Analítica web en tiempos de la nueva ley de protección de datos TTDSG

El artículo 25 de la TTDSG se refiere en realidad al acceso al equipo terminal de los usuarios. Las cookies son sólo una posibilidad de este acceso. Otras tecnologías también se ven afectadas por la TTDSG. Por ejemplo, la lectura de variables del sistema en el navegador del usuario a través de JavaScript podría ser un acceso de este tipo.

La TTDSG estipula que se debe obtener el consentimiento del usuario si se produce un acceso (cookie o lectura de una variable del sistema) que no sea necesario (en el artículo 25 (2) TTDSG es algo más preciso, pero más largo e incomprensible para el lego en derecho).

Anteriormente, sólo las cookies con fines de marketing y la elaboración de perfiles de usuario se veían afectadas por la normativa sobre consentimiento de la Ley de Telemedia. Ahora, la TTDSG hace aún más exigente el recuento de visitantes si se quiere hacer sin consentimiento.

Seguimiento y recuento de visitantes

El término "rastreo" no está definido con precisión. Por lo general, se refiere al rastreo de usuarios en múltiples sesiones y sitios web. Una herramienta muy conocida que rastrea a los usuarios de forma tan invasiva es Google Analytics. No solo por este motivo, sino también por las cookies utilizadas, Google Analytics requiere consentimiento. Por lo tanto, tendría que mostrar una molesta ventana emergente de cookies cada vez que alguien visite su sitio web. Sin embargo, estas ventanas emergentes de cookies no sólo son molestas, sino que muy a menudo conducen a sitios web ilegales (véase mi investigación sobre Cookiegeddon).

Para simplificar, en este artículo también utilizamos el término seguimiento para referirnos al conteo de visitantes, que no es crítico en sí mismo. Contar visitantes significa que un usuario debe poder distinguirse de otros usuarios. Si falta esta distinción, se cuentan muy pocas o demasiadas visitas. Contabilizar dos veces a un usuario en la categoría Visitante único si visita dos páginas seguidas distorsiona las estadísticas. Contabilizar dos usuarios una sola vez en total cuando visitan el mismo sitio web tampoco parece una ciencia exacta.

La cuestión es, por tanto, cómo distinguir a unos usuarios de otros. El protocolo http, que se utiliza para acceder a sitios web, no reconoce ningún estado por sí mismo. Los usuarios sin estado no pueden distinguirse ad hoc. Es como si alguien no tuviera memoria y pensara que es otra persona cada vez que pasa la misma.

Esta memoria solían ser cookies. Sin embargo, ahora están sujetas a consentimiento, incluso para el recuento inofensivo de visitantes. Al menos así es como puede entenderse la TTDSG. Habla de "absolutamente necesarias". Las cookies para el recuento de visitantes no son absolutamente necesarias por dos razones. En primer lugar, el recuento exacto de visitantes ya no es absolutamente necesario (esto se puede discutir, aunque veo más posibilidades a favor de la opinión estricta). En segundo lugar, las cookies no son necesarias para el recuento de visitantes. Es este segundo punto el que ahora se cuestiona.

¿Cómo diferenciar a unos usuarios de otros?

Las cookies no son una opción si se quiere evitar una solicitud de consentimiento.

Los usuarios pueden distinguirse fácilmente entre sí incluso sin cookies. Para ello pueden utilizarse metadatos, que se transfieren del navegador de un usuario al destino de un sitio web con cada conexión http.

Los técnicos suelen referirse a estos metadatos como datos de conexión o datos de tráfico. Sin embargo, los expertos jurídicos pueden utilizar estos dos últimos términos en un sentido diferente. Por lo tanto, aquí nos referimos a los metadatos de forma más general.

Los metadatos que siempre se transfieren del usuario a un sitio web visitado incluyen

• Tipo de navegador y versión del navegador. Ejemplo: Mozilla Firefox versión 95.3, subversión 47.11
• Tipo y versión del sistema operativo. Ejemplo: Microsoft Windows 10, 64 bits
• Idioma preferido. Ejemplo: alemán
• Dirección de red (dirección IP)
• Configuración de la caché
• Página solicitada. Ejemplo: https://dr-dsgvo.de/
• Hora de recuperación (no se envía directamente, pero lógicamente está disponible cuando se recibe la consulta)

Si estos metadatos se utilizan para distinguir a unos usuarios de otros sin cookies, esto se conoce como huella digital del navegador.

La huella digital puede ser aún más precisa si se determina información adicional sobre los accesos a JavaScript. Esto incluye, por ejemplo

• Resolución de pantalla. Ejemplo: 1920×1080
• Tamaño de la ventana del navegador. Ejemplo: 1788×910
• Ejemplo: 24 bits
• Zona horaria: Ejemplo: GMT+1

Este dato de huella dactilar debe ser consultado explícitamente, mientras que los metadatos antes mencionados están disponibles directamente (porque son obligatorios) y, por tanto, no es necesario consultarlos. Aunque, en mi opinión, la resolución de pantalla no se almacena en el dispositivo final del usuario, la interpretación de la TTDSG podría contradecirlo. Uno de los argumentos que utilizo a favor de mi punto de vista es que la orientación de un smartphone, es decir, el formato vertical u horizontal, obviamente no tiene que almacenarse en el dispositivo final porque esta orientación del dispositivo puede cambiar constantemente. Además, el formato de la imagen (vertical u horizontal) tras volver a encender el smartphone no depende de cómo estaba antes de apagarlo, sino de cómo sujeta el usuario su smartphone.

Técnicas como canvas fingerprinting pueden utilizarse para obtener datos adicionales sobre el usuario, lo que ayuda a distinguirlo aún más de otros usuarios. Sin embargo, la huella digital en lienzo es sin duda un acceso que requiere consentimiento.

