.

Sentencia de BVwG Austria sobre Google reCAPTCHA

Sentencia del BVwG Austria sobre Google reCAPTCHA

La imagen muestra un candado para llaves delante de símbolos relacionados con la protección de datos
Inhaltsverzeichnis
  1. BVwG Austria: Google reCAPTCHA sólo es admisible con consentimiento expreso
  2. Antecedentes y funcionamiento de reCAPTCHA
  3. El caso concreto y la resolución judicial
  4. Consecuencias para los operadores de sitios web
  5. Evaluación profesional
  6. Conclusión
  7. Proteja el formulario de su sitio web de los bots y siga cumpliendo la GDPR con CCM19

BVwG Austria: Google reCAPTCHA sólo es admisible con consentimiento expreso

En una sentencia histórica, el Tribunal Administrativo Federal de Austria (BVwG) ha aclarado que el uso de Google reCAPTCHA en sitios web sólo está permitido si los usuarios afectados consienten expresamente el tratamiento de sus datos personales.

La sentencia pone de relieve los crecientes desafíos en materia de protección de datos, especialmente con la generalización de servicios de terceros que recopilan datos en segundo plano.

Antecedentes y funcionamiento de reCAPTCHA

Google reCAPTCHA es un servicio muy utilizado para ayudar a los operadores de sitios web a distinguir los bots de los usuarios humanos y evitar así ataques, spam y abusos. Sin embargo, el servicio recopila algo más que simples datos de comportamiento: Además de analizar los movimientos del ratón y las pulsaciones del teclado, también se instala una cookie (a menudo la _GRECAPTCHA), que proporciona al dispositivo final del visitante un identificador único. Los datos sensibles, como la dirección IP y otra información del navegador, pueden transmitirse a los servidores de Google.

El caso concreto y la resolución judicial

En este caso, un usuario visitó el sitio web de un partido político, en circunstancias en las que ya había configurado sus parámetros de protección de datos de forma que quería prescindir de las cookies que no fueran absolutamente necesarias. A pesar de esta configuración por defecto, se activó la herramienta reCAPTCHA y se instaló la cookie _GRECAPTCHA en su dispositivo.

El usuario presentó entonces una reclamación ante la autoridad de protección de datos competente porque no se le informó de la transferencia de datos y no tuvo oportunidad de oponerse activamente al tratamiento de sus datos personales.

En su sentencia, el Tribunal Administrativo Federal basó su decisión en los principios europeos de protección de datos, en particular las disposiciones del RGPD y la Directiva sobre privacidad y comunicaciones electrónicas. El tribunal llegó a la conclusión de que el reCAPTCHA -aunque ofrece una cierta ventaja de seguridad- no forma parte técnicamente de la funcionalidad básica de un sitio web.

Por lo tanto, el tratamiento de los datos recogidos no puede justificarse por un interés legítimo del operador. Por lo tanto, el consentimiento efectivo del usuario habría sido obligatorio.

"La implementación de reCAPTCHA no es técnicamente necesaria para el funcionamiento del sitio web, por lo que debe negarse un interés legítimo y se habría tenido que obtener el consentimiento del interesado."

Fuente: BVwG Austria: Google reCAPTCHA requiere consentimiento

Consecuencias para los operadores de sitios web

La decisión del BVwG tiene implicaciones de gran alcance:

  • Transparencia e información: los operadores de sitios web deben informar a sus usuarios de forma clara y exhaustiva sobre qué datos se recopilan y con qué finalidad.
  • Procesos de consentimiento: Debe obtenerse un consentimiento activo e informado antes de instalar cookies que no sean técnicamente obligatorias, como las de reCAPTCHA.
  • Comprobar alternativas: Dados los estrictos requisitos de protección de datos, los operadores también deben considerar alternativas más respetuosas con la privacidad, como soluciones captcha alojadas localmente o herramientas que no requieran una recopilación invasiva de datos.

Esta decisión subraya la importancia de una gestión coherente de la protección de datos. Las funciones de seguridad que procesan datos personales en segundo plano también están cada vez más bajo la lupa de las autoridades supervisoras, tanto en Austria como en otros países de la UE.


Fuentes:

Evaluación profesional

Los expertos señalan que la decisión del Tribunal Administrativo Federal no debe entenderse como una prohibición general del uso de reCAPTCHA. Más bien demuestra que el marco de protección de datos es cada vez más restrictivo. Las ventajas de seguridad que ofrecen las soluciones Captcha no deben llevar a que se ignoren los derechos de los usuarios a la protección de datos y a la autodeterminación informativa. Así pues, los operadores de sitios web se enfrentan al reto de garantizar una protección eficaz contra los robots y el spam, por un lado, y de aplicar procedimientos conformes a la protección de datos, por otro.

Conclusión

La sentencia del Tribunal Administrativo Federal marca un paso importante en el ámbito del conflicto entre la seguridad en Internet y la protección de datos. Esto significa para los operadores Una presencia segura en la web no debe ir en detrimento de la privacidad del usuario. En el futuro, será imprescindible obtener un consentimiento claramente formulado antes de activar herramientas como Google reCAPTCHA; de lo contrario, existe el riesgo de que se produzcan consecuencias jurídicas considerables.

Fuentes:

Proteja el formulario de su sitio web de los bots y siga cumpliendo la GDPR con CCM19

Para cumplir los requisitos de la sentencia BVwG y, al mismo tiempo, proteger eficazmente sus formularios en línea de los bots, es aconsejable obtener el consentimiento del usuario directamente en el formulario. Con CCM19, puede implementarlo fácilmente mostrando primero un aviso conforme a GDPR en lugar del área reCAPTCHA. Google reCAPTCHA sólo se carga después de que el usuario haya dado su consentimiento expreso, lo que significa que cumple con la normativa de protección de datos y protege sus formularios del spam y del uso indebido al mismo tiempo.

Encontrará instrucciones detalladas de implementación en la documentación de CCM19.