La
sentencia del Tribunal de Justicia
en el asunto Fashion ID, C-40/17,
EU:C:2019:629 aborda en qué medida el administrador de un sitio web que
incorpora el botón “me gusta”, facilitado por Facebook, es responsable del
tratamiento de los datos personales de quienes visitan la página web que el
navegador de cada visitante envía automáticamente a Facebook por el simple
hecho de visitar la página web que incluye el botón (sin necesidad de que el
visitante pulse el botón y con independencia de que sea o no usuario de
Facebook). Habida cuenta de la configuración y funcionamiento de tales botones,
así como de la jurisprudencia previa del Tribunal de Justicia acerca del
concepto de responsable del tratamiento de datos personales, no resulta una
sorpresa que el Tribunal de Justicia considere que el administrador de un sitio
de Internet que inserta un botón de ese tipo puede ser considerado responsable
del tratamiento. Ese enfoque suscita complejas cuestiones acerca de la
delimitación entre la posición como responsable del administrador del sitio web
y la del proveedor de la red social que facilita el botón y recibe los datos,
sobre las que la sentencia aporta criterios muy relevantes. Además, de cara al
futuro, el planteamiento adoptado por el Tribunal debe llevar a reflexionar no
solo acerca de las obligaciones de administradores de sitios web y proveedores
de redes sociales con respecto a los afectados por el tratamiento de datos,
sino también acerca de las implicaciones del desequilibrio existente entre la
posición de la red social y la de los administradores de sitios web que
insertan ese tipo de botones a la hora de establecer el régimen de derechos y
obligaciones de la relación existente entre estas dos partes, aspecto este
último que desborda los límites de la sentencia pero resulta de gran
importancia de cara al futuro a la luz precisamente del contenido de la
sentencia.
I. Legitimación activa de asociaciones de consumidores para el
ejercicio de acciones por la infracción de datos personales
Con
carácter previo, cabe apuntar que la sentencia del Tribunal de Justicia establece
que la Directiva 95/46/CE sobre protección de datos personales –cuyo régimen
era aplicable por razones temporales al litigio principal- no se opone a una
normativa nacional que permita a las asociaciones de defensa de los intereses
de los consumidores ejercitar acciones judiciales contra el presunto infractor
de la protección de los datos personales. De cara al futuro, la relevancia
práctica de este aspecto de la sentencia es limitado, pues, como es conocido el
Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), consciente de
la importancia de las acciones colectivas en este sector, prevé
específicamente, a diferencia de la Directiva, esa posibilidad.
En concreto,
el artículo 80 RGPD contempla que cualquier interesado tendrá derecho a dar
mandato a una entidad, organización o asociación cualificada que actúe en el
ámbito de la protección de los derechos y libertades de los interesados en
materia de protección de sus datos personales, para que ejerza en su nombre los
derechos contemplados en los artículos 77, 78 y 79 RGPD (relativo este último a
la tutela judicial efectiva de los afectados contra un responsable o encargado
del tratamiento), y el derecho a ser indemnizado mencionado en el artículo 82
si así lo establece el Derecho del Estado miembro en cuestión. Además prevé que
los Estados miembros pueden disponer que cualquiera de esas entidades,
organizaciones o asociaciones tenga, con independencia del mandato del
interesado, derecho a presentar en ese Estado miembro una reclamación ante la
autoridad de control competente y a ejercer los derechos contemplados en los
artículos 78 y 79, si considera que los derechos del interesado con arreglo al
Reglamento han sido vulnerados.
La sentencia Fashion ID (apdos. 43 a 62)
básicamente se limita a afirmar que de la
Directiva 95/46/CE no resultaba una prohibición para los Estados miembros, que
les impidiera atribuir en sus legislaciones nacionales legitimación a las
asociaciones de consumidores para el ejercicio de acciones judiciales
colectivas por la infracción de datos personales. La sentencia y el litigio
principal son reflejo, eso sí, de la importancia práctica de las acciones
colectivas en este ámbito, lo que se corresponde con la relevancia del
mencionado artículo 80 RGPD –y de las iniciativas legislativas en la materia
actualmente en curso-, así como la conveniencia de promover en el espacio de la
UE las acciones colectivas transfronterizas, lo que –como ya he dicho en algún
otro lugar- puede verse favorecido por las reglas de competencia judicial
internacional de su artículo 79.
