Togas.biz

En su sentencia de 29 de julio de 2019, el Tribunal de Justicia de la Unión Europea (“TJUE”), determina que, el administrador de un sitio web que incluya el módulo “me gusta” de una red social, a través del cual se transmiten datos personales al proveedor de este módulo, será considerado como responsable, en el sentido de la Directiva 95/46 (la “Directiva”), si bien únicamente con respecto a aquellas operaciones de tratamiento respecto de las cuales determine los medios y fines.

El presente caso surge cuando Fashion ID, empresa de comercio electrónico dedicada a la venta de prendas de vestir, insertó en su sitio de internet el módulo social “me gusta”, de la red social Facebook. De la resolución del tribunal remitente se desprende que, cuando un visitante consulta el sitio web de Fashion ID, se transmiten datos personales a Facebook Irlanda, debido a que incorpora este botón. Esta transmisión de datos personales se produce sin que el visitante sea consciente de ello y con independencia de si es miembro de la red social Facebook o de si clicó en el citado botón “me gusta”.

En este contexto, Verbraucherzentrale NRW, asociación de utilidad pública de defensa de los intereses de los consumidores, ejercita una acción de cesación ante el Tribunal Regional de lo Civil y Penal de Düsseldorf en contra de Fashion ID, con el objeto de que pusiese fin a la transmisión de datos personales de los visitantes de su sitio web, sin su consentimiento y sin haber procedido a informar del tratamiento de datos personales.

En estas circunstancias, el Tribunal Superior Regional de lo Civil y Penal de Düsseldorf solicita al TJUE la interpretación de varias disposiciones de la Directiva.

En primer lugar, el órgano jurisdiccional remitente, se pregunta si el administrador de un sitio de Internet, como Fashion ID, que inserta un módulo como el botón de “me gusta”, que permite recoger datos personales, puede ser considerado responsable de tratamiento de datos personales de acuerdo con la Directiva.

Al respecto, el TJUE señala que, en los casos en que exista responsabilidad conjunta de un determinado tratamiento, no supone que los diversos agentes tengan una responsabilidad equivalente, sino que pueden estar implicados en distintos grados y etapas del tratamiento de los datos. En consecuencia, Fashion ID no será responsable de las operaciones de tratamiento anteriores o posteriores a su participación, respecto de las cuales no determine los fines ni los medios de tratamiento.

No obstante, en el marco del litigio principal, el TJUE considera que Fashion ID, al insertar en su sitio web el módulo “me gusta”, influye de manera decisiva en el tratamiento en la recogida y transmisión de los datos personales en favor de Facebook Ireland, siendo ambos conjuntamente, responsables del tratamiento de los datos. Asimismo, el TJUE considera que el tratamiento de datos redunda en beneficio publicitario y promocional tanto de Fashion ID como de Facebook Ireland, siendo que ambos determinan conjuntamente los fines de las operaciones de tratamiento controvertidas, que se realizan en su respectivo interés económico.

El TJUE concluye que, el administrador de un sitio web como Fashion ID, que inserta en dicho sitio un módulo como “me gusta” que permite que los datos personales de los visitantes se trasmitan al proveedor de dicho módulo, puede ser considerado responsable del tratamiento de datos, limitando esta responsabilidad a la operación de tratamiento cuyos fines y medios determina, en este caso, la recogida y comunicación de los datos.

En el mismo sentido responde el TJUE a las siguientes cuestiones prejudiciales. En concreto, el TJUE señala que, dado que tanto Fashion ID como Facebook Ireland deben ser considerados conjuntamente como responsables del tratamiento, incumbe a cada uno de ellos el cumplimiento de las obligaciones de información y obtención del consentimiento de las actividades de tratamiento para las que determinen los medios y fines.

Así, y dado que el consentimiento debe darse con anterioridad a la recogida y a la comunicación de los datos del interesado, incumbe a Fashion ID, y no a Facebook Ireland, obtener el consentimiento, en la medida en que es el hecho de que un visitante consulte el sitio de Internet lo que desencadena el proceso de tratamiento de datos personales. De otra forma, no se garantizaría una protección eficaz y oportuna de los derechos de los interesados si el consentimiento solamente se diera al corresponsable que interviene de forma posterior, en el caso de auto, Facebook Ireland. No obstante, el consentimiento que debe prestarse se refiere únicamente a la operación al conjunto de operaciones de tratamiento de datos cuyos fines y medios determina efectivamente.

Por lo que respecta a aquellas operaciones de tratamiento de datos necesarias para la satisfacción de un interés legítimo, el TJUE declara que cada uno de los corresponsables, esto es, Fashion ID y Facebook Ireland, deben perseguir un interés legitimo para que estas operaciones queden justificadas.

Alejandro Negro Consejero

Marta Zaballos Asociada