¿Cuál es el problema central del rastreo web?

El problema central radica en que el seguimiento web es ilegal sin un consentimiento explícito e informado. A menudo, los consentimientos se obtienen a través de herramientas de consentimiento inútiles, lo que dificulta el cumplimiento del RGPD.

¿Qué papel juega el consentimiento en el seguimiento web?

El consentimiento es crucial para la conformidad del seguimiento web con el RGPD. Debe ser voluntario, informado y específico para garantizar que el usuario comprende el procesamiento de datos y está de acuerdo con él.

¿Qué se entiende por seguimiento?

El rastreo implica la recopilación y seguimiento de datos de usuarios en Internet para analizar su comportamiento y utilizarlo para publicidad personalizada. A menudo, los datos se transmiten a empresas como Google a través de los propietarios de sitios web.

¿Qué papel juega Google en la recopilación de datos?

Google a menudo obtiene datos de usuarios al utilizar los Servicios de Google en sitios web, que luego se utilizan para publicidad personalizada. Esto también ocurre mediante la vinculación de datos de diversas fuentes, como Google Signals, para crear perfiles de usuarios detallados.

¿Qué problemas pueden surgir por el seguimiento?

Mediante el seguimiento, pueden surgir preocupaciones sobre la privacidad, ya que las actividades de los usuarios son rastreadas y almacenadas sin su consentimiento. Esto puede generar inquietudes sobre la privacidad.

¿Por qué se utiliza el seguimiento?

El seguimiento se utiliza para recopilar datos con diversos fines, especialmente para la publicidad dirigida y el análisis del comportamiento del usuario en un sitio web.

Sichere KI, digitaler Datenschutz & Website-Compliance

Rastreo o seguimiento web es un término que no está definido con más detalle. La definición jurídica puede derivarse de la situación legal actual y apoyarse en la definición técnica. Mi definición apunta a la obligación de obtener el consentimiento.

Al hablar del concepto de Trackings se trata fundamentalmente de si existe una requisito de consentimiento.

Una definición técnica común del término Web Tracking es:

Web Tracking es el identificar y seguir a los usuarios en redes, con el objetivo de aprovechar los datos de los usuarios fuera de un interés legítimo.
Definición del seguimiento desde una perspectiva técnica.

Desde la perspectiva legal se puede definir según la legislación vigente y que a mi entender está bien establecida, a partir de las siguientes preguntas:

¿El servicio utiliza cookies que no son técnicamente necesarias o el servicio no es funcionalmente necesario?
¿Se transfieren datos personales a terceros sin un interés legítimo y sin ninguna otra base jurídica?
¿Se transfieren datos personales a terceros países inseguros, como Estados Unidos?

La primera pregunta está subrayada por Artículo 5, apartado 3 de la Directiva ePrivacy. Dice que debe otorgarse un consentimiento tan pronto como se accede a información almacenada en el dispositivo del usuario. Esto es obvio, siempre y cuando el proceso no sea necesario técnicamente, como lo explica la directiva. Desde diciembre de 2021, para Alemania, rige el § 25 TTDSG. Hasta entonces, se aplicaba § 15, apartado 3 TMG (según sentencia del Tribunal Supremo alemán sobre Planet49, que debe interpretarse como la Directiva ePrivacy). Desde mediados de 2024, el TTDSG ha sido absorbido por el TDDDG.

La segunda pregunta se encuentra subordinada a los Art. 5 RGPD (minimización de datos), Art. 25 RGPD (protección de datos mediante diseño tecnológico), Art. 32 RGPD (seguridad del tratamiento) y Art. 6 RGPD (bases legales). Un tercero es cualquier otra entidad con la que no se ha concluido un DPA o similar. Al visitar una página web, siempre se procesan datos personales porque la dirección IP (dirección de red) es un dato personalizado. Si una página web incorpora el servicio de un tercero, como un reproductor de video de YouTube, se transmite la dirección de red del usuario al tercero. También puede hacer referencia a § 15 Abs. 3 TMG. Allí se trata la formación de perfiles de usuarios. Los datos de los perfiles de usuarios son personenbeziehbar, por lo que son personenbezogenos. Alternativamente podría utilizarse el Device Fingerprint como información personalizable.

La tercera pregunta se encuentra subordinada a Artículo 44 (Principios de la transmisión de datos).

