Dicha inserción parece tener como consecuencia que, cuando un visitante consulta el sitio de Internet de Fashion ID, se transmiten a Facebook Ireland datos personales de ese visitante.
Este fallo, que hizo público el Tribunal de Justicia de la Unión Europea (TJUE), responde a la cuestión prejudicial de un tribunal alemán que planteó si Fashion ID, empresa de comercio electrónico que se dedica a la venta de prendas de vestir que insertó en su sitio de Internet un botón de «me gusta» de la red social Facebook, y la propia Facebook Ireland, pueden ser corresponsables del tratamiento de datos.
De acuerdo con el TJUE, el consentimiento debe pedirlo el administrador de la web, no Facebook, aunque ambos sean responsables porque es la primera web a la que el usuario entra.
En esta oportunidad se observa que no existía ni interés legítimo ni base de legitimación.
Para Elena Gil, experta en protección de datos y miembro del colectivo Secuoya “habrá que ver cuál es su repercusión en la práctica, porque ese asunto es anterior al RGPD».
«Lo que si ha quedado demostrado que meterte en una página donde hay un botón de me gusta que enlaza en este caso con Facebook ya le transmites todos tus datos”.
Al parecer el colocar este tipo de botones no es necesario llegar a algún acuerdo con Facebook, “bastaría con pegar en un tu web un trozo de código”.
La sentencia se refiere al caso de la empresa alemana Fashion ID que vende ropa por Internet y fue denunciada hace años por la asociación de consumidores NRW por trasmitir a Facebook los datos personales de los visitantes de su web sin su consentimiento.
Fashion ID puso en su web un botón me gusta que redirigía a Facebook, sin que los visitantes hubieran sido informarles en virtud de las normas europeas de protección de datos.
Los visitantes a la web no fueron conscientes y con independencia de si es miembro de la red social Facebook o de si clicó en el botón «me gusta».
Dicha inserción parece tener como consecuencia que, cuando un visitante consulta el sitio de Internet de Fashion ID, se transmiten a Facebook Ireland datos personales de ese visitante.
El Tribunal Superior Regional de lo Civil y Penal de Dusseldorf, al que llegó el caso, pidió al TJUE una cuestión prejudicial que aclarase el asunto.
En la sentencia que se conoció este lunes señala que las empresas que incorporan el botón ‘me gusta’ de Facebook en sus páginas web también son responsables de la recogida y transmisión de sus datos personales de sus visitantes y deben informarles y pedir su autorización para ello.
El Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania), que conoce del litigio, solicitaba al Tribunal de Justicia la interpretación de varias disposiciones de la Directiva sobre protección de datos de 1995.
Esto resulta aplicable a este asunto y que fue derogada por el Reglamento general de protección de datos de 2016 2 aplicable desde el 25 de mayo de 2018.
Corresponsabilidad
En su sentencia que se dio a conocer el lunes, el TJUE precisa, en primer lugar, que la antigua Directiva sobre protección de datos no se opone a que se permita a las asociaciones de defensa de los intereses de los consumidores ejercitar acciones judiciales contra el presunto infractor de la protección de los datos personales.
El Tribunal de Justicia destaca que el Reglamento General de Protección de Datos (RGPD) establece ahora expresamente tal posibilidad.
El fallo del TJUE señala, en segundo lugar, que no parece que pueda considerarse a Fashion ID responsable de las operaciones de tratamiento de datos efectuadas por Facebook Ireland tras su transmisión a esta última.
En efecto, queda excluido, de primeras, que Fashion ID determine los fines y los medios de esas operaciones.
En cambio, Fashion ID puede ser considerada responsable junto con Facebook Ireland de las operaciones de recogida y de comunicación por transmisión a Facebook Ireland de los datos en cuestión.
Puede considerarse (sin perjuicio de las comprobaciones que debe efectuar el Oberlandesgericht Düsseldorf) que Fashion ID y Facebook Ireland determinan, conjuntamente, sus medios y sus fines.
