El formulario acusador: la doctrina de la minimización de datos en el front-end
El formulario de contacto, el chat en vivo, el chatbot y los canales de mensajería como sistema de exposición legal. Aviso legal, art. 5.1.c RGPD y el perímetro mínimo de comunicación en webs corporativas.
Sunt mala quae libas, ipse venena bibas.
La Acusación
Tienes un formulario de contacto. Probablemente también tienes un botón de WhatsApp, un widget de chat en vivo, un enlace a tu perfil de LinkedIn y, si tu agencia fue especialmente entusiasta, un chatbot que saluda a los visitantes con un mensaje automático. Todo ello para que alguien te escriba.
Esa acumulación no es el resultado de una decisión. Es el resultado de no haber tomado ninguna: cada canal se añadió porque en ese momento parecía razonable, sin que nadie evaluara qué datos captura cada uno, a dónde los envía, quién tiene acceso a ellos antes de que lleguen a ti, ni qué obligaciones legales activa su presencia en la página.
El artículo 5.1.c del RGPD —el principio de minimización— establece que los datos personales deben ser "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados". Ese principio no aplica únicamente al número de campos de un formulario. Aplica a la arquitectura completa de comunicación que tu web ha construido: a cuántos canales paralelos has instalado para cumplir una sola función de negocio y a cuántos terceros tienen acceso a los datos de tus clientes antes de que esos datos lleguen a ti.
La pregunta que nadie hizo cuando instalaron cada uno de esos elementos es la misma que la AEPD haría si inspeccionara tu web mañana: ¿es esto estrictamente necesario para la función declarada?
El Cuerpo del Delito
El formulario: el campo innecesario como pasivo jurídico
El formulario de contacto es el elemento más antiguo y el más inspeccionado. La AEPD ha sancionado su uso incorrecto bajo dos categorías distintas que con frecuencia se presentan juntas en el mismo expediente.
La primera es la ausencia de cláusula informativa. El artículo 13 del RGPD exige que, en el momento en que se recaban datos personales, el interesado reciba información sobre la identidad del responsable del tratamiento, la finalidad y la base jurídica del tratamiento, si los datos se van a comunicar a terceros y cómo ejercer sus derechos. Un formulario que solo tiene campos y un botón de envío, sin texto legal visible o accesible antes de pulsar ese botón, incumple esta obligación con independencia de que exista una política de privacidad publicada en otro lugar del sitio. La AEPD ha documentado este fallo en multitud de resoluciones, incluida la que figura en el Expediente II de este archivo como tercera infracción de la web sancionada.
La segunda es la captura desproporcionada de datos. El artículo 5.1.c del RGPD no permite recoger datos "por si acaso". Cada campo de un formulario tiene que justificarse en la finalidad declarada. Un formulario de contacto cuya función es que alguien te escriba para pedirte información necesita un campo de dirección de correo electrónico para poder responder y, opcionalmente, un campo de nombre para el saludo. No necesita un número de teléfono si no vas a llamar, ni una empresa si no es relevante para la consulta, ni un cargo, ni un mensaje de formato libre que invite a compartir información sensible antes de que exista ninguna relación contractual establecida. La AEPD ha sancionado la solicitud de datos no justificados —incluyendo la copia del DNI, la dirección postal o el número de teléfono en contextos donde no eran necesarios— bajo el artículo 5.1.c con multas documentadas entre 2.000 y 100.000 euros, dependiendo del volumen de afectados y la naturaleza de los datos recabados.
Cada campo de un formulario que no puede justificarse en la finalidad concreta del tratamiento no es una preferencia de diseño. Es una infracción potencial del artículo 5.1.c del RGPD esperando a que alguien la denuncie.
El chat en vivo: el script que nunca duerme
El widget de chat en vivo —el cuadro flotante en la esquina inferior de la pantalla que ofrece ayuda inmediata— opera bajo un modelo técnico que contradice directamente la función que anuncia.
El script que hace funcionar ese widget no espera a que el visitante haga clic en él para activarse. Se carga en el momento en que la página se renderiza, en todas las páginas donde está instalado, para todos los visitantes, independientemente de si alguno de ellos tiene intención de usar el chat. En ese proceso de carga, el script establece una conexión con los servidores del proveedor del servicio y transfiere la dirección IP del visitante, el agente de usuario de su navegador, la URL de la página que está visitando y, en muchos casos, el referente desde el que llegó. Todo eso antes de que el visitante haya leído una sola línea del contenido de la página. Antes de que haya visto el banner de cookies. Antes de que haya decidido nada.
El modelo es el mismo que el Landgericht München sancionó en el caso Google Fonts: una petición automática al servidor de un tercero que transporta la IP del visitante en el instante en que la página carga, sin que haya mediado ninguna acción del usuario ni ningún consentimiento. Si el proveedor del servicio de chat tiene sede fuera del EEE, esa petición es una transferencia internacional de datos personales sin base jurídica válida en el momento en que se produce.
