A raíz de la decisión del Tribunal Regional de Múnich sobre la indemnización por daños y perjuicios no materiales debidos al uso de Google Fonts en un sitio web, cada vez es mayor el número de cartas de amenaza en virtud de la ley de protección de datos. Los autores envían una carta a los responsables de la protección de datos que gestionan un sitio web con Google Fonts sin integración local, en la que exigen una compensación en virtud del GDPR. Si no se satisface la demanda, el autor está dispuesto a demandar por el importe.
Los destinatarios de estas cartas suelen sentirse completamente abrumados por la situación. Aquí puede averiguar qué hay realmente detrás de esas cartas y cómo debe tratarlas.
Fundamento: Sentencia del LG Munich
En LG Munich dictaminó hace unos meses El siguiente caso: El operador de un sitio web utilizó Google Fonts sin alojarlas en su propio servidor. Como resultado, la dirección IP de todos los visitantes del sitio web se transmitía a los servidores estadounidenses de Google. Esto tampoco estaba amparado por el correspondiente consentimiento de los visitantes del sitio web sobre dicha transferencia a terceros países. Esto constituía una violación del GDPR.
El LG Munich estimó la reclamación de daños y perjuicios del demandante (art. 82 DSGVO) y le concedió 100 euros (AZ 3 O 17493). El tribunal basó la decisión, entre otras cosas, en el hecho de que el demandante había perdido el control sobre sus datos personales.
Cartas amenazadoras en virtud de la ley de protección de datos: Contenido
A raíz de esta sentencia, cada vez más operadores de sitios web que no utilizan Google Fonts localmente están recibiendo cartas amenazadoras en virtud de la ley de protección de datos. En estas cartas, el autor suele describir la situación con arreglo a la ley de protección de datos y hace referencia a la sentencia del Tribunal Regional de Múnich. El autor exige entonces que el responsable le pague también 100 euros por daños y perjuicios. Subliminalmente, el autor amenaza entonces con llevar el caso a los tribunales en caso contrario.
No parece tratarse de un caso aislado. En estos momentos se observan masivamente cartas amenazadoras con ese contenido.
Procedimiento de los autores
El contenido de estas cartas amenazadoras en virtud de la ley de protección de datos sugiere que los autores quieren utilizar los daños y perjuicios en virtud de la ley de protección de datos como fuente de ingresos para sí mismos. Parece que buscan específicamente sitios web que utilicen Google Fonts que no estén incrustadas localmente. A continuación, probablemente obtengan las pruebas correspondientes de cómo se transmite su dirección IP cuando visitan el sitio web y se pongan en contacto con la persona responsable almacenada en el pie de imprenta.
Evaluación de la protección de datos en este tipo de cartas amenazadoras
Los destinatarios de este tipo de cartas amenazadoras en virtud de la ley de protección de datos se enfrentan a la gran pregunta de si deben reaccionar a tales cartas con un pago o si la carta es "mucho ruido y pocas nueces".
En primer lugar, debe afirmarse que las acciones de los operadores del sitio web en cuestión constituyen en cualquier caso una violación del GDPR. Sólo cabe preguntarse cómo decidirían los tribunales y si el caso es realmente el mismo que el último en el que se pronunció el LG Munich.
Negligencia concurrente del autor de las cartas amenazadoras
Aunque el concepto de daño en el marco del RGPD sigue siendo controvertido, en estos casos es al menos cuestionable que exista negligencia concurrente. Según el artículo 254 I del BGB, la indemnización por daños y perjuicios debe reducirse en función de la negligencia concurrente si la parte perjudicada es corresponsable de la producción del daño.
En el caso de las cartas amenazantes, el posible perjudicado llamaba a los sitios web precisamente porque quería grabar la transmisión de los datos personales. Así pues, causó los daños bajo su propia responsabilidad.
Además, la parte perjudicada tiene el deber de mitigar los daños (§ 254 II BGB), que también infringe con esta acción. El autor ha provocado prácticamente la aparición del daño.
Según la opinión unánime, estas normas de Derecho nacional también son aplicables al RGPD de forma complementaria.
A la vista de estos hechos, parece muy poco probable que se dé la razón a los autores de tales cartas en un procedimiento judicial. Sin embargo, la jurisprudencia sobre el artículo 82 del RGPD sigue siendo cambiante, por lo que no es posible una evaluación concluyente.
Control de los datos personales
El Tribunal Regional de Múnich basó su decisión precisamente en el hecho de que el demandante perdió el control sobre sus datos personales cuando accedió al sitio web y se transmitió la dirección IP. Sin embargo, si el visitante del sitio web accede a él precisamente porque quiere probar esta transmisión, obviamente ya no existe tal pérdida de control. Cabe suponer que esto también se reconocería ante los tribunales.
Conclusión
En cualquier caso, el uso de Google Fonts sin integración local constituye una infracción del GDPR. Las cartas amenazantes que hacen referencia a la causación selectiva de daños en virtud de la ley de protección de datos probablemente tienen poco potencial para convertirse en un peligro agudo.
El verdadero peligro reside más bien en el diseño del sitio web. Cualquier diseño que no se ajuste a la protección de datos debe eliminarse inmediatamente.
¿Necesita ayuda para encontrar y eliminar violaciones de la protección de datos, por ejemplo en su sitio web? Nuestro equipo de expertos estará encantado de ayudarle.
Español 
Deutsch 
English 
Français 
Polski