Compartimos nuevo artículo sobre derecho de protección de datos, elaborado por Dª. Victoria Hernández Turiel, abogada y politóloga. Especialista en derecho de nuevas tecnologías. Experta en protección de datos, comercio electrónico y propiedad intelectual e industrial.
El alto tribunal de la Unión Europea se pronuncia de nuevo sobre el alcance del concepto del responsable de tratamiento de datos de carácter personal en el ámbito online. Al respecto, el tribunal ya se pronunció en su sentencia de 13 de mayo de 2014, Google Spain y Google, pero en esta ocasión amplia el concepto, y analiza la responsabilidad conjunta o “corresponsabilidad” en las operaciones de tratamiento de datos personales.
Tras la entrada en vigor del Reglamento Europeo de Protección de Datos, y como resultado de su aplicación efectiva, el Tribunal de Justicia de la Unión Europea se pronuncia de nuevo sobre el concepto de “responsable de tratamiento”, pero esta vez ampliando su alcance, pues determina que también tendrán dicha consideración de responsables el administrador, o en su caso administradores, de sitios web. Y así lo ha declarado en su Sentencia de 29 de julio de 2019, C-40/2017.
El Alto Tribunal de la Unión considera responsable del tratamiento de datos al administrador de un sitio de internet, cuando este inserta en el mismo un módulo social, o botón “me gusta” de modo que posibilita que el navegador del internauta que ha accedido a su sitio web y activado el módulo social, solicite información del proveedor del módulo, Facebook en este caso, y le transmita datos personales del internauta. Por este motivo, es considerado responsable del tratamiento.
El litigio principal parte del hecho de que la empresa Fashion ID, dedicada al comercio electrónico, en concreto a la comercialización de productos textiles insertó en su sitio de Internet el módulo social “me gusta” de la red social Facebook. De este modo cuando el navegador del visitante del sitio web abre el vínculo, está solicitando contenido externo e insertándolo en el sitio web, con que está transmitiendo información sobre el contenido deseado.
En consecuencia, el administrador de dicho sitio web al incorporar el citado botón “me gusta”, está transmitiendo a Facebook Ireland datos personales del visitante, pero sin tener capacidad de controlar los datos que son transmitidos por el navegador, y mucho menos supervisar si el proveedor externo decide almacenar y analizar dichos datos personales. Con el problema añadido, de que el visitante no es consciente de que con ese “click” se están transmitiendo sus datos personales a Facebook, aunque no disponga de un perfil en la mentada red social. Es decir, se trata de una transmisión de datos efectuada sin el consentimiento de los visitantes, y que se efectúa sin cumplir con las obligaciones de información establecidas en las disposiciones relativas a la protección de datos personales.
La empresa alemana fue denunciada por una asociación de defensa de los consumidores alemanes, que se oponía a la transmisión a Facebook Ireland de los datos personales de los visitantes de su sitio web.
En estas circunstancias, el Oberlandesgericht Düseldorf – Tribunal Superior Regional de lo Civil y Penal de Düseldorf- decidió suspender el procedimiento y plantear al Tribunal de Justicia seis cuestiones prejudiciales.
El Tribunal establece en cuanto a la legitimidad activa para el ejercicio de la acción de cesación, que el RGPD – Reglamento 2016/679, que derogó y sustituyó a la Directiva 95/46, que las asociaciones de utilidad pública están legitimadas para el ejercicio de acciones judiciales, incidiendo en que la Directiva anterior no se oponía a dicho ejercicio.
Mediante la segunda cuestión prejudicial se pregunta si el administrador de un sitio de internet que inserta en él un módulo social que permite que el navegador del visitante solicite contenidos del proveedor y le transmita datos personales del visitante puede ser considerado responsable del tratamiento en el sentido del artículo 2, letra d) de la Directiva 95/46, aplicable al momento de los hechos comentados.
Dicho artículo recoge de manera amplia el concepto de “responsable del tratamiento” requiriéndose una matización y concreción posterior según el caso, como hizo el TJUE en su anterior sentencia de 13 de mayo de 2014, Google Spain y Google.
