Corresponsable por instalar el botón “me gusta” de Facebook y utilizar los datos personales obtenidos sin autorización (STJE de 29-07-2019, Fashion ID (C-40/17)

1. Hechos

Fashion ID GmbH & Co. KG., empresa alemana de comercio electrónico dedicada a la venta de prendas de vestir, insertó en su tienda online el módulo social “me gusta” de la red social Facebook, comúnmente conocido como botón “me gusta”. Con estos módulos o botones en una web, el navegador del usuario que accede a ella transmite al servidor del proveedor externo, en este caso Facebook, la IP de su ordenador, datos técnicos del navegador e información sobre el contenido deseado.

La recogida y transmisión de los datos sucede sin que el administrador del sitio, aquí Fashion ID, pueda determinar los datos que se transmiten ni lo que después el proveedor externo hace con esos datos. Además, en el presente caso, esto ocurría sin necesidad de que el visitante tuviera perfil en Facebook ni de que pinchara en el botón “me gusta”. Sin embargo, también con la recogida y transmisión de los datos, Fashion ID buscaba obtener publicidad de su marca, productos y/o servicios en la red social Facebook.

Verbraucherzentrale NRW, asociación de utilidad pública de defensa de intereses de los consumidores (la Asociación), interpuso acción de cesación, ante el Tribunal Regional de lo Civil y Penal de Düsseldorf, contra Fashion ID para que esta cesara en la transmisión de los datos personales de los visitantes de su sitio web a Facebook sin haber obtenido su consentimiento ni haber facilitado la información requerida conforme a la normativa sobre protección de datos y el Tribunal estima parcialmente la demanda.

Fashion ID recurre al Tribunal Superior Regional alegando, entre otras cosas, que no debe ser considerada responsable del tratamiento al no tener influencia alguna en los datos transmitidos ni en el uso que posteriormente haga Facebook de ellos.

El Tribunal Superior plantea al TJ varias cuestiones prejudiciales, entre las que destacamos las siguientes:

• Quién debe considerarse responsable del tratamiento, si el proveedor externo que pone a disposición de los administradores de páginas web el botón “me gusta” o módulo similar, o el titular de la web que lo inserta, aunque no pueda influir en la operación de tratamiento de datos.
• A quién deben los visitantes de la web dar su consentimiento para el tratamiento de sus datos, al administrador de la web o al proveedor externo.
• Si el titular de la página web debe facilitar la información relativa al tratamiento de datos referido.

2. Pronunciamientos

El TJ considera:

• La definición amplia del concepto de “responsable” que pretende la Directiva 95/46/CE.
• Que responsable no tiene por qué ser un único agente, sino que cabe la corresponsabilidad.
• Que no es necesario que la corresponsabilidad exista respecto a todas las operaciones que pueden englobarse en un tratamiento de datos.
• Que el no tener acceso a los datos no impide ser considerado responsable del tratamiento.

Con ello, el TJ entiende que Fashion ID y Facebook determinan ambos los medios que originan las operaciones de recogida y de comunicación por transmisión de los datos, por lo que son corresponsables, si bien respecto de esas concretas operaciones de recogida y transmisión de los datos, no pudiendo ser considerado Fashion ID responsable de lo que posteriormente Facebook haga con esos datos.

Consecuencia lógica es que Fashion ID debe, previamente a la recogida y transmisión de los datos, obtener el consentimiento de los visitantes de su web y facilitar a éstos la información exigida, si bien referidas ambas obligaciones únicamente a las operaciones de tratamiento cuyos fines y medios efectivamente determina el administrador del sitio, entre las que están la recogida y transmisión a Facebook.

3. Comentario

El Reglamento General de Protección de Datos (RGPD), que deroga a la Directiva 95/46/CE, recoge expresamente la figura de corresponsables del tratamiento y exige que éstos determinen de modo transparente y de mutuo acuerdo sus responsabilidades de protección de datos respecto al tratamiento.

La sentencia fija la corresponsabilidad entre los sitios web que implementan algún módulo social y los proveedores externos de dichos módulos. Esto es de gran relevancia ya que actualmente casi todas las páginas web tienen instalados módulos de este tipo u otros dispositivos como las cookies y tienen la obligación de arbitrar los mecanismos de información a sus visitantes y de obtención del consentimiento de éstos en relación con el uso que hará de sus datos personales, entre los que debe incluirse la recogida y transmisión de los mismos a los respectivos proveedores externos. Del mismo modo, quedan obligados a demostrar la determinación con los proveedores externos de sus responsabilidades en materia de protección de datos y sujetos al resto de obligaciones de cualquier responsable de un tratamiento de datos.