Artículo de Víctor Moreno en Expansión Jurídico. Publicado el 23 de enero de 2019.
El abogado general del Tribunal de Justicia de la Unión Europea asegura en sus conclusiones que las páginas web que incluyen este plug-in son corresponsables de un tratamiento de datos personales.
La incursión de las redes sociales en la sociedad ha provocado que, a estas alturas, todo el mundo sepa qué es y para qué sirve el botón Me gusta de Facebook. Sin embargo, las dudas planteadas por una asociación alemana de defensa de los consumidores sobre la posible infracción de la normativa de protección de datos por la inserción de este plug-in en una página ajena a la red social ha provocado que el Tribunal Superior de lo Civil y Penal de Düsseldorf haya llevado este asunto hasta el Tribunal de Justicia de la Unión Europea (TJUE).
El organismo teutón de defensa de los consumidores (Verbraucherzentrale NRW) aseguraba que el sitio de ecommerce de productos de moda Fashion ID transfería a Facebook, a través del botón Me gusta, información sobre la dirección IP del usuario y la secuencia del navegador y planteaba la duda de si, en ese caso, la página web era igualmente responsable de un tratamiento ilícito. Además, hay que destacar que dicha transferencia de información se realizaba de manera automática cuando se cargaba la web de Fashion ID y con independencia de que el usuario interactuara o no con dicho botón o que tuviera una cuenta en Facebook.
Corresponsabilidad
El organismo teutón de defensa de los consumidores (Verbraucherzentrale NRW) aseguraba que el sitio de ecommerce de productos de moda Fashion ID transfería a Facebook, a través del botón Me gusta, información sobre la dirección IP del usuario y la secuencia del navegador y planteaba la duda de si, en ese caso, la página web era igualmente responsable de un tratamiento ilícito. Además, hay que destacar que dicha transferencia de información se realizaba de manera automática cuando se cargaba la web de Fashion ID y con independencia de que el usuario interactuara o no con dicho botón o que tuviera una cuenta en Facebook.Frente a esta situación, el abogado general del TJUE Michal Bobek ha asegurado en sus conclusiones, conforme a la directiva de protección de datos (aplicable en este asunto, pero ya sustituida por el reglamento general de protección de datos [RGPD]), que «el administrador de una página web que ha insertado en su sitio el plug-in de un tercero (como el botón Me gusta de Facebook) que genera la recogida y transmisión de datos personales del usuario debe ser considerado corresponsable del tratamiento, conjuntamente con dicho tercero», afirma Carlos Pérez, socio de Ecija.
El letrado insiste en que esa responsabilidad (conjunta) del encargado del tratamiento deberá limitarse a aquellas operaciones respecto de las cuales decide efectivamente de manera conjunta sobre los medios y fines del tratamiento de los datos personales. «En el caso concreto, la responsabilidad de Fashion ID se limitaría a la fase de recogida y transmisión de información».
Cabe destacar que el abogado general señala, en cambio, que ese sujeto «no puede ser considerado responsable ni de las fases anteriores o posteriores de la cadena de tratamiento de los datos, los fines o medios de las cuales no esté en condiciones de determinar».
Basándose en las definiciones del RGPD sobre qué es un tratamiento de datos y la capacidad de acción que tiene el responsable, Daniel López, socio de Ecija, asegura que «cabe pensar que la capacidad real de decisión que tiene el responsable de la página web es inexistente, lo cual puede generar una indefensión ante el nuevo criterio que propone el abogado general».
El letrado de Ecija prosigue explicando que «si un usuario ejercitara el derecho de acceso, el responsable del sitio web no podría facilitar los datos que Facebook recaba o no podría atender de forma fehaciente el derecho de cancelación. Igualmente no podría decidir las medidas de seguridad aplicables o exigir a Facebook que los datos se alojen en un determinado servidor, así como una capacidad de decidir sobre los fines del tratamiento o el mismo acceso a los datos».
En cuanto a la repercusión que podría tener una resolución del TJUE en la dirección que indicaba Bobek, López apunta que, junto con el derecho de información, deberá analizarse si sería necesario el consentimiento como legitimación del tratamiento, quién estaría obligado a recabarlo y mantenerlo -el titular del sitio web o la red social- y los procedimientos que deberían establecerse, a modo de soluciones, por parte de las redes sociales en el momento en el que el usuario accede a la web.
Debate
«Estos aspectos, que están analizándose por el TJUE, se unen a otros que han generado un importante debate a nivel europeo, con un futuro reglamento de e-privacy de fondo, como es la relación entre agencias de medios, editores y empresas. Así, una resolución del Tribunal de Justicia de la Unión Europea favorable sobre la base de la opinión del abogado general, puede dar un giro en estos tratamientos, que podrían considerar a los publishers también como corresponsables del tratamiento», concluye el experto.
Otra de las cuestiones prejudiciales planteadas por el Tribunal de Düsseldorf estaba relacionado con el deber de informar. Carlos Pérez explica que la cuestión es tan simple como saber si el administrador de la página web que ha insertado el contenido de un tercero, que da lugar al tratamiento de los datos personales por este último, ha de cumplir la obligación de informar que establece el artículo 10 de la directiva de protección de datos.
El socio de Ecija afirma que, según las conclusiones del abogado general del Tribunal de Justicia de la Unión Europea, la respuesta sería afirmativa y «la obligación de facilitar al usuario de la página web la información mínima sobre protección de datos se impone al administrador de la misma».