Además, dicha definición permite una responsabilidad conjunta, de modo que ésta puede recaer de forma simultánea sobre dos personas, autoridades u otros organismos si ambos determinan de forma concurrente los fines y medios.
Asi, lo establece el Tribunal en el fundamento 67º de su sentencia en los siguientes términos:
“Como establece expresamente el artículo 2 letra d) de la Directiva, el concepto de responsable del tratamiento se refiere al organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales […] dicho concepto puede aludir a varios agentes que participen en ese tratamiento, cada uno de los cuales estará sujeto, por lo tanto, a las disposiciones aplicables en materia de protección de datos”.
De esta manera, el TJUE determina que una persona ya sea física o jurídica, puede ser considerada responsable del tratamiento de datos personales si influye en el tratamiento, y por tanto en la determinación de los fines y los medios de este.
No obstante, matiza que la responsabilidad conjunta respecto a un mismo tratamiento no significa que ambos tengan acceso a los datos personales, y por tanto que ostenten la misma responsabilidad. Por lo tanto, ninguno será responsable de las operaciones anteriores ni posteriores respecto de las que no haya determinado los fines y los medios.
La responsabilidad de cada uno debe ser evaluada en el caso concreto atendiendo a las fases del tratamiento en que intervienen y al grado de dicha intervención, dado que un tratamiento puede estar constituido por una o varias operaciones.
Fashion ID es responsable junto con Facebook Ireland solamente en cuanto a la recogida y comunicación de datos personales de sus visitantes, por transmitirlos a Facebook. Lo anterior, dado que la inserción del botón “me gusta” en su sitio web sirve como herramienta de recogida y transmisión de datos personales de los visitantes, sean o no miembros de la red social. Existiendo por tanto corresponsabilidad de Fashion ID solo respecto de determinadas operaciones de tratamiento de datos de los visitantes, en concreto de la recogida de datos y su transmisión a Facebook Ireland-
Por último, en referencia a la licitud del tratamiento de datos personales efectuada de forma conjunta por Fashion ID y Facebook Ireland, el tratamiento solo será lícito conforme al artículo 7 letra f) de la Directiva 95/46; si el administrador del sitio web y el proveedor persiguen cada uno de ellos con las operaciones de tratamiento un interés legítimo, de modo que sea necesario el tratamiento para satisfacer dicho interés, y siempre y cuando no prevalezcan los derechos y libertades del interesado.
En particular, mediante la inserción del botón “me gusta” de Facebook en el sitio web de Fashion ID, la empresa permite dar mayor visibilidad y publicidad a sus productos al hacerlos visibles en la red social, obteniendo una ventaja comercial, por lo que realiza esa operación persiguiendo un interés económico. Por su parte, Facebook también obtiene una ventaja al disponer de los datos de los visitantes del sitio web para sus fines comerciales.
El Tribunal también analiza a quien debe el visitante del sitio web prestar su consentimiento. Dicho de otro modo, si el consentimiento debe ser solicitado por el administrador del sitio web o por el proveedor del módulo social, y quien de ellos ha de cumplir con la obligación de información que establece el artículo 10 de la Directiva 95/46. Establece que el administrador de un sitio de internet que inserta en el un módulo social debe solicitar el consentimiento a los visitantes de su sitio web, y cumplir las obligaciones informativas únicamente en lo referido a la operación o conjunto de operaciones de tratamiento cuyos fines y medios determine.
Conclusión: El derecho fundamental a la protección datos se puede ejercer en Internet frente a los responsables de los motores de búsqueda en Internet, frente a los administradores de redes sociales, pero también frente al administrador de un sitio web que inserta en el mismo un módulo social del proveedor de una red social.
De este modo, se puede interponer una acción judicial para la tutela de dichos derechos no solo contra al administrador de la red social a la que se transmiten los datos personales del visitante cuando activa el módulo social, sino también frente al administrador del sitio web al que accede el navegador del visitante, pues transmite datos personales a la red social sin consentimiento del interesado y sin haber cumplido con las obligaciones de información que recoge la normativa de protección de datos. En definitiva, existe responsabilidad conjunta, aunque no tiene por qué ser equivalente, por ello habrá que atenderse al caso concreto y al mayor o menor grado de influencia en dicho tratamiento de datos.