¿Es posible una utilización conforme a la protección de datos en Google reCAPTCHA?

Actualización Mayo 2024: El TTDSG pasó al TDDDG. Regula el acceso a dispositivos finales, lo que es importante para los cookies.

Actualización del 27.07.2023: El marco de privacidad de datos (DPF) entre la UE y EE.UU. está en vigor. Permite transferir datos a EE.UU. siempre que todos los receptores de datos estén certificados bajo el DPF. Es cuestionable si el acuerdo tendrá validez, ya que se basa en una orden ejecutiva wobbly. Independientemente de eso, hay otros motivos para no utilizar Google reCAPTCHA (ver artículo).

Actualización del 16.05.2023: La central de consumidores ha obtenido un sentencia contra la Telekom. El tribunal dice que la transmisión de datos a Google en Estados Unidos solo está permitida dentro de muy estrechas limitaciones.

Actualización del 12.04.2022: La autoridad de protección de datos francesa CNIL ha confirmado, tras una queja, lo que ya debería haber sido conocido desde hace tiempo: es decir, que Google reCAPTCHA solo puede ser utilizada después de la aprobación. Razón de CNIL, según entiendo yo: El herramienta no está pensada sólo para prevenir peligros, sino que también recopila (innecesariamente) datos con otros fines.

Con Google reCAPTCHA se analiza a fondo el comportamiento de los usuarios y sus acciones en la página web donde está incorporado. Y es que (principalmente), con este fin, se busca distinguir mejor entre un humano y un programa informático. Dado que el código reCAPTCHA se carga desde la dominio google.com, el herramienta tiene acceso automático a Cookies establecidas para usuarios de Google conectados. Uno de los cookies se llama NID y contiene una identificación única del usuario, que también se utiliza con Google Signals para reconocer a los usuarios incluso entre dispositivos. En este sentido es casi irrelevante desde el punto de vista de la protección de datos si reCAPTCHA establece (en cada situación) cookies adicionales o no.

Además, reCAPTCHA también accede a la dominio gstatic.com. Según se puede leer en las páginas de Google, este dominio también es utilizado por otras herramientas. Por lo tanto, pueden ser intercambiados potencialmente cookies a través de esta dominio.

Al hacer un llamado a un solo script de reCAPTCHA muestro en resumen cuántos cookies utiliza reCAPTCHA:

Debido al número de cookies transferidos, el problema de privacidad con Google reCAPTCHA queda bastante claro. Como mismo admite Google, no todos los cookies son técnicamente necesarios: „Además de ciertos estándares de cookies de Google, reCAPTCHA establece un cookie necesario (_GRECAPTCHA) cuando se ejecuta para el propósito de proporcionar su análisis de riesgo.“ (Fuente: https://developers.google.com/recaptcha/docs/faq. Actualización: La oración ha cambiado ligeramente en cuanto a la forma de expresión; su significado sigue siendo el mismo). Los cookies estándar de Google son como NID. NID es adecuado para seguir al usuario, tanto para fines de marketing como para crear perfiles de usuarios. Esto lo admite Google mismo ("Algunos cookies sirven para guardar las preferencias de un usuario. Por ejemplo, en los navegadores de la mayoría de los usuarios que utilizan servicios de Google, hay un cookie llamado „NID“. Este cookie contiene una ID única, con la cual se guardan sus preferencias y otras informaciones…", Fuente: https://policies.google.com/technologies/cookies?hl=de=).

De ello ya se deriva una obligación de consentimiento:

• Según la sentencia del Tribunal Federal de Alemania (BGH) sobre Planet 49 es el § 15 Abs. 3 TMG que debe interpretarse conforme al artículo 5 Abs. 3 de la Directiva ePrivacy. El TMG pasó a ser parte del DDG en mayo de 2024.
• El artículo 5 (3) de la directiva ePrivacy exige una autorización cuando se accede a información almacenada en el dispositivo del usuario y esto no es técnicamente necesario. Se ha demostrado que se accede a cookies. Técnicamente, estas no son necesarias; solo la cantidad de cookies puede demostrarlo. Las cookies también se utilizan para fines publicitarios debido a su número y valoración. Sería difícil demostrar lo contrario.
• El TJUE había establecido en el fallo de Planet49 que era irrelevante si los datos recopilados a través de cookies eran o no personales.
• A partir de diciembre de 2021 es aplicable en Alemania el § 25 TTDSG para los cookies

Si se utiliza Google reCAPTCHA para Formulados asegurarlos, entonces ya de por sí se excluye un interés legítimo porque hay numerosas alternativas efectivas que son mucho más amigables con la protección de datos. El interés legítimo es solo el clavo de oro entre las bases jurídicas que la DSGVO en Artículo 6, apartado 1 de la DSGVO enumera. Por lo menos debería haber una posibilidad directa de escribir un correo electrónico directamente en el formulario cuando se asegura con captchas hostiles a la protección de datos.

Variaciones

Hay varias variantes de reCAPTCHA https://developers.google.com/recaptcha/docs/versions:

La versión anterior 2 está disponible en una forma visual y una forma invisible.

reCAPTCHA Versión 3 siempre es invisible o crea un valor de Score para el usuario actual. Con este Score, la página llamada puede determinar si se trata de un visitante humano o de un robot.