Sobre esta base, considero útil la siguiente definición jurídica de rastreo (formulada lingüísticamente como informático):

El rastreo en Internet es un transferencia de datos, que debe estar respaldado por una autorización, porque sin interés legítimo (y mucho menos con otra base legal) se accede a información en el dispositivo del usuario o porque es innecesario o evitable, o porque el receptor no puede garantizar suficientemente la cumplimiento de la RGPD.
Definición de seguimiento desde una perspectiva jurídica.

Mientras que la definición técnica de rastreo se centra en el procesamiento de datos, en la definición legal es relevante ya el transferencia de datos. De ello se deriva una brecha, que yo examino en un otro artículo. En la definición no juega ningún papel directo la formación de perfiles de usuario, sino que se trata indirectamente a través de transferencias innecesarias o evitables de datos, porque la dirección IP ya es un dato personalizable, cubre esta transferencia extendida en la formación de perfiles de usuario casi por completo.

El seguimiento de Ist es conforme a la RGPD?

El seguimiento web es conforme con el RGPD si el usuario ha dado su consentimiento y se conocían todos los hechos sobre el tratamiento de datos cuando se solicitó el consentimiento.

Tracking en la web, independientemente de que se utilice o no cookies, es ilegal sin consentimiento. Un consentimiento se solicita a menudo (lamentablemente) mediante herramientas de consentimiento que considero inútiles.

Las condiciones de uso de Google requieren una autorización antes de incorporar videos de YouTube. Pues, según estas condiciones, debe solicitarse la autorización antes de recopilar datos para fines publicitarios. Lamentablemente, el script de YouTube siempre carga el rastreador de publicidad DoubleClick (hasta el 30.12.2020).

Para Google reCAPTCHA se menciona en las condiciones de uso que debe cumplirse con la Directiva de consentimiento del usuario de la UE.

El Administrador de etiquetas de Google y otros servicios como Google Maps se asignan a la Plataforma de marketing de Google (ver por ejemplo aquí).

Thesen

La integración de varios herramientas para el análisis estadístico del usuario se debe considerar como rastreo.

Soluciones de consentimiento basadas en cookies suelen ser ilegales por derecho y no funcionan técnicamente sin una adaptación profunda de la página web utilizada. He demostrado esto mediante una investigación detallada y he establecido razones objetivas y prácticas para ello.

Cookies de Opt-Out_, que hacen que las herramientas de análisis de terceros se carguen aún así, para evitar la recopilación de datos debido a dichos cookies (esperándose), son inaceptables_

El uso de servicios cuyos proveedores son desconocidos o que no presentan ni una declaración de privacidad transparente y no ofrecen garantías, es ilegal y, incluso con la autorización, está afectado por incertidumbres legales.

La incorporación de cualquier archivo de terceros en sitios web sin garantía comprobable, de que estos terceros traten los datos personales obtenidos (no realicen seguimiento), no es compatible con la RGPD.

Herramientas de seguimiento populares

Según cómo se defina el seguimiento, algunos servicios encajan o no en esta categoría. A continuación, se mencionan varias categorías de herramientas de seguimiento. Por lo común, bajo el término Tracking se entiende el seguimiento de usuarios para conocerlos mejor y aumentar las tasas de conversión.

Aquí una selección de herramientas de seguimiento muy extendidas, pensadas para seguir a los usuarios:

Google Analytics
Píxel de Facebook
DoubleClick, DoubleClick Remarketing para Google Analytics …; DoubleClick se utiliza, entre otros, por YouTube Videos Player
Google Ads Conversion Tracking
Plugins de Redes Sociales de Facebook, Twitter y similares.
Google +1 (sin función para el operador del sitio web)
Omniture Analytics (Adobe Analytics)
Visor de ventas
Xiti Monitoring Traffic (AT Internet)
Matomo (en determinadas configuraciones y para funcionamiento en la nube en lugar de instalación local)

Herramientas de seguimiento ocultas

Las designo aquí así porque la función principal no debe ser el Tracking, pero los proveedores de herramientas proporcionan estas herramientas en realidad (también) para realizar Tracking.

