Pese a ir referida al régimen de la Directiva
95/46/CE, sustituida desde el pasado día 25 por el ya muy popular RGPD, la esperada
sentencia en el asunto C-210/16, Wirtschaftsakademie Schleswig-Holstein (ECLI:EU:C:2018:388),
adoptada hoy por el Tribunal de Justicia, presenta también en alguna de las
cuestiones que trata un gran interés de cara a la aplicación futura del RGPD.
Básicamente, son tres los ámbitos que aborda la sentencia. Primero, la
determinación de en qué medida los usuarios de servicios proporcionados por
redes sociales a través de los cuales la red social capta mediante cookies datos
personales de quienes acceden a los contenidos que difunde el usuario –en el
caso concreto se trataba de una entidad que ofrecía servicios de formación
mediante una página de fans alojada en Facebook- son responsables junto con la
red social del tratamiento de los datos personales captados a través de dichas
cookies. La trascendencia de esta cuestión es evidente, pues una respuesta
afirmativa –como la que da el Tribunal- implica que los usuarios de tales
servicios queden obligados en tanto que responsables y puedan eventualmente ser
objeto de sanciones y de medidas para retirar los servicios que ofrecen a
través de la red social. En segundo lugar, la sentencia concreta qué
establecimientos pueden ser considerados relevantes en relación con la
exigencia de responsabilidad a una red social con una estructura como Facebook,
con una sociedad matriz de un tercer Estado (EEUU), pero con un establecimiento
principal para Europa en un Estado miembro (Irlanda) y establecimientos con
funciones mucho más limitadas en otros Estados miembros. Pese a que el RGPD
altera radicalmente la situación previa, al unificar la normativa aplicable y
adoptar un principio de ventanilla única, el criterio adoptado
por el TJUE en lo relativo a la determinación del establecimiento de cara a la
determinación de la autoridad de control competente en virtud del artículo 4 y
concordantes de la Directiva ya derogada, resulta de interés, en
particular, en la medida en que puede facilitar la interposición de
demandas civiles transfronterizas frente a redes sociales en el marco del RGPD. Por último, la
sentencia aborda también aspectos relativos al alcance de los poderes de las
respectivas autoridades de control nacionales, cuestión que sí se ve
radicalmente alterada en el nuevo RGPD.
I. Los usuarios de servicios de redes sociales que incluyen webtracking como responsables
del tratamiento de los datos personales recabados por las cookies de la red
social
Alejándose del
criterio del órgano remitente y alineándose con la postura de la autoridad de
control de protección de datos de Schleswig-Holstein
y con las conclusiones del Abogado General, el Tribunal de Justicia establece
que el concepto de «responsable del tratamiento» del artículo 2.d), de la
Directiva 95/46 comprende al administrador de una página de fans alojada en una
red social. Se trata de un resultado que se proyecta también sobre la
definición de ese mismo concepto contenida en el artículo 4.7 del RGPD. Más allá
de que obviamente la responsabilidad del usuario del servicio de la red social
no afecta a que también lo sea la propia red social que coloca las cookies y
capta los datos a través de ella, así como que el nivel de responsabilidad de
ésta pueda ser mayor, la principal aportación de la Sentencia a este respecto
es confirmar la condición de responsable del tratamiento de esos datos de quien
emplea un servicio del tipo de una página alojada en una red social. En consecuencia,
el usuario del servicio, en tanto que responsable, queda obligado –conjuntamente
con la red social-, por ejemplo, a proporcionar la información relevante a
quienes acceden a su servicio.
