La figura del responsable del tratamiento de datos personales en Internet: ampliación del concepto y responsabilidad conjunta. A tenor de la STJUE de 29 de julio de 2019.

Compartimos nuevo artículo sobre derecho de protección de datos, elaborado por Dª. Victoria Hernández Turiel, abogada y politóloga. Especialista en derecho de nuevas tecnologías. Experta en protección de datos, comercio electrónico y propiedad intelectual e industrial.

El alto tribunal de la Unión Europea se pronuncia de nuevo sobre el alcance del concepto del responsable de tratamiento de datos de carácter personal en el ámbito online. Al respecto, el tribunal ya se pronunció en su sentencia de 13 de mayo de 2014, Google Spain y Google, pero en esta ocasión amplia el concepto, y analiza la responsabilidad conjunta o “corresponsabilidad” en las operaciones de tratamiento de datos personales.

Tras la entrada en vigor del Reglamento Europeo de Protección de Datos, y como resultado de su aplicación efectiva, el Tribunal de Justicia de la Unión Europea se pronuncia de nuevo sobre el concepto de “responsable de tratamiento”, pero esta vez ampliando su alcance, pues determina que también tendrán dicha consideración de responsables el administrador, o en su caso administradores, de sitios web. Y así lo ha declarado en su Sentencia de 29 de julio de 2019, C-40/2017.

El Alto Tribunal de la Unión considera responsable del tratamiento de datos al administrador de un sitio de internet, cuando este inserta en el mismo un módulo social, o botón “me gusta” de modo que posibilita que el navegador del internauta que ha accedido a su sitio web y activado el módulo social, solicite información del proveedor del módulo, Facebook en este caso, y le transmita datos personales del internauta. Por este motivo, es considerado responsable del tratamiento.

El litigio principal parte del hecho de que la empresa Fashion ID, dedicada al comercio electrónico, en concreto a la comercialización de productos textiles insertó en su sitio de Internet el módulo social “me gusta” de la red social Facebook. De este modo cuando el navegador del visitante del sitio web abre el vínculo, está solicitando contenido externo e insertándolo en el sitio web, con que está transmitiendo información sobre el contenido deseado.

En consecuencia, el administrador de dicho sitio web al incorporar el citado botón “me gusta”, está transmitiendo a Facebook Ireland datos personales del visitante, pero sin tener capacidad de controlar los datos que son transmitidos por el navegador, y mucho menos supervisar si el proveedor externo decide almacenar y analizar dichos datos personales. Con el problema añadido, de que el visitante no es consciente de que con ese “click” se están transmitiendo sus datos personales a Facebook, aunque no disponga de un perfil en la mentada red social. Es decir, se trata de una transmisión de datos efectuada sin el consentimiento de los visitantes, y que se efectúa sin cumplir con las obligaciones de información establecidas en las disposiciones relativas a la protección de datos personales.

La empresa alemana fue denunciada por una asociación de defensa de los consumidores alemanes, que se oponía a la transmisión a Facebook Ireland de los datos personales de los visitantes de su sitio web.

En estas circunstancias, el Oberlandesgericht Düseldorf – Tribunal Superior Regional de lo Civil y Penal de Düseldorf- decidió suspender el procedimiento y plantear al Tribunal de Justicia seis cuestiones prejudiciales.

El Tribunal establece en cuanto a la legitimidad activa para el ejercicio de la acción de cesación, que el RGPD – Reglamento 2016/679, que derogó y sustituyó a la Directiva 95/46, que las asociaciones de utilidad pública están legitimadas para el ejercicio de acciones judiciales, incidiendo en que la Directiva anterior no se oponía a dicho ejercicio.

Mediante la segunda cuestión prejudicial se pregunta si el administrador de un sitio de internet que inserta en él un módulo social que permite que el navegador del visitante solicite contenidos del proveedor y le transmita datos personales del visitante puede ser considerado responsable del tratamiento en el sentido del artículo 2, letra d) de la Directiva 95/46, aplicable al momento de los hechos comentados.
Dicho artículo recoge de manera amplia el concepto de “responsable del tratamiento” requiriéndose una matización y concreción posterior según el caso, como hizo el TJUE en su anterior sentencia de 13 de mayo de 2014, Google Spain y Google.

Además, dicha definición permite una responsabilidad conjunta, de modo que ésta puede recaer de forma simultánea sobre dos personas, autoridades u otros organismos si ambos determinan de forma concurrente los fines y medios.

Asi, lo establece el Tribunal en el fundamento 67º de su sentencia en los siguientes términos:

“Como establece expresamente el artículo 2 letra d) de la Directiva, el concepto de responsable del tratamiento se refiere al organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales […] dicho concepto puede aludir a varios agentes que participen en ese tratamiento, cada uno de los cuales estará sujeto, por lo tanto, a las disposiciones aplicables en materia de protección de datos”.