II. Determinación de los responsables del tratamiento de datos
derivados de la inserción del botón “me gusta”
Punto de partida
ha de ser la configuración de ese tipo de botones –o “módulos sociales”- según
la propia sentencia, que pone de relieve que su funcionamiento se basa en la
posibilidad del administrador de un sitio de Internet de insertar un contenido
externo mediante la colocación de un enlace. En concreto, con respecto al botón
“me gusta” de Facebook, considera que cuando un visitante consulta el sitio de
Internet del demandado en el litigio principal, “se transmiten a Facebook
Ireland datos personales de ese visitante, debido a que dicho sitio incorpora
el citado botón. Parece ser que esa transmisión se efectúa sin que dicho
visitante sea consciente de ello y con independencia de si es miembro de la red
social Facebook o de si clicó en el botón «me gusta» de Facebook”. Con carácter
previo y general en relación con la inserción de enlaces a contenidos externos,
el Tribunal pone de relieve que en tales casos “el navegador transmite al
servidor del proveedor externo la dirección IP del ordenador de dicho visitante
y los datos técnicos del navegador para que el servidor pueda determinar en qué
formato se suministra el contenido a esa dirección. El navegador transmite
además información sobre el contenido deseado. El administrador de un sitio de
Internet que ofrece un contenido externo insertándolo en dicho sitio no tiene
capacidad para determinar los datos que el navegador transmite ni lo que el
proveedor externo hace de esos datos, en particular, si decide almacenarlos y
analizarlos” (apdos 25 a 27 de la sentencia).
Toma como
referencia el Tribunal su jurisprudencia previa acerca de la interpretación
amplia del concepto de responsable del tratamiento de datos personales, en
particular sus sentencias de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317; de 5 de
junio de 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16,
EU:C:2018:388; y de 10 de julio de 2018, Jehovan
todistajat, C‑25/17, EU:C:2018:551. Con base en esa jurisprudencia, y
tras destacar que el administrador de la
página web ofrece a Facebook Ireland la posibilidad de obtener datos personales
de los visitantes de su sitio de Internet desde el momento en que consultan tal
sitio, y ello con independencia de que dichos visitantes sean miembros de la
red social Facebook o de que hayan clicado en el botón «me gusta» de Facebook o
incluso de que tengan conocimiento de tal operación (apdo. 75), el Tribunal de
Justicia constata que las operaciones de tratamiento de datos personales cuyos
fines y medios puede determinar el sitio web conjuntamente con Facebook son
únicamente la recogida y la comunicación por transmisión de datos personales de
los visitantes de su sitio de Internet (apdos. 76-78). Por lo tanto, con
respecto al resto de las operaciones de tratamiento de datos personales el
sitio web que inserta el botón no puede ser considerado responsable sino que
únicamente lo será Facebook.
Como
consecuencia de lo anterior, el Tribunal de Justicia concluye que Facebook Ireland y el administrador del sitio
en el que se inserta el botón “me gusta” son susceptibles de ser considerados
responsables del tratamiento de esos datos, en la medida en que “determinan
conjuntamente los medios que originan las operaciones de recogida y de
comunicación por transmisión de datos personales de los visitantes del sitio de
Internet” así como “los fines de las operaciones de recogida y de comunicación
por transmisión” de los datos personales en cuestión, y ello pese a que el
administrador del sitio de Internet no tenga acceso a los datos personales
recogidos y transmitidos al proveedor del módulo social (apdos. 79, 81 y 82).
De esta
conclusión del Tribunal se desprenden sus respuestas al resto de las cuestiones
planteadas. Por una parte, la constatación de que en la medida en que el sitio
de Internet que inserta el botón y la red social son responsables conjuntamente
del tratamiento, cada uno de ellos debe perseguir un fin legítimo en el
tratamiento, para que este resulte lícito conforme al artículo 7.f) de la
Directiva 95/46/CE –equivalente al artículo 6.1.f) del RGPD- sin necesidad de
consentimiento del interesado (el Tribunal deja a la valoración del órgano
nacional remitente la apreciación de si la red social accede, como sostenía la
Comisión, a información almacenada en el equipo terminal, en el sentido del
artículo 5.3 de la Directiva 2002/58 sobre la privacidad y las comunicaciones
electrónicas, del visitante del sitio de Internet en cuestión, de modo que le
sea exigible el régimen de consentimiento previo aplicable con respecto a las
cookies, al margen de la existencia de un interés legítimo) (apdos. 90 y 96).
Por otra
parte, el Tribunal establece que, habida cuenta de la condición de responsable
–conjuntamente con la red social- del administrador del sitio web con respecto
a las operaciones de recogida y transmisión de datos personales de sus
visitantes, recaen sobre dicho administrador las obligaciones de solicitar el
consentimiento del interesado y facilitar la información pertinente en lo
relativo a esas concretas operaciones. Por el contrario, esas obligaciones no
recaen sobre el administrador del sitio de Internet, sino sobre el operador de
la red social que pone a su disposición la inserción del botón con respecto a
las operaciones de tratamiento relativas a las demás fases, anteriores o
posteriores a las operaciones de recogida y transmisión (apdo. 101).
III. Relaciones entre el proveedor de la red social y los sitios web en
los que se inserta el botón
La consideración
de los administradores de sitios web como responsables conjuntamente del
tratamiento parece coherente con el objetivo de una elevada protección del
derecho fundamental a la protección de datos personales, que condiciona el
contenido e interpretación de la legislación de la UE en la materia. Se trata
de un resultado que implica importantes obligaciones y responsabilidades para
los administradores de sitios web en circunstancias en las que, habida cuenta
de la configuración de sus relaciones con la red social, de cómo ésta ha
promovido la inserción del botón en cuestión, y del desequilibrio existente en
muchas ocasiones, tales obligaciones y responsabilidades pueden resultar
especialmente gravosas para los administradores de ciertos sitios web. Al
margen de la delimitación del alcance de la corresponsabilidad en el
tratamiento de datos, las relaciones entre el proveedor de la red social y los
sitios web en los que se inserta el botón quedan al margen del contenido de la
sentencia, aunque sí incluye ciertas afirmaciones relevantes a este respecto.