El máximo nivel de seguridad jurídica se alcanza si no se leen metadatos del usuario en absoluto.

El reto consiste en disponer de datos de calidad suficiente para poder contabilizar correctamente los visitantes.

Recuento de visitantes sin consentimiento

Trackboxx demuestra que la versión más suave del rastreo funciona sin cookies, sin acceso al dispositivo y, por tanto, sin consentimiento.

Los metadatos que utiliza Trackboxx son sólo los datos que siempre están disponibles cada vez que se accede a un sitio web de todos modos. Esto significa que no se accede al navegador del usuario. Se necesitaría el consentimiento para este acceso si se interpreta estrictamente la TTDSG.

Trackboxx tampoco utiliza cookies, ni siquiera de sesión (a menos que el cliente configure la herramienta de otro modo). Si una cookie sólo es válida para una sesión, sin duda es menos crítica que una cookie que dure un mes, por ejemplo (esto también se denomina duración funcional o vida útil). Sin embargo, la TTDSG no hace una distinción legal entre cookies de sesión y persistentes, sino que sólo reconoce las cookies o accesos necesarios y no necesarios.

Dado que no se produce ningún acceso en el sentido de la TTDSG, el uso de Trackboxx está exento de consentimiento desde la perspectiva de la TTDSG.

GDPR y TTDSG

Pero ahora también se aplica el GDPR, aunque solo entra en juego después de que se haya tramitado el TTDSG (para cookies y otros accesos). GDPR significa Reglamento General de Protección de Datos y en realidad se escribe legalmente DS-GVO. El guión suele omitirse en los textos para no juristas.

El RGPD se aplica a los datos personales y a los datos de identificación personal. Los datos también son personales si los usuarios pueden distinguirse entre sí. El TJUE ya había establecido en 2016 que las direcciones de red (direcciones IP) deben considerarse datos personales. El BGH confirmó esta sentencia en 2017.

Por este motivo, la dirección IP del usuario no puede almacenarse así como así, al menos no para contabilizar mejor al usuario. Si la dirección IP se almacenara sin cifrar, probablemente habría que obtener el consentimiento en virtud del artículo 6 del GDPR.

Para evitar el requisito de consentimiento también en este caso, Trackboxx no almacena las direcciones IP. En su lugar, cada dirección IP se seudonimiza, ni siquiera directamente, sino combinándola con otros valores.

Para ello se utiliza una clave limitada en el tiempo. Esta clave se aplica ahora a la combinación de dirección IP, versión del navegador, versión del sistema operativo y día actual en el calendario. Por lo tanto, no hay ninguna dirección IP en la base de datos de Trackboxx. Sólo si un usuario vuelve a visitar el sitio web en el mismo día podría (teóricamente) recuperarse su dirección IP a partir de los datos codificados. Sin embargo, esto no es necesario, ya que la dirección IP del usuario está (de nuevo) explícitamente disponible en una visita posterior de todos modos. Por tanto, se cumple el RGPD y el almacenamiento de datos seudonimizados puede justificarse por interés legítimo. El interés legítimo es una de las bases jurídicas que ofrece el GDPR, además del consentimiento.

A diferencia del consentimiento, el interés legítimo no requiere una molesta ventana emergente de cookies. Otra ventaja, además de que los usuarios ya no se sienten molestos por una solicitud de consentimiento, es la mayor seguridad jurídica. Esto se debe a que las ventanas emergentes de cookies están sujetas a numerables normativas, incluidas las derivadas del art. 7 GDPR y el art. 13 GDPR. Por ejemplo, cuando se solicita el consentimiento, también se debe proporcionar información sobre dónde y cómo se puede retirar el consentimiento. Si echa un vistazo a las ventanas emergentes de cookies en varios sitios web, se dará cuenta de que a menudo falta esta información exigida por ley.

Las direcciones IP suelen cambiar con el tiempo. Esto parece ocurrir con menos frecuencia con el acceso a Internet por cable que con DSL. Sin embargo, las direcciones de red no cambian exactamente cuando un usuario accede a un sitio web. En este sentido, se puede reconocer al usuario en el plazo de un día con una probabilidad muy alta. En las redes de empresa, los usuarios son menos fáciles de distinguir si funciona un mecanismo de actualización sincronizada de los ordenadores de los empleados. Esto se debe a que esta actualización garantiza que los navegadores y sistemas operativos de los empleados de la empresa parezcan iguales de cara al exterior. Sin embargo, la experiencia práctica demuestra que la difuminación que conllevan las redes de empresa no es significativa.

Conclusión

El registro de visitantes y la optimización de contenidos funcionan completamente sin cookies y sin molestas ventanas emergentes de cookies propensas a errores. Herramientas como Trackboxx ofrecen una solución respetuosa con la protección de datos que cumple los requisitos de la TTDSG y el GDPR.

La calidad de los datos es tan buena que no hay que temer ningún compromiso en comparación con el recuento de visitas basado en cookies. Después de todo, todas las soluciones basadas en cookies tienen otro punto débil además de la inseguridad jurídica. Como todos sabemos, cualquiera puede simplemente borrar las cookies de su navegador. Existen incluso herramientas para ello, como CCCleaner o los programas antivirus. Una cookie eliminada priva de memoria a los rastreadores hostiles a la privacidad. Entonces no funcionan mejor que Trackboxx, pero siguen requiriendo consentimiento. Los rastreadores basados en cookies tampoco son mejores cuando se trata de redes de empresas. En las grandes empresas, las cookies se borran automáticamente de los ordenadores de los empleados por motivos de seguridad.