De esta manera, el TJUE determina que una persona ya sea física o jurídica, puede ser considerada responsable del tratamiento de datos personales si influye en el tratamiento, y por tanto en la determinación de los fines y los medios de este.

No obstante, matiza que la responsabilidad conjunta respecto a un mismo tratamiento no significa que ambos tengan acceso a los datos personales, y por tanto que ostenten la misma responsabilidad. Por lo tanto, ninguno será responsable de las operaciones anteriores ni posteriores respecto de las que no haya determinado los fines y los medios.

La responsabilidad de cada uno debe ser evaluada en el caso concreto atendiendo a las fases del tratamiento en que intervienen y al grado de dicha intervención, dado que un tratamiento puede estar constituido por una o varias operaciones.

Fashion ID es responsable junto con Facebook Ireland solamente en cuanto a la recogida y comunicación de datos personales de sus visitantes, por transmitirlos a Facebook. Lo anterior, dado que la inserción del botón “me gusta” en su sitio web sirve como herramienta de recogida y transmisión de datos personales de los visitantes, sean o no miembros de la red social. Existiendo por tanto corresponsabilidad de Fashion ID solo respecto de determinadas operaciones de tratamiento de datos de los visitantes, en concreto de la recogida de datos y su transmisión a Facebook Ireland-

Por último, en referencia a la licitud del tratamiento de datos personales efectuada de forma conjunta por Fashion ID y Facebook Ireland, el tratamiento solo será lícito conforme al artículo 7 letra f) de la Directiva 95/46; si el administrador del sitio web y el proveedor persiguen cada uno de ellos con las operaciones de tratamiento un interés legítimo, de modo que sea necesario el tratamiento para satisfacer dicho interés, y siempre y cuando no prevalezcan los derechos y libertades del interesado.

En particular, mediante la inserción del botón “me gusta” de Facebook en el sitio web de Fashion ID, la empresa permite dar mayor visibilidad y publicidad a sus productos al hacerlos visibles en la red social, obteniendo una ventaja comercial, por lo que realiza esa operación persiguiendo un interés económico. Por su parte, Facebook también obtiene una ventaja al disponer de los datos de los visitantes del sitio web para sus fines comerciales.

El Tribunal también analiza a quien debe el visitante del sitio web prestar su consentimiento. Dicho de otro modo, si el consentimiento debe ser solicitado por el administrador del sitio web o por el proveedor del módulo social, y quien de ellos ha de cumplir con la obligación de información que establece el artículo 10 de la Directiva 95/46. Establece que el administrador de un sitio de internet que inserta en el un módulo social debe solicitar el consentimiento a los visitantes de su sitio web, y cumplir las obligaciones informativas únicamente en lo referido a la operación o conjunto de operaciones de tratamiento cuyos fines y medios determine.

Conclusión: El derecho fundamental a la protección datos se puede ejercer en Internet frente a los responsables de los motores de búsqueda en Internet, frente a los administradores de redes sociales, pero también frente al administrador de un sitio web que inserta en el mismo un módulo social del proveedor de una red social.

De este modo, se puede interponer una acción judicial para la tutela de dichos derechos no solo contra al administrador de la red social a la que se transmiten los datos personales del visitante cuando activa el módulo social, sino también frente al administrador del sitio web al que accede el navegador del visitante, pues transmite datos personales a la red social sin consentimiento del interesado y sin haber cumplido con las obligaciones de información que recoge la normativa de protección de datos. En definitiva, existe responsabilidad conjunta, aunque no tiene por qué ser equivalente, por ello habrá que atenderse al caso concreto y al mayor o menor grado de influencia en dicho tratamiento de datos.

Sigue leyendo Administrativando

Suscríbete a nuestro canal de YouTube

Vídeos sobre infinidad de temáticas relacionadas con el Derecho Administrativo y Contencioso-Administrativo.

Apúntate a nuestra newsletter

Puedes suscribirte a la newsletter de Administrativando haciendo click en el botón que verás debajo.

Puedes suscribirte a Administrativando dejando tu e-mail a continuación y recibirás semanalmente los últimos artículos en tu bandeja de entrada.

Adela Merino León

Abogada Senior

Tras su paso por otras firmas donde adquirió una sólida base jurídica, se incorpora a Administrativando Abogados, participando en la defensa de todo tipo de expedientes sobre derecho administrativo.

Entre otras materias, interviene en procedimientos relacionados con derecho de aguas, funcionarios, responsabilidad patrimonial, sanciones administrativas, contratación pública , urbanismo y recursos contenciosos administrativos de toda índole.

