En su sentencia, el Tribunal Regional de Munich Sentencia a partir del 20.01.2022 dictaminó que la revelación de la dirección IP dinámica a Google al utilizar Google Fonts sin el consentimiento del interesado justifica una reclamación de daños y perjuicios (en el presente caso por importe de 100 euros). Un interés legítimo no había sido suficiente en este caso.

Los hechos

El demandado explota un sitio web. En este sitio web, utilizaba Google Fonts de tal forma que las direcciones IP de los visitantes del sitio web se transmitían a Google cada vez que se accedía al sitio web. No se obtuvo el consentimiento del visitante para esta transmisión. Además, el uso de Google Fonts también es posible sin revelar la dirección IP a Google, ya que el demandado ha adaptado entretanto su sitio web.

El demandante es uno de los visitantes del sitio web afectados cuya dirección IP fue transmitida repetidamente a Google al visitar el sitio web. Por ello, solicitó medidas cautelares y una indemnización por daños y perjuicios.

El veredicto

Finalmente, el Tribunal Regional de Munich ordenó a la demandada que cesara en sus actividades, facilitara información y pagara Daños y perjuicios (Art. 82 GDPR) al demandante. Si se denuncia un caso en el que el demandado se resiste al requerimiento, el tribunal le impondrá una multa administrativa de hasta 250.000 euros. Los daños y perjuicios que debían abonarse al demandante se fijaron en 100 euros más intereses.

La sentencia establece una violación del derecho general de la personalidad en forma de derecho a la autodeterminación informativa. En este contexto, el tribunal también tuvo que examinar algunas cuestiones relacionadas con la ley de protección de datos.

Dirección IP dinámica como dato personal

El operador del sitio web registró y divulgó la dirección IP dinámica de cada visitante. Según el tribunal, esta dirección IP dinámica puede utilizarse "con la ayuda de terceros, a saber, la autoridad competente y el proveedor de acceso a Internet, para determinar la persona de que se trata". En última instancia, el tribunal basó su decisión en esta identificabilidad abstracta de la persona. El hecho de que el operador del sitio web o Google tuvieran la posibilidad concreta de determinar realmente la persona detrás de la dirección IP era irrelevante.

Por consiguiente, se trata de un dato personal para el operador del sitio web en el sentido del art. 4 n.º 1 de la DSGVO.

Justificación del tratamiento de datos personales

No hubo consentimiento del visitante del sitio web de conformidad con el art. 6 I lit. a DSGVO.

También podría considerarse un interés legítimo del operador del sitio web en el sentido del art. 6 I lit. f DSGVO. Sin embargo, dado que Google Fonts también puede utilizarse sin necesidad de conectarse al servidor de Google cada vez que se accede al sitio web, el tribunal rechaza esta posibilidad.

¿Obligaciones del visitante del sitio web?

El tribunal también abordó la cuestión de si el propio demandante, como visitante de un sitio web, debería haber cifrado su dirección IP antes de visitarlo (por ejemplo, a través de una VPN). En este contexto, el tribunal declaró que el objetivo de la ley de protección de datos es precisamente proteger "a las personas físicas de injerencias en el tratamiento de sus datos personales". Obligar al titular de los datos de esta manera simplemente invertiría el propósito de la ley de protección de datos.

Determinación del daño según el Art. 82 I GDPR

El tribunal se remitió al considerando 146 p. 3 del RGPD. 3 del RGPD, el tribunal aplicó una interpretación amplia del concepto de daño. Para determinar la cuantía de los daños, debían tenerse en cuenta los objetivos de sanción y prevención.

El tribunal no tuvo que pronunciarse sobre el problema del umbral de materialidad en relación con el art. 82 del GDPR, ya que la dirección IP se transmitió varias veces en el caso en cuestión y, por tanto, hubo una pérdida significativa de control por parte del demandante. También se tuvo en cuenta que Google es una empresa estadounidense que no puede garantizar allí un nivel adecuado de protección de datos.

El importe de los daños y perjuicios (100 euros) se midió en función de la gravedad y duración de la infracción.

Conclusión

Las violaciones de la protección de datos no siempre son evidentes en la práctica. Cualquier revelación de la dirección IP de los visitantes del sitio web constituye un tratamiento de datos personales que debe estar justificado.

Dado el uso generalizado de Google Funds, un gran número de sitios web se ven afectados por esta vulnerabilidad de la protección de datos.

Deje que nuestros expertos le enseñen a hacer que su sitio web y otros servicios cumplan la normativa sobre protección de datos.

DSB buchen
es_ESEspañol