Video di YouTube: I video possono essere integrati nei siti web nel rispetto delle norme sulla protezione dei dati?

I video di YouTube possono essere inseriti in sito web tramite uno script. Ciò è problematico dal punto di vista della protezione dei dati, perché già al momento del caricamento di questo script si verificano numerose raccolte di dati. Anche senza l'avvio effettivo del video, il coniglio è quindi già stato ucciso.

Il servizio è fornito da YouTube LLC, USA. Con ciò, esso è già soggetto all'obbligo di consenso in virtù del trasferimento dei dati in un paese terzo non sicuro ai sensi dell'articolo 44 GDPR (cfr. la sentenza della Corte di giustizia europea sul Privacy Shield e il Cloud Act). Ignorando ciò, la situazione non migliora comunque ([1]) :

Le condizioni di utilizzo di Google richiedono il consenso per i servizi integrati come YouTube per le seguenti attività ([1]) ([2]) :

l'uso di cookie o di altre forme di memorizzazione locale di informazioni, nella misura in cui il consenso è richiesto dalla legge; e la raccolta, la divulgazione e l'uso di dati personali per la personalizzazione degli annunci pubblicitari.

Fonte: https://www.google.com/about/company/user-consent-policy/

L'inclusione di video YouTube senza impostazioni di privacy estese non viene ulteriormente trattata in questo articolo, poiché vengono utilizzati cookie che richiedono il consenso. Le condizioni d'uso del gruppo Google stesso richiedono in particolare il consenso a causa dei cookies: anche la direttiva ePrivacy richiede il consenso, e si tratta di una normativa vincolante per la Germania, come stabilito dal BGH nel 2020 in un giudizio. La normativa tedesca viene precisata concretamente a partire da dicembre 2021 attraverso § 25 TTDSG. A maggio 2024 è in vigore il TDDDG al posto del TTDSG. È comunque identico per parole.

Al momento dell'inserimento di video con impostazioni di privacy estese attivate (youtube-nocookie.com) avviene quanto segue:

• Scripte e altri file vengono caricati dalle domine youtube-nocookie.com, ytimg.com e _ggpht.com
• Google Fonts vengono caricati dalla domanda gstatic.com
• Il tracker DoubleClick viene caricato dalla domanda doubleclick.net ([1])
• YouTube sendet wenige Sekunden nach dem Laden il Seite (or des Videos?) Daten an Google (Beispiel: Zieladresse: https://www.youtube-nocookie.com/youtubei/v1/log_event?alt=json&key=xxxaSyAO_xxxlqU8Q4STEHLGCilw_Y9_11xxxx, Inhalt: {"context":{"client":{"hl":"de","gl":"DE","clientName":50,"clientVersion":"20201110"}},"events":[{"eventTimeMs":1606215721310,"visualElementHidden":{"csn":"T-i8X5q6xxxxx_AP_bSxxxx","ve":{"veType":11123},"eventType":12},"context":{"lastActivityMs":"262"}},{"eventTimeMs":1316245761311,"screenCreated":{"csn":"MCxxxxE3OTAwNzc1NTMzxxxxODY.","pageVe":{"veType":12421},"implicitGesture":{"parentCsn":"T-ixxxx6CNiWx_AP_bS68yy","gesturedVe":{"veType":12211}}},"context":{"lastActivityMs":"263"}},{"eventTimeMs":1102345661336,"foregroundHeartbeatScreenAssociated":{"clientDocumentNonce":"tV2_xxxx-TExxxxs","clientScreenNonce":"MC4wNxxxxTAwNzc1NTxxxxcyxxx."},"context":{"lastActivityMs":"288"}}],"requestTimeMs":"1111111111142","serializedClientEventId":{"serializedEventId":"A-xxxxq6Cxxxx_AP_bSxxxx","clientCounter":"1"}}
• DoubleClick invia – apparentemente con e senza azione dell'utente o forse già dopo movimenti del puntatore del mouse – in intervalli indeterminati dati a Google
• Nonostante la domanda nocookie, viene impostato un cookie chiamato CONSENT, anche se non si vuole riprodurre alcun video. Questo cookie in sé non è necessario e richiede quindi il consenso.

