En las últimas fechas los escándalos de Facebook sobre la protección de datos se han convertido en un tema recurrente, más aún con la reciente plena aplicación del Reglamento Europeo de Protección de Datos. Al margen de la repercusión social, las prácticas de la popular red social no son una novedad para los tribunales europeos, en concreto el Tribunal de Justicia de la Unión Europea (TJUE) ya ha tenido la oportunidad de pronunciarse en varias ocasiones acerca de la legitimidad de los tratamientos de datos que realiza Facebook.
La última cuestión en la que la compañía estaba implicada ha sido resuelta el pasado 5 de Junio. La novedad de esta sentenciaradica en que se considera al administrador de una web corresponsable junto con Facebook del tratamiento de datos que a través de la página se llevan a cabo.
Los hechos que fundan la decisión del TJUE parten de la gestión de una página de fans por la sociedad privada alemanda Wirtschaftsakademie. La página alojada en Facebook recopilaba estadísticas anónimas sobre los visitantes mediante una herramienta gratuita que Facebook facilitaba, Facebook Insight. El problema llegó porque no se informaba del uso de cookies ni del posterior tratamiento de los datos, por ello la autoridad de control de protección de datos alemana (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein), en adelante UDL, al conocer la situación ordenó a Wirtschaftsakademie que desactivara la página. La resolución del ULD fue recurrida por la empresa sin éxito.
Wirtschaftsakademie acudió a los tribunales contencioso-administrativos alegando que no le era imputable el tratamiento de datos personales realizado por Facebook y que no había encargado a Facebook ningún tratamiento de datos, por lo que el ULD debió dirigirse directamente contra Facebook y no contra ella. El órgano jurisdiccional dio la razón a la sociedad alemana. El asunto fue pasando a estancias superiores a medida que el ULD recurría las decisiones desfavorables, hasta llegar al Tribunal Supremo Contencioso-Administrativo de Alemania. El ULD exponía que se había vulnerado el apartado quinto del artículo 38 de la BDSG al no dar curso a la orden que esta misma autoridad había emitido. Dicha orden se fundaba en subsanar una infracción cometida por la sociedad: “había encargado la realización, el alojamiento y el mantenimiento de un sitio de Internet a un proveedor (concretamente, Facebook Ireland) que resultaba inadecuado por no haber respetado el Derecho aplicable a la protección de datos.”
El Tribunal Supremo alemán no consideraba a la sociedad Wirtschaftsakademie responsable del tratamiento en el sentido del artículo 2, letra d), de la Directiva 95/46. No obstante entiende que debe interpretarse en sentido amplio el derecho a la intimidad. A ello se suman las dudas del tribunal acerca de la incidencia, a efectos del ejercicio de los poderes de intervención del ULD, de las apreciaciones realizadas por la autoridad de control a la que está sujeta Facebook Ireland en cuanto a la legalidad del tratamiento de los datos personales en cuestión.
El órgano jurisdiccional decidió plantear al TJUE varias cuestiones prejudiciales solicitando que interpretara la Directiva 95/46 sobre la protección de datos:
– ¿Se puede considerar responsable de tratamiento al administrador de una página de fans alojada en una red social?
– ¿Es competente la autoridad de control de protección de datos para intervenir ante infracciones en esta materia cometidas por un tercero responsable del tratamiento que tiene su domicilio en un Estado miembro distinto del de la autoridad de control?
¿Qué ha dicho el TJUE?
La respuesta a las primeras cuestiones prejudiciales fue que “el artículo 2, letra d), de la Directiva 95/46 debe interpretarse en el sentido de que el concepto de «responsable del tratamiento», en el sentido de esa disposición, comprende al administrador de una página de fans alojada en una red social.”
Alguno de los argumentos que respaldan esta decisión es que el administrador de la página obtiene un beneficio de la labor de Facebook a efectos de la gestión de la promoción de su actividad. Además entiende el TJUE que “la creación de una página de fans en Facebook implica por parte de su administrador una acción de configuración (…). El administrador puede definir los criterios a partir de los cuales deben elaborarse las estadísticas e incluso designar las categorías de personas cuyos datos personales serán objeto de explotación por Facebook”, considerando que el administrador contribuye al tratamiento.
Sobre la otra duda planteada resuelve que “el artículo 4, apartado 1, letra a), y el artículo 28, apartados 3 y 6, de la Directiva 95/46 deben interpretarse en el sentido de que, cuando la autoridad de control de un Estado miembro pretende ejercer frente a una entidad establecida en el territorio de ese Estado miembro los poderes de intervención contemplados en el artículo 28, apartado 3, de la referida Directiva debido a infracciones de las normas relativas a la protección de datos personales cometidas por un tercero responsable del tratamiento de esos datos que tiene su domicilio en otro Estado miembro, dicha autoridad de control es competente para apreciar, de manera autónoma respecto de la autoridad de control de este último Estado miembro, la legalidad del referido tratamiento de datos y puede ejercer sus poderes de intervención frente a la entidad establecida en su territorio sin instar previamente la intervención de la autoridad de control del otro Estado miembro”.
Para concluir, podemos apreciar que esta sentencia es un reflejo de una de las novedades introducidas por el Reglamento General Europeo de Protección de Datos. El artículo 26 de esta norma regula la figura de los corresponsables del tratamiento:
“Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento”.
Gracias a esta previsión se amplían las garantías de protección de los afectados ya que un corresponsable puede ser obligado a asumir las responsabilidades de otro corresponsable incumplidor. También beneficia a las empresas que comparten bases de datos, pudiendo repartirse las obligaciones sin que cada responsable tenga que asumir individualmente todos los deberes exigidos por la norma.