El planteamiento adoptado hace unas semanas por la AEPD para sancionar a
Facebook Inc. en su Resolución R/01870/2017, a la
que dediqué una entrada hace un mes,
ha sido en lo sustancial avalado por las conclusiones
del Abogado General Bot, presentadas anteayer. En concreto, así sucede en lo
relativo a la posibilidad de que el procedimiento sancionador por el
incumpliminto de la legislación española sobre protección de datos fuera dirigido
contra la matriz estadounidense, como responsable del tratamiento de datos
personales de los usuarios de Facebook residentes en España, y no contra la
filial española o la filial irlandesa con la que en principio están vinculados contractualmente
los usuarios de la red social situados en España. Ahora bien, las conclusiones
en el asunto C-210/16, Wirtschaftsakademie
Schleswig-Holstein, merecen atención no sólo en lo que concierne a la
determinación de la autoridad nacional competente y la legislación aplicable,
aspectos que son objeto de profunda modificación por el Reglamento (UE)
2016/679, general de protección de datos (RGPD), que deroga la Directiva
95/46/CE con efecto a partir del 25 de
mayo de 2018, sino también en un aspecto en el que cabe entender que resultan
más controvertidas y pueden llegar a tener un mayor impacto. En concreto, así
sucede en lo que respecta a la consideración como responsables del tratamiento,
junto a la propia red social, de ciertos usuarios de algunos servicios de una
red social incluso en situaciones en las que esos usuarios no tienen acceso a
los datos personales objeto de tratamiento.
En lo relativo a la competencia
y la ley aplicable, el núcleo de las cuestiones plateadas al Tribunal de
Justicia coincide con las abordadas al respecto en la mencionada resolución de
la APD. El Abogado General destaca que en el marco de la Directiva 95/47/CE el
que el responsable establecido en un tercer Estado [sociedad matriz de la red
social] tenga varios establecimientos en la Unión no es obstáculo para que la
autoridad de control de cualquier Estado miembro, aunque no sea el Estado
miembro donde cabe entender que se encuentra el establecimiento principal de la
red social en la Unión, sea competente –y aplique su propia ley- con respecto a
los tratamientos de datos por la matriz de red social en la medida en que tales
tratamientos tengan lugar en el marco de las actividades de su establecimiento
en el Estado miembro en cuestión, aunque ese establecimiento sea solo una
sociedad filial destinada a comercializar espacios publicitarios. Se trata de
un planteamiento coherente con el contenido del artículo 4 de la Directiva –según
el cual cuando un responsable está esblecido en varios Estados miembros cada
uno de esos establecimientos debe cumplir con el derecho nacional aplicable- y
el criterio adoptado por la sentencia del Tribunal de Justicia en el asunto Google Spain, si bien la peculiaridad
del nuevo asunto –al igual que en la mencionada resolución de la APD- es que la
red social sí dispone de un sede principal en Europa situada en un Estado
miembro (Irlanda) distinto de aquel cuya autoridad conoce del asunto (Alemania).
De cara el futuro, la situación sobre este particular sí se verá sustancialmente
alterada cuando resulte de aplicación el RGPD como consecuencia de la
instauración del llamado modelo de ventanilla única en el que se funda.
Presupuesto para establecer
esa conclusión es la apreciación por parte del Abogado General de que la
condición de responsable del tratamiento por parte de la red social recae
conjuntamente en Facebook Inc. y Facebook Ireland. La circunstancia de que la
filial irlandesa sea no solo el establecimiento principal en la Unión sino la entidad
con la que los usuarios celebran su contrato, no impide al Abogado General
apreciar que Facebook Inc. también determina de forma principal el fin y los
medios del tratamiento de datos por parte de la red social, para ello hace
referencia a que la matriz desarrolló el modelo económico general que hace
posible la obtención de datos personales cuando se consultan las páginas
integradas en la red social y su explotación para la difusión de publicidad,
así como que es quien ha designado a su filial irlandesa para encargarse del
tratamiento de los datos personales en la Unión y que datos de los usuarios
residentes en la Unión se transfieren a servidores de la matriz situados en
EEUU (apdos. 48 a 50 de las conclusiones).
Ahora bien, en lo relativo
a la determinación de los responsables del tratamiento el aspecto más controvertido
de las conclusiones es la extensión del concepto de responsable del tratamiento
para incluir a determinados usuarios de servicios de la red social –los operadores
econónicos administradores de páginas de fans de la plataforma ofrecida por
Facebook- en relación con datos personales de quienes visitan su página. Frente
al criterio del Bundesverwaltungsgericht,
que al formular las cuestiones prejudiciales partía de que los usuarios del servicio
de la red social que permite la creación y alojamiento de páginas de fans no
tienen la condición de responsables del tratamiento en el sentido del artículo
2.d) de la Directiva 95/46, el Abogado General rechaza esa premisa (apdos. 41 y
42 de las conclusiones).
Según el criterio del Abogado General, en la
medida en que las visitas de terceros a la página de fans hacen posible la
captación de datos personales de esos visitantes por parte de la red social y
la utilización de tales datos por Facebook para orientar la publicidad que se
muestra en su red social pero también para ofrecer prestaciones de las que se
beneficia quien crea la página de fans alojada en Facebook, por ejemplo,
información sobre audiencia relevante para la gestión de la promoción de su
actividad por el administrador de la página de fans. El Abogado General
considera que en circunstancias como las del litigio principal los usuarios de
la red social que son “operadores económicos” y crean páginas de fans determinan
–junto con Facebook Inc y Facebook Ireland- los fines y medios del tratamiento
aunque esos usuarios que crean una página alojada en la red docial no efectúen
el tratamiento de datos personales ni accedan a ellos, y con independencia de
lo establecido en el contrato entre la red social y el usuario de sus servicios
acerca de quien tiene la condición de responsable del tratamiento de los datos.
A estos efectos, destaca el Abogado General que la decisión del administrador
de una página de fans de crearla y explotarla en la red social es presupuesto
del tratamiento de los datos de los visitantes de esa página por parte de la
red social (apdo. 56), que el funcionamiento del servicio permite al
administrador de la página seleccionar las categorías de personas que serán
objeto de la recogida de datos (apdo. 57), así como que el empleo por un
operador económico de los servicios de una red social no le debe permitir
eludir la responsabilidad que en relación con el tratamiento tendría si optara
por emplear herramientas semejantes en una página propio (apdo. 64).
El planteamiento del
Abogado General incluye también la consideración como responsable del
tratamiento de quien integra en una página web la instalación de plugins -como el botón “me gusta” de
Facebook- que permitan la recogida de datos por terceros que después pueden ofrecerles información
estadística sobre los usuarios de su página (apdos. 69 y 70 de las conclusiones).
Con respecto a la potencial repercusión de este planteamiento en caso de ser
acogido por el Tribunal de Jusitica, interesa destacar que aparece en el texto
de las conclusiones limitado a la utilización de esos servicios por “operadores
económicos”. Además, el Abogado General pone de relieve que la responsabilidad
conjunta de esos operadores con la matriz y alguna otra sociedad del grupo
titular de la red social no impide apreciar que la intervención en el
tratamiento de los varios responsables y el grado de responsabilidad de cada
uno de ellos puede ser diferente (apdos. 74 y 75).