Condiciones de uso

Para utilizar Google reCAPTCHA es necesario aceptar las condiciones de uso que entre otras cosas establecen lo siguiente[1]: „Usted confirma y reconoce que la funcionalidad de la API reCAPTCHA se basa en la recopilación y envío a Google de información sobre hardware y software, como datos de dispositivos y aplicaciones.“ y „Para usuarios en la Unión Europea debe cumplir con la Directiva de consentimiento del usuario de la UE y sus clientes API deben ajustarse a esta directiva.“ (negrita agregada, enlace eliminado de la fuente).

Un uso de Google reCAPTCHA sin consentimiento parece poco viable y, según las condiciones de uso de Google, incluso está prohibido. Las condiciones de uso se indican allí en varias partes como sigue:

• Condiciones de uso para las API de Google
• Condiciones de uso de Google
• Condiciones de uso para reCAPTCHA:

Confirmar y tomar nota de que la funcionalidad de la API reCAPTCHA se basa en la recopilación y envío a Google de información sobre hardware y software, como datos de dispositivo y aplicación. Las informaciones recogidas al utilizar el servicio se utilizan para mejorar reCAPTCHA y seguridad general. No se utilizarán para publicidad personalizada. De acuerdo con el apartado 3(d) de las Condiciones de uso de Google APIs, usted declara estar de acuerdo en que es responsable de proporcionar o solicitar los informes necesarios o consentimientos para recopilar y transmitir estos datos a Google. Para usuarios de la Unión Europea debe cumplir con la Directiva de Consentimiento del Usuario de la UE y sus clientes API deben cumplirla. Su uso de reCAPTCHA está sujeto a ciertas Limitaciones en llamadas. Google se reserva el derecho de imponer estas limitaciones mediante todas las medidas descritas en Limitaciones en llamadas o en estas Condiciones de uso.

Fuente: https://www.google.com/recaptcha/admin/create

Mucho éxito al leer, comprender y cumplir con estas condiciones complejas. La directiva sobre la aceptación de usuarios por parte de Google en la UE es interesante. Si un tercero solicita información, esto podría desencadenar un proceso complejo.

No puedo recomendar el uso de Google reCAPTCHA, ya que es necesario una autorización y resulta difícil cumplir con lo legalmente exigible.

Alternatives

Para WordPress y el popular formulario de contacto Contact Form 7 hay con Contact Form 7 Image Captcha una variante amigable para los usuarios y respetuosa con la privacidad de datos.

Casi cualquier servidor admite Código PHP. Con PHP se puede crear un Captcha de manera bastante sencilla. Aquí hay un ejemplo en PHP que muestra un texto como imagen.

<?php
$img = imagecreatetruecolor(300, 80);
$text\_color = imagecolorallocate($img, 233, 200, 200);
imagestring($img, 2, 1, 1,  'Datenschutz hilft', $text\_color);
$x=imagejpeg($img,"test1.jpg");
imagedestroy($img);

Un ejemplo de PHP más muestra cómo utilizar preguntas sencillas como cálculos.

Se puede hacer de manera muy sencilla, si una tarea de cálculo está configurada como un campo de entrada normal. Por ejemplo, la pregunta podría ser: "¿Cuánto es 17 menos 3?" La respuesta permitida podría ser: "14" o "catorce". La respuesta podría comprobarse con una función JavaScript simple. reCAPTCHA requiere, por lo menos, conocimientos de desarrollo y también conocimientos legales.

Un otro artículo describe alternativas para herramientas de Google muy utilizadas..

Si una agencia insiste en el uso de reCAPTCHA, pídale que asuma la responsabilidad y vea qué pasa. Si la agencia cree que no hay otra solución posible, sugiera que conozca a alguien que pueda ayudarla económicamente con esta tarea irresoluble. Si alguien propone reCAPTCHA, ese alguien debería conocer las condiciones legales básicas.

Como sucede con frecuencia en sitios web, hay mejores alternativas para las opciones obviamente conocidas que pueden funcionar igual de bien. A diferencia de los servicios de Google o otros sospechosos conocidos, las posibilidades amigables con el dato ofrecen una alta seguridad jurídica y a menudo la máxima autosuficiencia. ¿Quién quiere ser dependiente de un solo conglomerado? Yo no quiero. Por eso también recomiendo usar aplicaciones de Google lo menos posible. Comienza en los dispositivos móviles, para los que también hay dispositivos des-Googleizados como el Fairphone, basados en Android. Sigue con motores de búsqueda que no provienen de Microsoft ni de Google. Como ejemplos se pueden mencionar Ecosia, DuckDuckGo y Startpage. Los resultados son muy buenos y la sed de datos es menor o no está presente como en los conglomerados estadounidenses del internet. Si prefieren confiar sus datos a las agencias de inteligencia estadounidenses, sigan usando Google & Co. (que admiten ellos mismos que son escuchados por las autoridades estadounidenses, como el FBI).