Si los cookies contienen datos personales, es relevante por varias razones. La RGPD regula (solo) el alcance con datos personales o relacionados con personas, pero no específicamente con cookies. Esto también es relevante para las autoridades de control y eventualmente su privilegio de multas.
Introducción
El artículo surgió antes de que se hiciera pública y entrara en vigor el TTDSG. Lo he ajustado. Su forma original es transferible por sí sola al estado actual. Sólo las referencias a TTDSG en lugar de ePrivacy o TMG deben evaluarse de manera diferente.
El tema lo hemos abordado también en el podcast privacy Deluxe (Episodio 18):
Conocidamente, la RGPD no se aplica específicamente a los cookies al principio, sino a los datos personales. El TTDSG establece que los cookies solo pueden ser almacenados o accedidos en el dispositivo de un usuario si existe una autorización previa por parte de la persona afectada (los cookies técnicamente necesarios están eximidos de esta regla). Este artículo se escribió antes de la entrada en vigor del TTDSG y se refiere a partes aún al TMG. El TTDSG es un estatuto especial para la RGPD, también conocido como lex specialis.
¿Son los cookies datos personales?
El Tribunal Supremo de Alemania decidió en julio 2020 en el fallo Planet49, que § 15 Abs. 3 TMG debe interpretarse conforme a Artículo 5 Abs. 3 ePrivacy Directiva. El legislador alemán fue una vez más muy lento y no había implementado la directiva europea en un derecho nacional. Sólo el 01.12.2021 entró en vigor con el TTDSG el código de protección de datos para Alemania, que cumple con la exigencia europea. En mayo de 2024 se dará al TTDSG el nombre de TDDDG y al TMG el de DDG. Los nuevos códigos son iguales a los anteriores y solo tienen una nueva denominación (ya que ahora se consideran "servicios" en lugar de "medios").
Hasta antes del 01.12.2021 también era interesante § 15 Abs. 1 TMG. Allí se decía al principio:
El proveedor de servicios puede recopilar y utilizar datos personales de un usuario solo en la medida en que sea necesario para permitir y cobrar el uso de los medios de comunicación (datos de uso).
Sección 15, apartado 1 de la Ley sobre derechos de los usuarios y la ordenación del tráfico en línea (TMG) (Extracto)
Este párrafo es especialmente relevante cuando se trata de la cuestión de si las autoridades alemanas de protección de datos pueden imponer multas por cookies utilizados ilegalmente. En este caso lo que importa es saber si los cookies son datos personales o no. No considero aquí las leyes específicas de cada país de las autoridades alemanas de protección de datos, aunque en algunos casos podrían hacer obsoleta la pregunta sobre el carácter personal de los cookies.
¿Qué son las cookies?
Las cookies son almacenadores de datos. Un cookie se gestiona en el dispositivo del usuario. Un usuario es un propietario de un dispositivo. Si un usuario llama a una página web mediante su navegador, gestiona el navegador para el usuario las cookies de la página visitada. Las cookies se almacenan por el navegador en un formato aleatorio.
Un cookie está compuesto por una pareja de datos que consta de nombre y valor. Esta pareja de datos se envía a la web cuando se accede a ella. Si una web incorpora plugins y estos plugins utilizan cookies, los plugins reciben estas parejas de datos. No se envían cookies desde el dispositivo del usuario hacia los medios digitales consultados, sino que se envían nombre y valor de cada cookie.
Los cookies son "solo" una forma de acceso a los dispositivos finales. Incluso con JavaScript, tal acceso puede ocurrir. El TTDSG aborda incluso dispositivos finales como sensores sin pantalla que envían sus valores de medida a través de una red. Para tales dispositivos finales se pueden instalar actualizaciones. También tales actualizaciones son accesos análogos a los cookies.
¿Qué son los datos personales?