La función real del chat en vivo en una web corporativa que ofrece servicios de alto valor —un despacho, una clínica, una consultoría— no resiste el test de proporcionalidad del artículo 5.1.c. Un cliente potencial de ese perfil no espera una respuesta en tiempo real de un widget. Espera una respuesta cuidada en el plazo razonable que su consulta merece. El widget no mejora la comunicación. Activa un tercero que recibe sus datos antes de que él haya decidido contactar.
El chatbot: el tercero sentado en tu recepción
El chatbot conversacional añade una dimensión que el chat en vivo no tiene: el procesamiento en tiempo real del contenido de lo que el visitante escribe.
Un visitante que llega a la web de una clínica y abre el chatbot para preguntar si tratan una determinada patología está compartiendo información sobre su estado de salud con el sistema antes de que exista ninguna relación asistencial, ningún formulario de consentimiento firmado y ninguna cláusula informativa aceptada. Esa información —que bajo el artículo 9 del RGPD constituye una categoría especial de datos que exige consentimiento explícito y medidas de protección reforzadas— está siendo procesada por el proveedor del chatbot, que opera como encargado del tratamiento con acceso directo a la conversación.
Lo mismo aplica a un despacho de abogados donde el chatbot pregunta "¿en qué puedo ayudarte?" y el visitante describe su situación jurídica. O a una consultoría donde el bot recoge el nombre, la empresa y el presupuesto disponible antes de ofrecer cita con un asesor.
En todos esos casos, el chatbot no es una mejora de la experiencia del usuario. Es un encargado del tratamiento no auditado que procesa datos potencialmente sensibles en el momento más vulnerable del proceso: cuando el cliente aún no es cliente, cuando aún no ha firmado nada, cuando aún no ha sido informado de nada.
El botón de mensajería y el canal de contacto no controlado
Un botón de WhatsApp en la página de contacto parece inocuo. Es un enlace. Cuando el visitante hace clic, se abre una conversación.
Lo que ocurre antes de ese clic no es inocuo. El renderizado del botón —si se implementa mediante el widget oficial en lugar de un simple enlace de texto— puede cargar recursos desde los servidores de Meta, transfiriendo la IP del visitante antes de que haya interactuado con nada. Y lo que ocurre después del clic traslada la comunicación a un canal que opera bajo una arquitectura de datos completamente distinta a la del resto del sitio.
Cuando un cliente escribe a través de un servicio de mensajería de una empresa americana, los metadatos de esa conversación —quién contacta con quién, desde qué dispositivo, en qué momento, con qué frecuencia— viajan a servidores fuera del EEE. El cifra de extremo a extremo protege el contenido del mensaje. No protege los metadatos. Y en determinados contextos profesionales —un despacho de abogados, una clínica, una consultoría financiera— el hecho de que una persona haya contactado con ese profesional puede ser, por sí mismo, un dato sensible antes de que se haya escrito una sola palabra. La agenda del dispositivo desde el que opera el profesional —con los números de sus clientes— se sincroniza con los servidores del proveedor en el momento de la instalación. Cada persona en esa agenda ha tenido sus datos transferidos a una empresa extranjera sin haber dado consentimiento para ello.
El canal de mensajería no controlado no es un riesgo marginal. Es una segunda base de datos de datos de clientes que vive fuera del control del titular, en la infraestructura de un tercero con sus propias finalidades y su propio marco jurídico.
Cada canal de comunicación añadido que procesa datos fuera del servidor propio es un encargado del tratamiento que accede a los datos de tus clientes antes de que tú los recibas. La suma de cinco canales instalados sin decisión no es una arquitectura de comunicación. Es un registro no auditado de quién contactó contigo, cuándo y desde dónde, distribuido entre cinco terceros distintos.
La Sentencia
El principio de minimización del artículo 5.1.c del RGPD no es una recomendación de buenas prácticas. Es un criterio de licitud del tratamiento. Un formulario que recoge más datos de los necesarios para responder, un chat que transfiere la IP del visitante antes de que decida usarlo, un chatbot que procesa información sensible antes de que exista ninguna relación formalizada, un canal de mensajería que lleva los metadatos de tus conversaciones a servidores fuera del EEE: ninguno de esos elementos supera el test de "limitado a lo necesario" para la función de comunicación que declaran cumplir.
El perímetro mínimo de comunicación no es una restricción funcional. Es el único perímetro en el que el titular del dominio sabe, en todo momento, qué datos tiene, quién los procesó y con qué base jurídica. Un único canal de entrada —un formulario con los campos estrictamente necesarios para poder responder, con su cláusula informativa visible antes del envío, cuyo procesamiento ocurre en el servidor propio sin intermediarios externos— cumple la función de comunicación de cualquier web corporativa sin activar ninguna de las obligaciones adicionales que los canales secundarios generan.
Cuando el perímetro de comunicación se reduce a lo que la función de negocio realmente necesita, la política de privacidad que describe ese perímetro deja de ser un documento extenso que nadie lee. Se convierte en un texto breve que describe con exactitud lo que ocurre. Y un texto que describe con exactitud lo que ocurre es el único documento legal que no teme ninguna inspección.
El Cuervo es el archivo de diagnóstico de PRIBECY_