Google Maps: Utiliza entre otras cosas el NID Cookie, que se establece al registrarse en un cuenta de Google. Carga Google Fuentes
Guion de video de YouTube: Carga DoubleClick
Google reCAPTCHA: Siehe Google Maps
Microsoft Forms: Carga script de Bing a (también pertenece a Microsoft, pero parece innecesario para Forms )

Seguimiento mediante las Herramientas de Google

Asumo que el grupo de empresas Google analiza los datos de conexión que se generan al utilizar los siguientes servicios, entre otros, para sus propios fines o los pone a disposición de terceros:

Administrador de etiquetas de Google: Google utiliza los datos de usuarios obtenidos para sus propios fines, entre otros, para optimizar la publicidad*
Fuente de Google de Fuentes Web: ver Administrador de etiquetas de Google
Cualquier otra archivo que se obtenga de un servidor Google ([1]) ([2])
Servidor DNS de Google (8.8.8.8 = Servidor DNS Público de Google). Esto es una suposición sin pruebas profundas. Quien pueda proporcionar pruebas sólidas, recibirá de mí un premio! En cualquier caso confirma Google que los datos personales obtenidos a través del servidor DNS (solo) no se utilizarán para mostrar anuncios dirigidos. Por lo tanto es posible seguir a los usuarios y transmitirles esta información a terceros, quienes, en consecuencia (de su propia responsabilidad), optimizarán sus anuncios. ([1])

Google admite incluso el uso de datos recogidos en otros lugares. He aquí dos fuentes de Google:

Uso de los datos recogidos por Google para publicidad. Fuente: https://adssettings.google.com/authenticated?hl=de. (la imagen se ha traducido automáticamente).

Por tanto, los operadores de sitios web y aplicaciones transmiten datos a Google para que este pueda mostrar publicidad personalizada en sus propios sitios web y en los de terceros. La publicidad personalizada requiere que una persona esté identificada o pueda vincularse a una persona.

Una cesión de datos adicional permite a Google procesar actividades en Internet para personalizar la publicidad. Fuente: https://myactivity.google.com/activitycontrols?settings=search&utm_source=my-activity&facs=1&hl=de. (la imagen se ha traducido automáticamente).

En mi opinión, Google y también los operadores de sitios web que utilizan los servicios de Google sin consentimiento están actuando ilegalmente en este caso, porque el camino me parece el siguiente:

Un usuario A visita cualquier sitio web X
Los servicios de Google están integrados en el sitio web X
Google recibe así datos sobre el usuario A procedentes del sitio web X
Si el usuario A ha consentido el uso de sus datos en un lugar completamente distinto al sitio web X, a saber, en Google (véanse las capturas de pantalla), Google utiliza los datos obtenidos sobre el usuario A a través del sitio web X para otros fines que no se corresponden necesariamente con los del sitio web X
El sitio web X (normalmente) no ha obtenido el consentimiento para ello o no he observado en ningún sitio que la integración de Google Maps o Google Fonts en los sitios web se explique por el hecho de que los datos se transmiten a Google para que los utilice con fines de publicidad personalizada.
Como mínimo, el operador del sitio web X es responsable, ya que transmite datos personales del usuario A. Probablemente Google también sea responsable. Google Signals, por ejemplo, combina datos de diversas fuentes para crear perfiles de usuario.

Obligación de consentimiento debido a la transferencia de datos

Es posible que las siguientes herramientas no realicen ningún seguimiento (se dan ejemplos). Sin embargo, la transferencia de datos a terceros países inseguros, como EE.UU., parece requerir el consentimiento (y, en mi opinión, claramente lo requiere):

Fuentes Font Awesome
Fast Fonts (Fonts.com): Uso de un píxel de seguimiento principalmente con fines de facturación (cuota de uso)
MailChimp
MyFonts
MapBox (utiliza OpenStreetMap)
SoundCloud Audio Player
CloudFlare (red de distribución de contenidos para archivos)

En caso de duda, el responsable de la recopilación de datos debe aportar la prueba de legalidad. Por lo general, es responsable de una página web el propietario de la misma, a menos que haya podido transferir su responsabilidad a otra entidad. En empresas que operan globalmente, se tiende a atribuir la responsabilidad a un empresa con sede adecuada.

Tampoco es posible sin riesgo cargar una imagen desde un servidor externo de un tercero en lugar de incrustar la imagen directamente. Por regla general, el tercero no analizará a los usuarios basándose en los datos de tráfico recibidos, pero podría hacerlo.

Herramientas seleccionadas