El TMG no proporcionó información suficiente sobre esto. Tampoco en el TTDSG se encuentra mucha información al respecto. En su lugar, uno puede buscar el BDSG y la RGPD, que (no soy un abogado) podrían ser relevantes para el TTDSG. Por lo menos la RGPD es relevante para las autoridades de protección de datos. Y por lo menos el BDSG o la RGPD son relevantes para el TTDSG, según mi opinión ingenua. Por favor, corrijanme si estoy equivocado.
In § 46 Nr. 1 BDSG steht: Personenbezogene Daten sind …
… todas las informaciones que se refieran a una persona física identificada o identificable (persona interesada); como identificable se considera a la persona física que pueda ser identificada directa o indirectamente, especialmente mediante la asignación de un código como nombre, número de identificación, datos de ubicación, identificador en línea u otros rasgos específicos que expresen la identidad física, fisiológica, genética, psicológica, económica, cultural o social de esa persona
Sección 46, número 1 de la Ley Federal para la Protección de los Datos Personales (BDSG) (Extracto)
En el Artículo 4, Número 1 de la RGPD se establece casi textualmente: Los datos personales son…
todas las informaciones que se refieran a una persona física identificada o identificable (a continuación, 'persona afectada'); como identificable se considerará a la persona física que pueda ser identificada directa o indirectamente, especialmente mediante la asignación de un código como un nombre, un número de identificación, datos de ubicación, una clave en línea u uno o varios rasgos especiales que expresen la identidad física, fisiológica, genética, psicológica, económica, cultural o social de dicha persona física
Art. 4 Nr. 1 RGPD (Auszug)
Las definiciones de BDSG y RGPD establecen que la personalidad de un dato conduce a considerar ese dato como personal, siendo aquí objeto exclusivamente las personas naturales.
La cuestión de si los cookies representan datos personales se puede reducir a la pregunta de si los cookies representan datos relacionados con personas. Los datos relacionados con personas son, en cualquier caso, más que datos personales. Esto queda claro por definición.
¿Son los cookies datos personales?
La verdadera cuestión (más sencilla).
¿Qué son las cookies?
Los cookies son conjuntos de datos. Los cookies no son archivos de texto, como muchos afirman. Los cookies tampoco son archivos de texto porque a uno no le viene un mejor término que sea fácilmente comprensible según la RGPD. Hay mejores términos que "archivo de texto" que aún así son comprensibles. Por ejemplo, "informaciones en forma de bocadillo" en lugar de conjunto de datos, aunque creo que el conjunto de datos es fácil de entender. Lo mejor es describir para qué se utilizan los cookies, a saber, para almacenar información en el ordenador del usuario (o en una instalación final como un dispositivo de hogar inteligente).
Un cookie está compuesto por un tupla, es decir, un par de valores. El par se forma con un nombre y un valor. Que esté presente una tupla no importa. Un valor unidimensional es equivalente. Se puede lograr esto al concatenar el nombre y el valor, que están separados por un delimitador definido.
Un Cookie se crea, cuando un servicio lo genera. Un servicio puede ser una página web que puede generar sus propios cookies según sea necesario. A menudo esto sucede para la creación de cookies para la gestión de sesión. De esta manera, se puede determinar si un usuario está registrado o no. WordPress utiliza cookies para permitir la autenticación del usuario. En este caso, solo pueden surgir cookies de primera parte, que tanto técnicamente como profesionalmente pertenecen a la primera parte. La primera parte es el propietario de la página web o el responsable de ella.
Además, un cookie puede ser generado mediante lógica de JavaScript. En este caso también se crean cookies técnicas First-Party. Sin embargo, en el caso de Google Analytics hay una cuestión técnica de un cookie de terceros, ya que es administrado por Google.
