El pasado 29 de julio el Tribunal de Justicia de la Unión Europea publicó la esperada Sentencia relativa al denominado caso “FASHION ID” en la que se adentra a analizar y valorar importantes temas que hasta ahora habían venido causando verdaderos quebraderos de cabeza en el sector.
El caso que nos ocupa versa sobre la instalación y uso de Plugin de terceros en sitios web. En concreto, se trata de la instalación y uso de un conector social de la Red Social “FacebooK” (el botón de “me gusta” o “like”) en el sitio web de un e-commerce alemán (“Fashion ID”) lo que, en última instancia, origina una importante cadena de tratamiento de datos que merece la pena analizar.
Principales cuestiones planteadas y argumentos a destacar:
¿Quién es el responsable de los tratamientos realizados sobre los datos personales de los usuarios?
En la sentencia el tribunal aboga por una corresponsabilidad de los tratamientos entre el titular del sitio web (Fashion ID) y Facebook. No obstante lo anterior, aquí es importante destacar que esta corresponsabilidad no hace referencia a la totalidad de los tratamientos realizados sino únicamente existirá corresponsabilidad sobre “las operaciones o conjunto de operaciones de tratamiento de datos cuyos fines y medios son determinados efectivamente de forma conjunta”.
Dicho en otras palabras, existe corresponsabilidad sobre los tratamientos de datos relativas a la captación de los mismos y su posterior comunicación a Facebook. Los ulteriores tratamientos que pueda realizar Facebook (que a buen seguro realizará) no son responsabilidad del titular del sitio web. El responsable de ellos será Facebook y es esta la que tiene que asumir las obligaciones inherentes a todo responsable del tratamiento.
Con respecto a la citada corresponsabilidad, el tribunal sostiene que “debe considerarse que Facebook Ireland y Fashion ID determinan conjuntamente los medios que originan las operaciones de recogida y comunicación por transmisión de datos personales de los visitantes del sitio de internet de Fashion ID…”; lo que a efectos prácticos se traduce en una corresponsabilidad sobre referidos tratamientos
¿Es responsable FASHION ID aún cuando no tenga acceso a los datos personales recogidos y que posteriormente son comunicados a Facebook?
La respuesta es sí. En concreto, el tribunal responde a la cuestión afirmando que “el hecho de que el propio administrador de un sitio de internet, como Fashion ID, no tenga acceso a los datos personales recogidos y transmitidos al proveedor del módulo social con el que determina, conjuntamente, los medios y los fines del tratamiento de los datos personales, no impide que pueda presentar la condición de “responsable del tratamiento””.
Por tanto, independientemente de si acceda o no a referidos datos, el titular del sitio web siempre va a ser responsable del tratamiento de estos datos personales.
¿Qué datos se comunican desde el sitio web a la red social?
Básicamente dirección IP del ordenador o dispositivo de los usuarios, datos de navegación e información sobre el contenido deseado (sobre el gusto de los usuarios, información que es oro puro para Facebook).
¿A quién corresponde la obligación de recabar el consentimiento y cumplir con el deber de información del artículo 13 del RGPD?
El tribunal responde a la cuestión afirmando que es el titular del sitio web el responsable de ello, si bien, no sobre la totalidad de los tratamientos que en ultima instancia se realizan sino únicamente sobre “el conjunto de las operaciones de tratamientos de datos personales cuyos fines y medios determina efectivamente el administrador”. Esto es, sobre los tratamientos sobre los que ostenta corresponsabilidad junto a Facebook.
El usuario se encuentra navegando en la pagina web de Fashion D y no de Facebook, de ahí que sea esta primera la que tenga que cumplir con referidas obligaciones. Fashion D es la que decide insertar el plugin de Facebook (botón de “me gusta”) en su sitio web y es la que “ha ofrecido a Facebook la posibilidad de obtener datos de los visitantes de su sitio web, posibilidad que se genera desde el momento en que el usuario consulta tal sitio, y ello con independencia de que dichos visitantes sean miembros de la red social de Facebook o de que hayan clicado en el botón “me gusta” de Facebook o incluso de que tengan conocimiento de tal operación” … En otras palabras, de no haberse instalado este conector social no hubiera tenido lugar la cadena de tratamiento de datos que posteriormente se produce.
