El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado el pasado mes de julio (ST TJUE 29.07.19) al respecto. En dicha resolución se ha determinado por parte de la sala que tanto el administrador de un sitio web en el que se incluya el botón “me gusta” de Facebook (o cualquier otra red), como el de la propia red social serán considerados como responsables del tratamiento.
El origen del objeto de la Sentencia surge cuando Fashion ID, empresa dedicada a la venta online de prendas de vestir, decide insertar en su propia página web el famoso botón “me gusta” de la conocida red social Facebook. Este simple hecho, y que vemos en otras muchas páginas web, implica la transmisión de datos del visitante, a dicha red, sin mediar conocimiento ni previo consentimiento por parte del usuario. Ante esta situación, la Asociación de utilidad pública de defensa de los intereses de los consumidores (Verbraucherzentrale NRW,) decidió ejercitar una acción de cesación contra Fashion ID, con el objetivo de que se dejase de realizar la transmisión de datos personales de los visitantes de su sitio web, sin previo consentimiento y sin informarles.
Antes de analizar en profundidad la resolución definiremos tanto la figura de responsable como la de encargado del tratamiento, art.4 RGPD:
- Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
- Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
Una vez determinadas las figuras que podrían darse en este caso, nos puede surgir la siguiente pregunta: ¿por qué el TJUE considera que tanto Fashion ID como Facebook son responsables del tratamiento?
- Por un lado, el hecho de incluir el botón me gusta en una web, como en este caso en Fashion ID, está beneficiando comercialmente a la propia web, dado que así se optimiza de una manera amplísima la publicidad de sus productos, porque ¿quién no conoce Facebook?.
- Además, determina que en este caso parece consentir, al menos implícitamente, la recogida y transmisión de los datos personales de los visitantes de su sitio web a la red social como contrapartida por dicha ventaja, luego la recogida y transmisión de datos se hace en interés económico de ambas, en este caso tanto de Fashion ID como de Facebook.
- Por último, se descarta que Fashion ID sea el responsable del tratamiento de los datos que posteriormente realiza Facebook, es decir, una vez que se le ha realizado la transmisión de los datos.
Atendiendo a lo anterior consideramos necesario en este apartado destacar la importancia de lo que el Tribunal dictamina:
“Sí se puede considerar a Fashion ID responsable con Facebook de la recogida y transmisión de los datos personales a la red social al entender que determinan sus medios y fines conjuntamente”.
Por todos estos motivos es por los que se les considera responsables a cada una de las partes implicadas.
Entonces, ¿qué supone que dos entidades determinen los medios y fines del tratamiento conjuntamente?
El TJUE en las cuestiones prejudiciales determina que nos encontraríamos ante un supuesto de corresponsabilidad, la cual define el RGPD en su art.26 como:
“Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento”
Si quieres conocer en profundidad la figura del corresponsable puedes acceder a nuestro blog, en el cual hemos dedicado un post para explicar esta figura (aquí).
En concreto, el TJUE señala al respecto lo siguiente:
- En este caso dado que tanto Fashion ID como Facebook deben ser considerados conjuntamente como responsables del tratamiento (corresponsabilidad), incumbe a cada uno de ellos el cumplimiento de las obligaciones de información y obtención del consentimiento de las actividades de tratamiento para las que determinen los medios y fines. El problema en este caso se encuentra en que estas obligaciones no se han llevado a cabo por parte de Fashion ID.
No queremos finalizar sin añadir que por lo que respecta a aquellas operaciones de recogida y tratamiento de datos necesarias para la satisfacción de un interés legítimo, el TJUE declara que en este caso es cada corresponsable el que debe de justificarlo, por lo que se atenderá a cada caso en concreto.
Como conclusión, conforme a la normativa en materia de protección de datos (RGPD Y LOPDGDD) el administrador de la empresa web que inserte el comando “me gusta” está obligado a informar a sus potenciales clientes de su identidad y los fines para el tratamiento de sus datos en el momento en que se recaban y debe solicitar el consentimiento previo para las operaciones de recogida y transmisión de datos de las que es corresponsable con la red social.