Queste raccolte di dati sono ovviamente non giustificate con un interesse legittimo. Quindi, la trattazione senza consenso non è legale. Vedi Art. 6 GDPR (motivi legali) in combinato con Art. 5 GDPR (minimizzazione dei dati), Art. 25 GDPR (protezione dei dati attraverso la tecnologia) e Art. 32 GDPR (sicurezza della trattazione). Anche il cookie chiamato CONSENT non è consenziente, come rivela § 25 TTDSG.

In genere Google lo chiarisce nella sua informativa sulla privacy:

Raccogliamo dati come i video di YouTube che trovate interessanti" e "Se avete effettuato l'accesso a un account Google, raccogliamo anche dati che memorizziamo nel vostro account Google e che consideriamo dati personali"

Quindi si verifica sempre una trattamento di dati personali quando un sito web incorpora un video YouTube e il visitatore del sito è registrato nel suo account Google. Poiché l'amministratore del sito non può obbligare il visitatore a disconnettersi dal suo account Google prima, è sempre necessario richiedere il consenso!

Conclusione:

Incorporare un video di YouTube tramite IFRAME

Finora ho analizzato solo brevemente questo caso, poiché le differenze con l'integrazione degli script mi sono apparse chiare solo di recente. Approfondirò presto l'argomento in questa sede. Per ora è tutto:

Per IFRAME i video di YouTube possono essere inseriti in modo apparentemente più rispettoso della privacy rispetto all'utilizzo di uno script di YouTube. Utilizzando l'indirizzo youtube-nocookie.com, si verificano alcuni trasferimenti di dati al momento del caricamento dell'Iframe, che si dirigono solo a quell'indirizzo. Ci sono ancora molti trasferimenti, ma non verso altre destinazioni. Tuttavia, ci sono anche eventi di tracciatura dopo il caricamento dell'Iframe, senza che l'utente faccia clic su nulla. Questi eventi si verificano addirittura periodicamente.

Inoltre, nonostante la impostazione nocookie, avviene il trasferimento di un cookie chiamato CONSENT con valore PENDING+107 (ecc.). In LocalStorage vengono salvati numerosi altri valori:

Oltre al LocalStorage, viene anche utilizzato estensivamente il Session Storage, così come la Indexed DB. Queste denominazioni di archiviazione sono state prese dalla console dello sviluppatore Firefox, che può essere aperta premendo la tastiera F12. Nel menu Web-Speicher si possono vedere i citati archivi.

La LocalStorage rappresenta anche un archivio di cookie! Nella direttiva ePrivacy non viene citato il termine Cookie, ma si parla invece delle informazioni memorizzate nell'apparecchio dell'utente. Quindi la direttiva ePrivacy vale anche per la LocalStorage in Germania!

Se il video viene poi riprodotto, seguono ulteriori trasferimenti di dati all'indirizzo googlevideo.com.

Nel complesso, questa soluzione è ancora lontana dalla protezione dei dati, ma è meglio dell'integrazione tramite script.

Alternative per i video di YouTube

I video di Vimeo non sono una buona alternativa per i video di YouTube, perché creano problemi di protezione della privacy. Ecco un elenco di possibilità che rispettano la privacy, per inserire video sulla propria pagina web:

• HTML standard, ad esempio il mio contributo al Google Tag Manager e il video incorporato in esso. Funziona soprattutto quando il video non è troppo grande. Le moderne capacità dei server e i limiti di rete sono sufficienti per un'autoregolazione di piccoli video per la maggior parte delle pagine web.
• Anteprima con link alla piattaforma di video.
• Non c'è video: spesso il vantaggio dei video è dubbia, quindi perché non semplicemente eliminarli, soprattutto se sono di terzi?
• Altre piattaforme video (è consigliabile visitare piattaforme come Peertube che sono associate al Fediverse)

Video caricati

Se si desidera assolutamente caricare un video su YouTube, indipendentemente dal fatto che debba essere integrato o meno in un sito web, si ha il diritto di attivare il video.

Ci sono una sentenza del Tribunale di Appello di Dresda del 29.06.2021, n. 4 W 396/21. Il tribunale ha condannato la Google Ireland Ltd. a un'ammenda di 100.000 Euro per ritardo nella rilascio di un video. Il video conteneva informazioni sulla corona. Prima che un tribunale avesse invitato Google a rilasciare il video, quest'ultimo non aveva obbedito e aveva detto di voler verificare da solo se era opportuno rilasciare il video.