Últimamente, los cookies pueden surgir cuando se consultan archivos de un (otro) servidor. Por ejemplo, surgen cookies cuando Google reCAPTCHA consulta archivos de una página web. Estos cookies son técnicamente y profesionalmente cookies de terceros.
| Proceso | Arte de las Cookies técnicamente | Arte de las Cookies (fachoso) |
|---|---|---|
| La página web gestiona sus propios cookies | First-Party | First-Party |
| Lógica de JavaScript Tercera | First-Party | Third-Party |
| Llamada de archivo a servidor externo | Third-Party | Third-Party |
Los cookies se gestionan de forma separada por cada navegador del usuario. Cada usuario puede tener potencialmente otros cookies en su dispositivo que los demás usuarios. Los cookies son la única información actual § 25 TTDSG almacenada en el dispositivo del usuario cuando se trata de páginas web. En smartphones, por ejemplo, se suma la ID de publicidad de Apple y Google. Con Google FloC, un intento fallido previo de Google para ser más amigable con la privacidad, se almacenan IDs de cohortes en el dispositivo del usuario. También Google Topics accede al dispositivo del usuario.
Los cookies almacenados en un dispositivo dependen de las páginas web que haya visitado el usuario. Sólo con eso se puede inferir que los llamados escáneres de cookies nunca pueden funcionar de manera fiable.
¿Qué datos almacenan los cookies?
En general, esta pregunta no puede ser respondida. Potencialmente, todos los datos posibles pueden ser almacenados en un o varios cookies. Aquí hay algunos ejemplos de valores de cookies. Solo se muestran los valores porque los nombres determinan la interpretación y el significado de los valores está explicado en la lista.
| Valor | Ejemplo significativo |
|---|---|
| X | Se ha confirmado la aparición de cookies (información «Sí/No») |
| ab6729cc92027fd165442 | Identificador único para un usuario |
| 2021-12-07 12:51:22 | Marcador de tiempo, aproximadamente última visita a la página web |
| UA-4711-4712 | Cuenta de Google Analytics del administrador de la página web |
| 7777-8888-9999-aaaa-2222 | ID de Google del usuario que está registrado en su cuenta de Google |
| 8.56829,50.22335 | Ubicación del usuario |
Los valores impresas en negrita son directamente personenbeziehables. Si un valor almacenado en un cookie es personenbeziehable, entonces lógicamente también lo es el cookie como contenedor de datos. Después de todo, la expresión del valor del cookie se transmite con cada solicitud de datos a una dominio adecuado para el cookie y puede ser leída.
Un cookie con un valor personalizable es personalizable y por lo tanto debe considerarse como información personalizable solo por eso.
Mi conclusión sobre las cookies.
La lectura de cookies en sí es relativamente insignificante para determinar si se produce una procesamiento de datos, en dos de las tres categorías de cookies mencionadas anteriormente. Una recopilación de datos ya está presente cuando la misma se lleva a cabo debido a un ofrecimiento. Un ofrecimiento siempre está presente en una página web. Por lo menos una procesamiento de datos implícita está presente en Cookies de terceros siempre y cuando. Lo mismo es válido para cookies de primera parte de la propia página web visitada, que se transfieren durante llamadas a archivos. El vínculo con personas existe aquí únicamente debido al canal de comunicación, además de otras razones.
Claramente es el caso con los cookies de Google Analytics. Los valores de estos se explícitamente leen mediante una lógica JavaScript para luego enviarlos a un servidor de Google que, por cierto siempre está en Estados Unidos.
¿Y en cuanto a la pregunta de qué pasa con los cookies que no tienen características asociadas a personas? Son entonces almacenes de datos almacenados en un dispositivo de una persona, personales?
En primer lugar, es técnicamente probado que los cookies tienen un relación con personas. Después de todo, se gestionan en el dispositivo de un usuario, es decir, una persona.
Como los cookies específicos se asignan siempre a una persona a través de su dispositivo, considero que también son personales en todo momento. A mi juicio, esto es lo que hace la directiva ePrivacy, que finalmente ha sido implementada explícitamente en Alemania desde diciembre de 2021 § 25 TTDSG. Esto sigue siendo así a mi entender, incluso cuando la directiva ePrivacy prioriza el protección de dispositivos finales.
Analogamente, se comporta con "Datos de tráfico" (metadatos) que pueden ser relacionados con una persona con más del 90 % de probabilidad. Vgl. aquí las referencias al final del artículo.
Los datos de tráfico se entienden aquí en sentido técnico. También hay una significación jurídica del término que no abordaré aquí!