Este resultado
es producto de una interpretación amplia del concepto de responsable, considerada
ya en la jurisprudencia previa como necesaria para asegurar una protección
adecuada del derecho fundamental a la protección de datos, y que permite
incluir a los varios actores que participen en el tratamiento. Aunque sea la
red social la que determina con carácter principal los fines del tratamiento, elabora
las condiciones de prestación del servicio (a las que estos usuarios se
adhieren), decide instalar las cookies, efectúa en exclusiva el tratamiento de
los datos de las personas que visitan las páginas en cuestión… el Tribunal
concluye que quien crea una página de fans en la red social contribuye a
determinar los fines y los medios del tratamiento de los datos personales de
los visitantes de dicha página, en particular en la medida en que ofrece a
Facebook la posibilidad de colocar cookies en los dispositivos de quienes
visitan su página de fans (apdo. 35). La configuración de su página y los
objetivos de promoción de sus actividades se consideran determinantes para
concretar la audiencia destinataria; a estos efectos el Tribunal destaca que el
usuario puede definir los criterios para la elaboración de las estadísticas anonimizadas
creadas a partir de los datos recabados por la red social y de las que se
beneficia (apdo 36). Esta conclusión no se ve afectada por la circunstancia de
que el administrador de la página (responsable del tratamiento) no tenga acceso
a los datos personales recabados sino únicamente a estadísticas anonimizadas.
Un elemento
relevante para valorar el criterio adoptado por el Tribunal de Justicia es que se
trata de un enfoque que evita ventajas competitivas en relación con la
prestación de ese tipo de servicios, pues como ya señaló el Abogado General, “no
se debe distinguir entre una empresa que dote a su sitio de Internet de
herramientas análogas a las propuestas por Facebook y la que se una a la red
social Facebook para disfrutar de las herramientas que ésta ofrece” y “es perfectamente razonable esperar que las
empresas sean diligentes a la hora de escoger sus proveedores de servicios” (apdo.
64 de las Conclusiones). En relación con esta diligencia, el carácter de
responsables conjuntos de la red social y del usuario del servicio facilita que
en la práctica la red social deba esforzarse por configurar la prestación del
servicio de modo que asegure que quienes acceden y son afectados por el
tratamiento reciben la información precisa, particularmente en aquellas
situaciones en las que la propia configuración del servicio restrinja la
posibilidad de que el usuario del mismo facilite la información a quienes
acceden, así como cuando el usuario no emplea cookies adicionales ni facilita
que las empleen terceros. Desde la perspectiva de su responsabilidad, la red
social se encuentra a este respecto en una posición muy diferente a la que
puede ocupar en relación con los contenidos difundidos en la página alojada en
sus servicios (pues en relación con estos puede beneficiarse de la limitación
de responsabilidad prevista en el artículo 14 Directiva 2000/31 –art. 16 LSSI-).
En todo caso,
la sentencia no despeja todas las dudas para el futuro. Por una parte, porque
el concepto de responsable del tratamiento se basa en asignar responsabilidades
en función de la capacidad de influencia en relación con el fin y el modo de
tratamiento de los datos (por ejemplo, apdo. 46 de las Conclusiones), lo que
aboca a un análisis casuístico. Por otra parte, no es raro que quienes recurren
a servicios similares, que permiten la captación por el proveedor de datos de
quienes acceden a los contenidos de sus usuarios –beneficiándose estos de la
posibilidad de consultar ciertos datos estadísticos anonimizados-, no sean
operadores económicos o empresas, como en el presente caso (aspecto destacado
especialmente en las Conclusiones, por ejemplo, en su apdo. 64). En tales
circunstancias, pueden plantearse dificultades adicionales, por ejemplo, de
cara a concretar si en el caso concreto una persona física que utiliza el
servicios de alojamiento puede beneficiarse de que el tratamiento se considere
efectuado en el ejercicio de actividades exclusivamente personales o domésticas,
a los efectos de la no aplicación del RGPD en virtud de la excepción prevista
en su artículo 2.c).