Además de asesorar a empresas nacionales e internacionales, participa en la defensa de infinidad de Administraciones y Organismos Públicos.

Asimismo, se ha ocupado del diseño y elaboración de diferentes jornadas docentes sobre Derecho Administrativo en la escuela de formación Administrativando Business School.

Nuria Carrasco Sánchez

Directora Financiera y Relaciones Institucionales

Tras cursar Administración y Dirección de Empresas en la Facultad de Ciencias Económicas y Empresariales ETEA (actualmente, Loyola), durante más de veinte años de ejercicio profesional, ha asumido la dirección financiera y contable en compañías nacionales e internacionales dedicadas a diferentes sectores de actividad.

Asimismo, de forma simultánea, en buena parte de tales empresas, se ha ocupado de llevar a cabo funciones de representación institucional.

María José Amo Gago

Asociada Senior

Tras obtener premio extraordinario a su paso por la Universidad de Córdoba y preparar las oposiciones a la carrera judicial y fiscal, se incorporó a Aguayo Abogados, como firma especialista en Derecho Administrativo (hoy integrada en Ejaso ETL Global). Posteriormente, formó parte del equipo de Garrigues.

Fruto de su dilatada experiencia profesional de más de diez años, participa en la orientación y defensa de aquéllos procedimientos administrativos y contenciosos – administrativos de especial dificultad técnica, tanto a nivel nacional como internacional. Asimismo, es especialista en abordar recursos de casación contenciosos – administrativos, de amparo ante el Tribunal Constitucional e impugnaciones ante instancias supranacionales como el Tribunal Europeo de Derechos Humanos.

Igualmente, ha intervenido en procedimientos contenciosos – administrativos de máxima relevancia social como el Caso Alvia o la impugnación de la licitación de compra centralizada de Equipos de Protección Individual por parte de la Comunidad de Madrid, entre otros muchos.

Ostenta el cargo de coordinadora de relaciones institucionales en Administrativando Business School.

Natalia Montero Pavón

Asociada

Tras preparar las oposiciones a la carrera judicial y fiscal, se incorporó al Departamento de Derecho Administrativo de la conocida firma Sanguino Abogados.

Defiende procedimientos de suma relevancia en la totalidad de áreas que configuran el Derecho Administrativo. Entre otras materias, es especialista en aguas, minas, medio ambiente, función pública, responsabilidad patrimonial, expropiación forzosa, contratación pública, urbanismo y procedimientos sancionadores.

Igualmente, interviene de forma regular ante la jurisdicción de lo Contencioso – Administrativo en todas sus instancias.

Asimismo, compagina su labor como docente impartiendo puntualmente máster class sobre derecho público en la Universidad Loyola Andalucía.

También ha asumido la dirección y orientación de diferentes cursos de experto en Derecho Administrativo, principalmente en las materias de responsabilidad patrimonial, expropiación forzosa y contencioso – administrativo.

Ostenta el cargo de coordinadora académica en Administrativando Business School.

Antonio Pérez Valderrama

Director

Es profesor en Derecho Administrativo y contratación pública en el Instituto Superior de Derecho y Economía de Madrid.

Con anterioridad, ha formado parte de firmas jurídicas internacionales, como Martínez Echevarría & Rivera Abogados, con cargos de dirección en el Área de Derecho Administrativo.

Recientemente ha intervenido como coautor en el «Manual sobre el Contrato Menor», publicado por la Editorial Aranzadi.

Asimismo, imparte jornadas docentes en la Sección de Derecho Administrativo de Economist & Jurist y Administrativando Abogados. Entre otros eventos, conviene destacar la formación sobre la posible nulidad de las sanciones administrativas impuestas durante los estados de alarma a consecuencia de la Covid-19.

Ha defendido todo tipo de procedimientos de Derecho Administrativo y Contencioso – Administrativo y ante cualquier instancia.

Ostenta el cargo de director ejecutivo en Administrativando Business School.

En AB Legal International S.L.P. utilizamos cookies propias y de terceros que permiten al usuario la navegación a través de una página web (técnicas), para el seguimiento y análisis estadístico del comportamiento de los usuarios (analíticas),  que permiten la gestión de los espacios publicitarios que, en su caso, el editor haya incluido en una página (publicitarias) y  cookies  que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo elaboración de perfiles web ( hay que poner la información genérica sobre el tipo de datos que se van a recopilar y utilizar en caso de que se elaboren perfiles) (análisis de perfiles) (si hubiera otras finalidades debería incluirse la información). Si acepta este aviso consideraremos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra política de cookies.

Puedes suscribirte a Administrativando dejando tu e-mail a continuación y recibirás semanalmente los últimos artículos en tu bandeja de entrada.

Call Now Button