Para Gil “la cuestión principal del caso es analizar el grado de corresponsabilidad existente una web de comercio online y Facebook por un tratamiento de datos que la mayor parte lo hace la propia Facebook. Con este fallo sí se considera responsable a la red social, lo que sigue marcando la tendencia actual sobre estos temas”.
En dicha sentencia se indica que Fashion ID, al insertar tal botón en su sitio de Internet, parece haber consentido, al menos implícitamente, la recogida y la comunicación por transmisión de datos personales de los visitantes de su sitio.
Por lo tanto, dichas operaciones de tratamiento parecen efectuarse en interés económico tanto de Fashion ID como de Facebook Ireland, para quien el hecho de poder disponer de esos datos para sus propios fines comerciales constituye la contrapartida de la ventaja ofrecida a Fashion ID.
Falta de legitimación
Sobre otro tipo de obligaciones derivadas de este asunto, nuestra experta aclara que “lo primero es ver si hay una base de legitimación para el tratamiento de nuestros datos. La principal es el consentimiento que en este caso no se pidió».
«Hay ciertos datos, sobre todo derivados de las cookies que solo se pueden tratar con el consentimiento del usuario. Aquí no hubo consentimiento y el TJE le pide al tribunal nacional si hubo ese tratamiento de datos y que actúe en consecuencia”.
En cuanto al resto de datos personales “pueden tratarse desde el consentimiento u otras bases de legitimación. Aquí el TJUE busca si existe una base de legitimación sobre la situación que no se pidió el consentimiento. En este caso busca un interés legítimo».
«Sin embargo, ante la falta de datos del tribunal nacional, el TJUE le pide al tribunal nacional que también investigue si existe ese interés legítimo”, destaca esta jurista.
Gil recuerda que “con el RGPD actual en la mano, la interpretación es que esta acción no se podría hacer. Debería tenerse la base de legitimación desde el primer momento y haber informado sobre ello a los interesados. En este caso no lo había”.
Al parecer Fashion ID actualizó su política de privacidad antes de conocer el fallo final “de tal forma que ese botón social está desactivado. Si se entra en la web no hay esa transmisión de datos, alegan».
«Solo se hace la transmisión de datos cuando el usuario activa el botón voluntariamente, lo que tiene que ver con el consentimiento expreso”, explica Gil.
«Hay que recordar que este caso se juzga teniendo presente la directiva de 1995 porque el caso es anterior al RGPD en el momento que lleguen otros asuntos más próximos es muy posible que las empresas sean sancionadas duramente si no tienen esa base de legitimación que se pide desde el RGPD».
Elena Gil advierte que en la sentencia apenas se habla de interés legítimo “es un concepto relativamente incomprendido y sobre el que el TJUE no entra en mucho detalle. Ha sido una oportunidad perdida para clarificar realmente cómo funciona dicho interés legítimo”.
A su juicio “esta práctica es muy extendida la de colocar botones de otras empresas “lo que no queda claro es si los usuarios saben que los datos se trasmiten automáticamente según entras en la citada web. EN ese caso la web tiene una responsabilidad importante, aunque los datos vayan al final a Facebook”.
El TJUE subraya al final que el administrador de un sitio de Internet como FashionID, como corresponsable de determinadas operaciones de tratamiento de datos de los visitantes de su sitio, como la recogida de datos y su transmisión a Facebook Ireland.
A este respecto “queda claro que la pagina web es responsable de una parte inicial del tratamiento de datos que es la recogida de lo datos y la transmisión automática de los datos a Facebook».
«El tratamiento y las finalidades que Facebook haga de esos datos únicamente es responsabilidad de Facebook”, comenta nuestra interlocutora.
Para Gil “la sentencia amplia el concepto de responsable y por otro lo restringe a unas fases muy iniciales del tratamiento».
«Al mismo tiempo recuerda que este tipo de webs debe comunicar, en el momento en el que se recaban esos datos, determinada información a dichos visitantes, como, por ejemplo, su identidad y los fines del tratamiento”.
ALD/Confilegal