Lo anterior, llevado a un punto de vista más práctico se va a traducir en que el titular del sitio web deberá informar sobre los tratamientos realizados (captación y comunicación de datos a Facebook), de los datos que son comunicados y es la encargada de obtener el consentimiento como base jurídica que legitime estos tratamientos.
Facebook por su parte será responsable sobre los ulteriores tratamientos que realice sobre los datos que le sean comunicados, porque, no nos engañemos, SI, Facebook trata nuestros datos mucho más de lo que creemos y nos sorprenderíamos si supiéramos los datos que realmente tienen de nosotros, a quien se los comunica y el importante beneficio que ello le acaba reportando.
Resultará cuanto menos interesante ver como Facebook trata de buscar soluciones que le permitan cumplir con la ley, especialmente con el deber de disponer de una base jurídica que legitime estos tratamientos y del deber de información que incluye la ley, en virtud del cual deberá informar, entre otros, sobre las finalidades de los tratamientos o las posibles comunicaciones a terceros (a Facebook “no le gusta” esto).
No hay que irse muy lejos para recordar la multa de más de 5.000 millones de dólares que la Comisión Federal de Comercio (“FTC”) ha impuesto a la compañía por recopilar datos de 87 millones de personas con fines políticos sin haber recabado su consentimiento expreso para ello.
¿Cuál es la base jurídica que legitima estos tratamientos?
Lo ideal en estos casos es obtener el consentimiento expreso por parte de los usuarios, obligación que. tal y como hemos expuesto anteriormente, corresponderá al titular del sitio web en el que decide insertarse el plugin de terceros.
No obstante, en el caso que nos ocupa, este consentimiento no fue recabado y el tribunal analiza base jurídicas alternativas. En particular, nos habla de la base jurídica de “interés legítimo”.
En mi opinión es curioso como el tribunal acaba buscando y analizando bases jurídicas a posteriori, esto es, una vez que el tratamiento ha sido realizado, lo cual no coincide con lo que viene diciendo el RGPD, el cual aboga por que todo tratamiento, previamente a ser iniciado, debe contar con una base jurídica que lo legitime.
Con respecto a ello, conviene aclarar que la sentencia es confeccionada de acuerdo a la normativa anterior (Directiva 95/46) y no con la actual, de ahí que quepa el análisis realizado por el tribunal.
Con respecto a la base jurídica alternativa, el tribunal nos indica que “es necesario que el administrador y el proveedor persigan, cada uno de ellos, con esas operaciones de tratamiento, un interés legítimo para que queden justificadas”.
Por tanto, el tribunal se limita a indicar que se han de tener en cuenta los intereses legítimos de ambos corresponsables, pero no se adentra a analizar y aclarar todo lo relativo a esta base jurídica, ni como se ha de interpretar los tres requisitos acumulativos que se venían exigiendo para poder acogerse a esta base jurídica de conformidad con lo dispuesto en el artículo 7 letra f de la ya derogada Directiva ( “en primer lugar, que el responsable del tratamiento o el tercero o terceros a los que se comuniquen los datos persigan un interés legítimo; en segundo lugar, la necesidad del tratamiento de datos personales para la satisfacción del interés legítimo perseguido, y, en tercer lugar, el requisito de que no prevalezcan los derechos y libertades fundamentales del interesado “) (sentencia de 4 de mayo de 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, apartado 28).
Si bien este caso ha sido analizado de conformidad con lo dispuesto en la ya derogada directiva, conviene recordar que el concepto de responsable de tratamiento que la misma incluye no dista mucho de lo dispuesto por la normativa vigente, por lo que no tardaremos mucho en ver casos semejantes que se verán afectados por las decisiones tomadas en esta sentencia y que ya estarán regidos por la nueva normativa.
En ese sentido resultará interesante ver como todo ello puede afectar a las nuevas obligaciones de los corresponsables de tratamiento que el Reglamento Europeo de Protección de Datos expresamente incluye en su articulo 26, entre las que destaca la obligación de suscribir un acuerdo en el que se regule las funciones y obligaciones que cada uno de los corresponsables del tratamiento deberá asumir.
– Socio en 451Legal – Abogado especializado en Derecho de Internet, propiedad intelectual y tecnología. Consultado frecuentemente por medios de comunicación.
