Primer fallo del TJUE sobre el concepto del responsable de tratamiento de datos después de la aplicación efectiva del RGPD

El TJUE considera responsable del tratamiento de datos al administrador de un sitio de internet

Noticia

El administrador de un sitio de Internet que inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales del visitante puede ser considerado responsable del tratamiento,

protección de datos-privacidad-LOPD-RGPD

Los hechos que generan esta sentencia se producen cuando una empresa alemana de comercio electrónico dedicada a la venta de prendas de vestir, insertaba en su sitio de Internet el botón «me gusta» de Facebook. Dicha inserción parece tener como consecuencia que, cuando un visitante consulta el sitio de Internet de la empresa alemana, se transmiten a Facebook Ireland datos personales de ese visitante. Una transmisión que se efectúa sin que dicho visitante sea consciente de ello y con independencia de si es miembro de la red social Facebook o de si clicó en el botón «me gusta».

Esta empresa alemana era denunciada por una asociación en defensa de los consumidores alemanes contraria al hecho de se hubieran transmitido a Facebook Ireland datos de carácter personal de los visitantes de su sitio de Internet. Por un lado, no existía el consentimiento de estos últimos y, por otro, se estaban incumpliendo las obligaciones de información establecidas en las disposiciones relativas a la protección de los datos personales.

El Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania solicita al Tribunal de Justicia la interpretación de varias disposiciones de la Directiva sobre protección de datos de 1995 aplicables a este asunto y que fue derogada por el Reglamento general de protección de datos de 2016 aplicable desde el 25 de mayo de 2018.

Responsabilidad de recogida y transmisión de datos

En su sentencia del 29 de julio, el Tribunal de Justicia precisa, en primer lugar, que la antigua Directiva sobre protección de datos no se opone a que se permita a las asociaciones de defensa de los intereses de los consumidores ejercitar acciones judiciales contra el presunto infractor de la protección de los datos personales. El Tribunal de Justicia destaca que el Reglamento general de protección de datos establece ahora expresamente tal posibilidad.

El Tribunal de Justicia señala, en segundo lugar, que no parece que pueda considerarse a la empresa alemana responsable de las operaciones de tratamiento de datos efectuadas por Facebook Ireland tras su transmisión a esta última. En efecto, queda excluido, de primeras, que esa empresa determine los fines y los medios de esas operaciones.

En cambio, la empresa alemana puede ser considerada responsable junto con Facebook Ireland de las operaciones de recogida y de comunicación por transmisión a Facebook Ireland de los datos en cuestión, dado que puede considerarse.

En particular, parece que la inserción del botón «me gusta» de Facebook en el sitio de Internet de la empresa alemana le permite optimizar la publicidad para sus productos al hacerlos más visibles en la red social Facebook cuando un visitante de su sitio de Internet clica en dicho botón. Es para poder beneficiarse de esta ventaja comercial por lo que  al insertar tal botón en su sitio de Internet, parece haber consentido, al menos implícitamente, la recogida y la comunicación por transmisión de datos personales de los visitantes de su sitio. Por lo tanto, dichas operaciones de tratamiento parecen efectuarse en interés económico tanto de esta empresacomo de Facebook Ireland, para quien el hecho de poder disponer de esos datos para sus propios fines comerciales constituye la contrapartida de la ventaja ofrecida a la empresa alemana.

El Tribunal de Justicia subraya que el administrador de un sitio de Internet como corresponsable de determinadas operaciones de tratamiento de datos de los visitantes de su sitio, como la recogida de datos y su transmisión a Facebook Ireland, debe comunicar, en el momento en el que se recaban esos datos, determinada información a dichos visitantes, como, por ejemplo, su identidad y los fines del tratamiento.

El Tribunal de Justicia aporta asimismo precisiones a dos de los seis casos de tratamiento lícito de datos personales, previstos en la Directiva.

En el caso en el que el interesado ha dado su consentimiento, el Tribunal de Justicia declara que el administrador de un sitio de Internet debe solicitar dicho consentimiento previamente (únicamente) para las operaciones de las que es corresponsable, a saber, la recogida y la transmisión de datos.

Por lo que respecta a los casos en los que el tratamiento de datos es necesario para la satisfacción de un interés legítimo, el Tribunal de Justicia declara que cada uno de los corresponsables del tratamiento, es decir, el administrador del sitio de Internet y el proveedor del módulo social, debe perseguir, con la recogida y la transmisión de datos personales, un interés legítimo para que dichas operaciones queden justificadas.