II. Determinación del establecimiento de la red social a los efectos de
posibles demandas
A
diferencia de la Directiva 95/46, el nuevo Reglamento establece un mecanismo de
ventanilla única, de modo que un responsable que efectúa tratamiento
transfronterizos, pese a tener establecimientos en varios Estados miembros, estará
básicamente sometida a una autoridad de control principal (en realidad el
sistema del RGPD sobre este particular es complejo y ya me he referido al mismo
en varias ocasiones en este blog, pero no me extenderé ahora sobre ello). Por
ello podría pensarse que apenas resulta relevante a efectos del RGPD que la
sentencia de hoy establezca, como recoge el punto 2 de su fallo, que: “Los artículos 4 y 28 de la Directiva 95/46
deben interpretarse en el sentido de que, cuando una empresa establecida fuera
de la Unión dispone de varios establecimientos en diversos Estados miembros, la
autoridad de control de un Estado miembro está facultada para ejercer los
poderes que le confiere el artículo 28, apartado 3, de la mencionada Directiva
respecto a un establecimiento de esa empresa situado en el territorio de ese
Estado miembro, aun cuando, en virtud del reparto de funciones dentro del grupo,
por un lado, este establecimiento únicamente se encarga de la venta de espacios
publicitarios y de otras actividades de marketing en el territorio de dicho
Estado miembro y, por otro lado, la responsabilidad exclusiva de la recogida y
del tratamiento de los datos personales incumbe, para todo el territorio de la
Unión, a un establecimiento situado en otro Estado miembro.”
Además,
el resultado alcanzado sobre el particular por el Tribunal de Justicia no es
una sorpresa, ya que se corresponde con lo decidido en el asunto Google Spain –con la particularidad de
que Facebook, pese a ser la matriz estadounidense, dispone de un establecimiento
principal en la UE-, y es coherente con las sentencias en los asuntos Weltimmo y Verein für Konsummenteninformation.
Ahora bien,
esta interpretación del Tribunal de Justicia que viene a confirmar que Facebook
tiene un establecimiento en España también con respecto a tratamientos de datos
de los que es responsable Facebook Inc o Facebook Ireland resulta en la práctica
de gran importancia en el contexto actual de procesos civiles frente a Facebook
por la infracción de las normas sobre protección de datos. Es conocido que
entre las innovaciones que introduce el RGPD se encuentra la inclusión de una
norma especial de competencia judicial internacional en materia civil. Su art. 79.2 atribuye a los interesados que
consideren que sus derechos en virtud del RGPD han sido vulnerados la
posibilidad de demandar al responsable o al encargado del tratamiento ante los
tribunales de cualquier Estado en el que tengan un establecimiento, y alternativamente prevé que puedan demandar
ante los tribunales de su propia residencia habitual. Desde la perspectiva del
ejercicio de acciones por parte de los interesados, el art. 79.2 del RGPD
complementa los fueros disponibles en virtud del Reglamento 1215/2012 y
requiere que éstos se interpreten de modo que no priven de efecto útil al
artículo 79.2.
La
interpretación del concepto de establecimiento en la sentencia Wirtschaftsakademie Schleswig-Holstein viene
a confirmar el criterio –que ya había defendido en algún otro lugar- de que ese fuero de competencia
puede tener potencialmente un alcance muy amplio en demandas frente a redes
sociales con una estructura organizativa como la de Facebook, básicamente tratarse
de una empresa establecida fuera de la Unión que dispone de varios
establecimientos en diversos Estados miembros. Ante las carencias en materia de
acciones colectivas del Reglamento 1215/2012, puede presentar singular interés
la interpretación respecto de esas situaciones de las normas de competencia del
art. 79.2 del RGPD. El objetivo de garantizar los derechos de los afectados que
justifica el empleo del concepto amplio y flexible de establecimiento del RGPD
como fuero de competencia se corresponde con la circunstancia de que puede
servir para atribuir competencia a tribunales de Estados miembros que no la
tendrían con base en el art. 4 del Reglamento 1215/2012 –fuero general del
domicilio del demandado- o incluso otras normas de competencia de ese
instrumento o del propio RGPD, lo que podría ser de particular utilidad en relación con el
ejercicio de acciones colectivas por parte de interesados procedentes de
diversos Estados. La sentencia Wirtschaftsakademie
Schleswig-Holstein avala el criterio de que a los efectos del art. 79.2 del
RGPD cualquier establecimiento del responsable o del encargado en un Estado
miembro puede ser relevante para atribuir competencia, pues además no se exige,
frente al texto del art. 3.1 del RGPD, que la acción vaya referida a un
tratamiento que tiene lugar en el contexto de ese concreto establecimiento
(aunque puede plantearse la conveniencia de apreciar que su aplicación resulta compatible con
la exigencia de previsibilidad para el demandado).
