.

Sentenza BVwG Austria su Google reCAPTCHA

Sentenza del BVwG Austria sui reCAPTCHA di Google

L'immagine mostra un lucchetto per le chiavi davanti a simboli relativi alla protezione dei dati
Inhaltsverzeichnis
  1. BVwG Austria: il reCAPTCHA di Google è consentito solo con il consenso espresso
  2. Contesto e funzionamento di reCAPTCHA
  3. Il caso specifico e la decisione del tribunale
  4. Conseguenze per i gestori di siti web
  5. Valutazione professionale
  6. Conclusione
  7. Proteggete i moduli del vostro sito web dai bot e rimanete conformi al GDPR con CCM19

BVwG Austria: il reCAPTCHA di Google è consentito solo con il consenso espresso

In una sentenza storica, il Tribunale amministrativo federale austriaco (BVwG) ha chiarito che l'uso di Google reCAPTCHA sui siti web è consentito solo se gli utenti interessati acconsentono espressamente al trattamento dei loro dati personali.

La sentenza evidenzia le crescenti sfide in materia di protezione dei dati, in particolare con la diffusione di servizi di terze parti che raccolgono dati in background.

Contesto e funzionamento di reCAPTCHA

Google reCAPTCHA è un servizio molto diffuso, progettato per aiutare i gestori di siti web a distinguere i bot dagli utenti umani e quindi a prevenire attacchi, spam e abusi. Tuttavia, il servizio raccoglie più di semplici dati comportamentali: Oltre ad analizzare i movimenti del mouse e i tasti premuti, viene impostato anche un cookie (spesso il _GRECAPTCHA), che fornisce al dispositivo finale del visitatore un identificatore unico. Dati sensibili come l'indirizzo IP e altre informazioni sul browser possono essere trasmessi ai server di Google.

Il caso specifico e la decisione del tribunale

In questo caso, un utente ha visitato il sito web di un partito politico - in circostanze in cui aveva già configurato le sue impostazioni di protezione dei dati in modo tale da voler fare a meno dei cookie non strettamente necessari. Nonostante questa impostazione predefinita, lo strumento reCAPTCHA è stato attivato e il cookie _GRECAPTCHA è stato impostato sul suo dispositivo.

L'utente ha quindi presentato un reclamo all'autorità competente per la protezione dei dati perché non era stato informato del trasferimento dei dati e non aveva avuto la possibilità di opporsi attivamente al trattamento dei suoi dati personali.

Nella sua sentenza, il Tribunale amministrativo federale ha basato la sua decisione sui principi europei di protezione dei dati, in particolare sulle disposizioni del GDPR e della direttiva ePrivacy. Il tribunale è giunto alla conclusione che il reCAPTCHA - sebbene offra un certo vantaggio in termini di sicurezza - non fa tecnicamente parte delle funzionalità di base di un sito web.

Pertanto, il trattamento dei dati raccolti non può essere giustificato da un interesse legittimo dell'operatore. Il consenso effettivo dell'utente sarebbe stato quindi obbligatorio.

"L'implementazione di reCAPTCHA non è tecnicamente necessaria per il funzionamento del sito web, motivo per cui deve essere negato un interesse legittimo e sarebbe stato necessario ottenere il consenso dell'interessato"

Fonte: BVwG Austria: Google reCAPTCHA necessita di consenso

Conseguenze per i gestori di siti web

La decisione del BVwG ha implicazioni di vasta portata:

  • Trasparenza e informazione: i gestori di siti web devono informare i propri utenti in modo chiaro e completo su quali dati vengono raccolti e a quale scopo.
  • Processi di consenso: È necessario ottenere un consenso attivo e informato prima di impostare cookie che non sono tecnicamente obbligatori, come ad esempio il reCAPTCHA.
  • Alternative di controllo: Visti i severi requisiti di protezione dei dati, gli operatori dovrebbero prendere in considerazione anche alternative più rispettose della privacy, come soluzioni captcha ospitate localmente o strumenti che non richiedono una raccolta invasiva di dati.

Questa decisione sottolinea l'importanza di una gestione coerente della protezione dei dati. Anche le funzioni di sicurezza che elaborano i dati personali in background sono sempre più sotto il controllo delle autorità di vigilanza, sia in Austria che in altri Paesi dell'UE.


Fonti:

Valutazione professionale

Gli esperti sottolineano che la decisione del Tribunale Amministrativo Federale non deve essere intesa come un divieto generalizzato all'uso dei reCAPTCHA. Piuttosto, dimostra che il quadro della protezione dei dati sta diventando sempre più restrittivo. I vantaggi in termini di sicurezza offerti dalle soluzioni Captcha non devono portare al mancato rispetto dei diritti degli utenti alla protezione dei dati e all'autodeterminazione informativa. I gestori dei siti web si trovano quindi di fronte alla sfida di garantire una protezione efficace contro bot e spam, da un lato, e di implementare procedure conformi alla protezione dei dati, dall'altro.

Conclusione

La sentenza del Tribunale amministrativo federale segna un passo importante nell'ambito del conflitto tra sicurezza di Internet e protezione dei dati. Questo significa per gli operatori: Una presenza sicura sul web non deve andare a scapito della privacy degli utenti. In futuro sarà necessario ottenere un consenso chiaramente formulato prima di attivare strumenti come Google reCAPTCHA, altrimenti si rischia di incorrere in gravi conseguenze legali.

Fonti:

Proteggete i moduli del vostro sito web dai bot e rimanete conformi al GDPR con CCM19

Per soddisfare i requisiti della sentenza del BVwG e allo stesso tempo proteggere efficacemente i vostri moduli online dai bot, è consigliabile ottenere il consenso degli utenti direttamente sul modulo. Con CCM19, è possibile implementare facilmente questa procedura visualizzando innanzitutto un avviso conforme al GDPR al posto dell'area reCAPTCHA. Il reCAPTCHA di Google viene caricato solo dopo che l'utente ha dato il suo consenso esplicito, il che significa che rispettate le norme sulla protezione dei dati e proteggete allo stesso tempo i vostri moduli da spam e abusi.

Istruzioni dettagliate per l'implementazione sono disponibili nella documentazione di CCM19.