati in paesi sicuri può essere quasi esclusa. Tuttavia, esiste un piccolo rischio residuale a causa della possibilità costante che il destinatario del collegamento possa essere reindirizzato verso un nuovo obiettivo. Inoltre, una sussidiaria di una madre americana potrebbe essere attribuita, con cui la posizione effettiva del destinatario del collegamento non è più decisiva.
Oltre alle domande sollevate dalla GDPR, mi è saltata all'occhio una norma del Telemediengesetz che ha un certo impatto.
§ 13 Abs. 5 TMG is:
La prosecuzione con un altro fornitore di servizi deve essere comunicata all'utente.
Articolo 13, comma 5 del TMG
In che misura il TMG viene spodestato dalla GDPR, va verificato con cura. Se il legislatore ha omesso di attuare le norme europee, si può presumere che una interpretazione conforme al diritto dell'Unione debba essere adottata per il TMG. Ciò è stato deciso nel giudizio del BGH su Planet 49 per l'art. 15, comma 3, del TMG. Quella norma del TMG deve essere interpretata in conformità all'art. 5, comma 3, della direttiva ePrivacy. Da ciò deriva un obbligo di consenso ai sensi della direttiva che non è menzionato nel TMG.
In questo senso credo che il § 13 TMG verrà almeno in parte soppiantato dalla GDPR. Di conseguenza, la riconduzione a un altro fornitore di servizi non è necessariamente da dichiarare esplicitamente. A causa delle ragioni menzionate, ciò è comunque molto raccomandabile o potrebbe anche essere indirettamente richiesto. È anche possibile che solo una parte del § 13 TMG venga sostituita dalla GDPR e non l'art. 5. Ciò suona per me realistico, perché una normativa tedesca più rigorosa non contrasta con la GDPR europea.
Messaggi chiave
Cliccare su un link di un sito web trasferisce i tuoi dati personali, come il tuo indirizzo IP, al sito web a cui si accede.
Se un link porta a un paese sicuro, il fornitore del link non è responsabile dei dati che vengono condivisi.
Il consenso per il trattamento dei dati personali deve essere chiaro, informato e volontario, non solo un semplice clic su un popup.
Chi crea un link su un sito web potrebbe essere ritenuto responsabile del percorso che i dati intraprendono una volta cliccato il link.
I fornitori di link devono segnalare chiaramente i rischi associati ai collegamenti esterni e assicurarsi che gli utenti siano consapevoli di tali rischi prima di cliccare.
Una legge tedesca più severa non va contro le regole europee sulla privacy.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