En particular,
en su apartado 74 se apunta que además de las consecuencias del eventual
incumplimiento de las obligaciones derivadas de su condición de responsable
–conjunto- con respecto a las operaciones de recogida y transmisión de datos
personales de sus visitantes, el administrador del sitio web se encuentra
expuesto a “una eventual responsabilidad civil prevista en el Derecho nacional
al respecto”. Por otra parte, en el apartado 80, al caracterizar las relaciones
entre el proveedor de la red social y el administrador del sitio de Internet,
se señala que “Fashion ID, al insertar tal botón en su sitio de Internet, parece haber consentido, al menos
implícitamente, la recogida y la comunicación por transmisión de datos
personales de los visitantes de su sitio, ya que esas operaciones de
tratamiento se efectúan en interés económico tanto de Fashion ID como de
Facebook Ireland, para quien el hecho de poder disponer de esos datos para sus
propios fines comerciales constituye la contrapartida de la ventaja ofrecida a
Fashion ID” (beneficiarse de una mayor publicidad en la red social) (apdo. 80).
En
estas circunstancias, cabe entender que, al menos en determinadas situaciones,
la relación existente entre la red social que diseña, promueve y se beneficia
de la inserción del botón y el administrador del sitio web, en particular en lo
relativo a la información previa recibida por éste antes de insertar el botón
en su sitio de Internet, puede ser fundamental en el marco de eventuales
reclamaciones frente a la red social por parte del administrador en relación
con responsabilidades a las que éste tenga que hacer frente (o por parte
directamente de terceros). En la actualidad el artículo 26 RGPD regula la
corresponsabilidad en el tratamiento de datos personales. Establece que: “Los corresponsables
determinarán de modo transparente y de mutuo acuerdo sus responsabilidades
respectivas en el cumplimiento de las obligaciones impuestas por el presente
Reglamento, en particular en cuanto al ejercicio de los derechos del interesado
y a sus respectivas obligaciones de suministro de información…” Además, en su
apartado 2 precisa que ese acuerdo “reflejará debidamente las funciones y
relaciones respectivas de los corresponsables en relación con los interesados.
Se pondrán a disposición del interesado los aspectos esenciales del acuerdo”.
Finalmente, su apartado 3 establece que, independientemente de los términos de
ese acuerdo “los interesados podrán ejercer los derechos que les reconoce el
presente Reglamento frente a, y en contra de, cada uno de los responsables”.
Es claro
que entre el proveedor de la red social que facilita generalizadamente la
inserción de ese tipo de botones entre administradores de página web y la gran
mayoría de esos administradores existente un desequilibrio, no solo en el poder
de negociación de ese tipo de acuerdos, sino en su participación en la
configuración de un mecanismo de ese tipo, que justifica que en las situaciones
típicas, sea el proveedor de la red social quien deba proporcionar
adecuadamente al administrador del sitio web toda la información precisa, para
que este pueda decidir, con conocimiento preciso previo de sus obligaciones y
eventuales responsabilidades, si inserta o no el botón. De no haber sido así (por
ejemplo, en el presente asunto, según parece, la red social implicada entendía que
la dirección IP del visitante se transforma en una dirección IP genérica y no
constituía un dato personal, apdos. 19 y 57 de las conclusiones del Abogado General), sin perjuicio de la
responsabilidad del administrador del sitio web frente a los afectados por el
tratamiento de sus datos –sobre la que trata la sentencia-, cabe entender que el
régimen de la eventual responsabilidad del proveedor de la red social frente a
los administradores de los sitios web en cuestión resultará, en su caso, también
de especial interés.
No obstante, este es un contexto
en el que diversos factores, incluida la falta de recursos y, en determinadas
situaciones, las cláusulas de elección de foro, pueden dificultar en la
práctica el ejercicio de acciones judiciales a título individual por los
administradores de sitios de Internet, como reconoció respecto de su ámbito de
actuación el considerando 44 del Reglamento (UE) 2019/1150, al que dediqué la
anterior entrada. Por ello, parafraseando el considerando 2 de este último Reglamento,
cabe afirmar que la introducción de mecanismos específicos para tutelar la
posición de los usuarios profesionales de redes sociales en situaciones de este
tipo, como las asociados a la inserción
de este tipo de módulos sociales, puede resultar apropiada para
contribuir a evitar actuaciones injustas de los proveedores de redes sociales
que perjudican los intereses legítimos de los usuarios profesionales y, de modo
indirecto, también de los afectados cuyos datos personales son tratados.