Con datos de tráfico me refiero aquí al fingerprint digital del usuario, que utiliza un navegador. A esto pertenecen la resolución de pantalla, la versión del sistema operativo, la zona horaria y otros datos, incluso la dirección IP. Con la dirección IP es aún más alta la probabilidad de poder retroceder a una persona individual. Incluso sin esta dirección de red se logra la asignación de cualquier dato de tráfico a una persona con una probabilidad de más del 90 %.
No es casualidad que el TJUE en su sentencia sobre direcciones IP haya establecido que incluso direcciones IP dinámicas se consideran datos personales. Las direcciones dinámicas pueden cambiar diariamente o aún con mayor frecuencia (como un recordatorio, se llama Reconnect, es decir, el redireccionamiento de la conexión).
Cuando se leen cookies, siempre está presente la dirección IP del usuario al leerlas. Por lo tanto, los cookies, incluso si no son personales por sí solos (lo que creo y he explicado), están siempre relacionados con el dato personal de la dirección de red. Incluso si la dirección de red se ha anonimizado, se había obtenido previamente necesariamente. Eso es precisamente el motivo por el cual, según artículo 12 RGPD, cada sitio web debe contener apercibimientos sobre protección de datos(siempre que el sitio web no esté vacío, es decir, si ofrece algo). La anonimización como proceso de tratamiento debería ser posible, pero no es tan fácil justificarlo como podría pensarse al principio.
Las cookies y la dirección de red personalizada por decisión judicial son siempre accesibles juntas. Por eso, las cookies parecen ser personalizadas.
Consecuencia lógica de una condición técnica
Conclusión
Después de todo eso llego a la siguiente conclusión: Los cookies, en sí mismos, como almacenamiento de datos, siempre están ubicados en el dispositivo final de una persona, son personales y por lo tanto son datos personales, porque el acceso a los cookies solo puede realizarse conjuntamente con la dirección de red personalizada.
| Hecho del caso | Argumento de pertinencia personal |
|---|---|
| Valor de cookie personalizado | Referencia a personas del valor de cookie |
| Almacenamiento de todos los cookies | El dispositivo del usuario puede ser asignado a una persona mediante el señal de ubicación/GPS, identificador (ID publicitaria, etc.), dirección de red, etc |
| La dirección de red siempre está junto con las cookies | La dirección de red contiene un vínculo con personas |
| Analogía entre cookies y datos de tráfico e IP | Los datos de tráfico son identificables a nivel personal, las direcciones IP incluso son identificables a nivel personal |
Algunos cookies con relación a personas y valoración no plantean la cuestión de la relación a personas en mi opinión.
La realidad de que Cookies en el dispositivo de un usuario, asociado a una persona, se almacenan muestra además la relación personal con las cookies.
La realidad de que la dirección de red potencialmente siempre personenbezogene también está en el acceso cuando se establece o lee un cookie, muestra aún más el vínculo personal con los cookies.
La realidad de que la directiva ePrivacy declara los cookies, independientemente de su valoración, como obligatorios para la aprobación (ver también sentencia del TJUE sobre Planet49), podría ser un indicador del enlace personal con los cookies. Sin embargo, me han llamado la atención que la directiva ePrivacy se centra principalmente en el protección de la unidad terminal de un usuario. La unidad terminal de un usuario es obviamente personalizable, ya que está asociada a una persona que la posee. La directiva ePrivacy protege especialmente la privacidad. La privacidad está directamente relacionada con la personalización, creo yo. Esto se hace patente en Rn. 24 de la directiva. En Rn. 25 también se hace referencia a la utilización de una unidad terminal por varios usuarios.
Incluso la conocimiento sobre datos de tráfico de un usuario sin conocimiento de su dirección IP es suficiente para identificar a una persona con más del 90 % de probabilidad.
