Google ha annunciato che riclassificherà il suo ruolo nell'uso di reCAPTCHA in base alla legge sulla protezione dei dati. A partire dal 2 aprile 2026, Google non agirà più come responsabile del trattamento in relazione a reCAPTCHA, ma come incaricato del trattamento ai sensi dell'art. 4 n. 8. GDPR. Cosa significa concretamente per le aziende e a cosa devono ancora prestare attenzione.
Nuova distribuzione dei ruoli a partire da aprile 2026
La valutazione legale della precedente ripartizione dei ruoli è stata a lungo controversa. In precedenza Google si considerava il responsabile del trattamento dei dati elaborati nell'ambito di reCAPTCHA. Ciò significava che l'azienda era responsabile degli scopi e dei mezzi del trattamento dei dati. Elaborazione compresa la possibilità di utilizzare le informazioni raccolte nell'ambito dei controlli CAPTCHA per i propri scopi.
È proprio qui che si inserisce la critica di molti protezionisti dei dati. Sebbene i gestori di siti web integrino tecnicamente il reCAPTCHA, hanno solo un'influenza limitata sul modo in cui Google elabora i dati degli utenti raccolti nel processo. In particolare, è stato criticato il fatto che l'elaborazione dei dati potrebbe andare oltre la semplice prevenzione degli abusi ed essere utilizzata da Google per scopi di analisi o miglioramento. Ciò ha sollevato notevoli problemi di protezione dei dati in merito alla GDPR e § 25 TDDDG.
Con l'annuncio dell'inizio del 2026, Google sta apportando una modifica fondamentale. In futuro, per reCAPTCHA sarà previsto un contratto per l'elaborazione degli ordini; il Google Nuvola Addendum all'elaborazione dei dati.
Suggerimento per il collegamento: Addendum al trattamento dei dati di Google
In questa costellazione, in futuro Google elaborerà i dati raccolti nell'ambito di reCAPTCHA per conto e secondo le istruzioni del rispettivo gestore del sito web. I dati potranno quindi essere elaborati solo per fornire e garantire il servizio e non più per gli scopi propri di Google.
La responsabilità principale ai sensi della legge sulla protezione dei dati spetta quindi chiaramente ai gestori dei siti web che utilizzano i reCAPTCHA.
Tecnicamente, tutto rimane invariato con reCAPTCHA
La funzionalità tecnica di reCAPTCHA non cambierà a seguito del passaggio. Le funzioni, i meccanismi di protezione e le integrazioni rimangono invariati. La modifica riguarda solo l'assegnazione dei ruoli ai sensi della legge sulla protezione dei dati e la struttura contrattuale sottostante.
Google sta già informando i suoi clienti dell'adeguamento e sottolinea che le avvertenze sulla protezione dei dati sui rispettivi siti web devono essere aggiornate.
Suggerimento di lettura: Ecco le modifiche previste per i banner dei cookie
Cosa devono tenere presente le aziende con reCAPTCHA
Per le aziende, la nuova ripartizione dei ruoli porta maggiore chiarezza, ma ciò non significa una riduzione dei loro obblighi. Chiunque utilizzi reCAPTCHA sarà chiaramente il responsabile del trattamento ai sensi dell'articolo 4, paragrafo 7, in futuro. GDPR e deve adempiere ai relativi obblighi di protezione dei dati.
Le aziende dovrebbero quindi verificare in particolare,
- se reCAPTCHA è coperto dall'attuale Addendum sul trattamento dei dati di Google,
- se le condizioni contrattuali aggiornate sono state effettivamente incluse,
- se il Registro delle attività di trattamento deve essere adattato,
- e se il Informativa sulla privacy descrive in modo trasparente la nuova assegnazione dei ruoli e l'elaborazione dei dati.
La classificazione di Google come elaboratore non esonera quindi le aziende dagli obblighi di verifica e documentazione. Al contrario, li mette ancora più in evidenza.
Il requisito del consenso rimane in vigore in molti casi
Anche se Google agirà in futuro come incaricato del trattamento, l'obbligo di ottenere il consenso non cambierà in molti casi.
Quando si utilizza il reCAPTCHA, si verifica regolarmente quanto segue Informazioni memorizzate o lette sul dispositivo finale dell'utente, circa Biscotti o altri identificatori tecnici. Lo scopo è quello di analizzare il comportamento dei visitatori del sito web e di rilevare gli accessi automatizzati. Di conseguenza, il loro utilizzo continua a rientrare nell'articolo 25 (1) del TDDDG.
In pratica, questo significa che reCAPTCHA dovrebbe essere utilizzato regolarmente solo dopo una preventiva Consenso essere caricati tramite uno strumento di gestione del consenso. Le aziende dovrebbero quindi verificare questo aspetto,
- se lo script reCAPTCHA sia effettivamente attivato solo dopo l'approvazione e
- se il servizio è descritto correttamente nel banner di consenso.
Inoltre, potrebbe essere utile considerare alternative meno invasive o integrare tecnicamente il reCAPTCHA in modo da ridurre al minimo la trasmissione dei dati.
Fate controllare il vostro sito web
Il passaggio è un passo significativo dal punto di vista della conformità. Pone fine a un'annosa discussione sull'assegnazione dei ruoli ai sensi della legge sulla protezione dei dati presso reCAPTCHA e crea maggiore chiarezza nell'assegnazione delle responsabilità.
Tuttavia, le aziende non dovrebbero considerare il cambiamento come una mera formalità. Piuttosto, offre l'opportunità di rivedere la propria integrazione di reCAPTCHA da un punto di vista tecnico, contrattuale e organizzativo.
I nostri esperti supportano le aziende nell'integrazione di servizi di tracciamento e sicurezza come reCAPTCHA in modo legalmente conforme e nella revisione dei siti web esistenti in termini di legge sulla protezione dei dati.
Nell'ambito di un controllo del sito web, analizziamo, tra l'altro, i seguenti aspetti:
Servizi di terze parti e tecnologie di tracciamento utilizzate
Meccanismi di consenso e banner di consenso
Trasferimenti di dati verso paesi terzi
Informativa sulla privacy e obblighi di documentazione
Basta mettersi in contatto con noi.
Yussef Benjabri, Conformità Consigli dell'esperto 2B
German 
English 
Italian 
French