La misma sentencia del TJUE, de que incluso direcciones IP dinámicas son datos personales, es un indicador del enlace con personas de las cookies. Porque la sentencia establece el enlace con personas muy temprano. En fin, casi nadie puede llegar a una persona basándose en una dirección IP. Sin embargo, según el TJUE, esto no importa. También el BGH ha dejado claro (Sentencia del 15.06.2021, Az. VI ZR 576/19), que el término de datos personales o personenbeziehbaren „es muy amplio“. El BGH escribe: el término de datos personales „… incluye potencialmente todas las formas de información tanto objetiva como subjetiva en forma de declaraciones o evaluaciones, siempre y cuando se trate de información sobre la persona en cuestión. La última condición está satisfecha si la información se relaciona con una persona determinada debido a su contenido, su propósito o sus efectos …“.
Los cookies son datos personales.
Mi conclusión, que me gustaría discutir.
Por lo tanto, sigo la lógica de que los cookies siempre deben considerarse como datos personales. Por supuesto, estoy abierto a argumentos contrarios y dispuesto a revisar o corregir mi opinión en parte si hay razones objetivas para ello.
Antes de la entrada en vigor del TTDSG, lo siguiente era aplicable: Por lo dicho solo, también las autoridades de supervisión alemanas podrían imponer multas por el uso no autorizado de cookies según § 15 Abs. 1 TMG, y esto dejarlo claro jurídicamente en el peor de los casos.
Las autoridades alemanas, aparentemente, no están dispuestas a ello en una base amplia. ¿A qué se debe esto? No puede ser la complejidad del tema. Muchas cosas deberían estar ahora finalmente conocidas y aclaradas o, si es necesario, sometidas a un juicio para su aclaración.
Referencias a Fingerprinting
Fingerprinting es una posibilidad para poder retroceder desde los datos de tráfico a un sistema de un usuario hasta el usuario en sí, y así poder distinguirlo de otros usuarios con bastante precisión. Al hacer Fingerprinting, no se necesita ni siquiera un dato personenbezogenes real. Más bien, la suma de las características conocidas de un sistema de usuario da una muy buena posibilidad de retroceder hasta un individuo. Por lo tanto, el (digital) fingerprint de un usuario es un dato personenbeziehbares, es decir, un dato personenbezogenes.
Compare con las siguientes fuentes:
- aepd (Spanische Datenschutzbehörde): Survey on Device Fingerprinting (ohne Datum, spätestens Jahr 2018): https://www.aepd.es/sites/default/files/2019-09/estudio-fingerprinting-huella-digital-EN.pdf
- Henning Tillmann: Diplomarbeit: Browser Fingerprinting: Tracking ohne Spuren zu hinterlassen (20.10.2013): http://bfp.henning-tillmann.de/downloads/Henning%20Tillmann%20-%20Browser%20Fingerprinting.pdf ; siehe auch online Demo: https://www.henning-tillmann.de/2013/10/browser-fingerprinting-93-der-nutzer-hinterlassen-eindeutige-spuren/
- Electronic Frontier Foundation, Peter Eckersley: How Unique Is Your Web Browser: https://panopticlick.eff.org/static/browser-uniqueness.pdf . Online Test: https://panopticlick.eff.org/
- Patente de Google sobre Device Fingerprinting
- Otros patentes de Google sobre fingerprinting del dispositivo
Mensajes clave
Las cookies pueden contener datos personales y, por lo tanto, están sujetas a las regulaciones de protección de datos.
Las cookies pueden contener información personal si se relacionan con una persona identificable.
Las cookies son conjuntos de datos que los sitios web usan para almacenar información en tu ordenador, como si fueran pequeños mensajes.
Las cookies, aunque no siempre contengan información personal directamente, siempre están relacionadas con una persona porque se almacenan en el dispositivo de esta.
Las cookies, aunque por sí mismas no contienen información personal, siempre están relacionadas con la dirección IP del usuario, que sí es información personal. Por lo tanto, las cookies se consideran datos personales.
Las cookies se relacionan con las personas porque se almacenan en dispositivos que pertenecen a individuos y se pueden usar para identificarlos.
Los datos de "fingerprinting" son datos personales porque permiten identificar a un usuario individual a través de características de su dispositivo.
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.
