El pasado 19 de diciembre de 2018, se publicó la edición provisional del documento de conclusiones del Abogado General del Tribunal de Justicia de la Unión Europea (TJUE), Michal Bobek sobre el asunto C-40/17 (caso Fashion ID GmbH & Co. KG contra Verbraucherzentrale NRW eV) en la que recoge sus apreciaciones a las preguntas planteadas por el Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, sobre el caso.

Antecedentes

 

El citado caso versa sobre una tienda online de moda (Fashion ID) que insertó en su tienda online un plug-in para mostrar el botón “Me gusta” de Facebook, de forma que, cuando un usuario accede a la página de Fashion ID y sin necesidad de interactuar con el citado botón, se envía a Facebook la IP del usuario y la secuencia (o identificación) del navegador de éste, independientemente de si el usuario es, a su vez, miembro de Facebook. Además, Facebook procedería a la instalación de cookies en el navegador del usuario (DATR y FR), que según el informe “Facebook Tracking Through Social Plug-ins” preparado por un grupo de expertos para la autoridad belga de protección de datos en junio de 2015, remitirían a Facebook un identificador único del navegador (DATR) y el ID de Facebook cifrado del usuario registrado, junto con el identificador único del navegador (FR).

El caso viene motivado por la demanda interpuesta por Verbraucherzentrale NRW eV (la demandante), una asociación alemana de protección de los intereses de los consumidores, que consideraba que dicho plug-in infringía la normativa sobre protección de datos. Concretamente, la demandante basaba su demanda en los siguientes puntos:

  1. Falta de información “de forma expresa y visible a los usuarios de la página web de la finalidad de la recogida de los datos así transmitidos y del uso de estos hasta el momento en que el proveedor del plug-in comienza a acceder a la dirección IP y a la secuencia del navegador del usuario”.
  2. Falta de consentimiento antes de que se produzca el tratamiento de los datos.
  3. Falta de información del derecho a revocar el consentimiento.

Así, el Tribunal Superior Regional de lo Civil y lo Penal de Düsseldorf, plantea al TJUE una serie de dudas sobre el caso. Entre dichas dudas se encuentra si la entidad administradora de Fashion ID debe ser considerada responsable del tratamiento con respecto al tratamiento de datos derivado del plugin.

Opinión del Abogado General

 

El Abogado General examina los conceptos de tratamiento y de responsable del mismo, conforme a la Directiva 95/46 (recordemos que este caso es anterior a la entrada en vigor del RGPD). Así, “responsable del tratamiento” comprende a toda persona que, «sol[a] o conjuntamente con otr[a]s, determine los fines y los medios del tratamiento de datos personales».

Del mismo modo, antes de pronunciarse, el abogado toma en consideración dos sentencias recientes del TJUE sobre el asunto.

Por un lado, se refiere a la Sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16), en la que se dictaminó la corresponsabilidad conjunta con Facebook del administrador de una página de fans en dicha red social, en tanto en cuanto ambos son los que delimitan los fines y los medios del tratamiento. En cuanto a los fines, el administrador de la página de fans, opta por configurar la página para facilitar la captación de determinados datos de sus usuarios por medio de cookies, para la elaboración de estadísticas, lo que, a su vez, permitía a Facebook la mejora de su sistema de publicidad. Precisamente, esa acción de configuración de la página de fans, fue determinante a la hora de considerar como corresponsable al administrador de la misma. Con respecto a los medios del tratamiento, es claro que el administrador de la página de fans opta voluntariamente por utilizar dicho medio para la recogida de datos.

Por otro lado, se remite también a la Sentencia de 10 de julio de 2018, Jehovan todistajat (C-25/17), en la que el Tribunal de Justicia realizó otra apreciación crucial con respecto al concepto de corresponsabilidad del tratamiento: “para que exista control conjunto y responsabilidad conjunta no es preciso que cada uno de los responsables tenga acceso a (todos) los datos personales de que se trate”. Por ejemplo, en el caso de referencia, “eran los miembros de la comunidad de los Testigos de Jehová quienes tenían la posesión física de los datos personales. Bastaba con que la actividad de predicación durante la cual se habían recabado los datos estuviese organizada, coordinada y fomentada por dicha comunidad” para considerar que ambas partes eran corresponsables del tratamiento.

El uno por el otro, la casa sin barrer

 

La aplicación de los estrictos criterios del TJUE, al considerar la corresponsabilidad en los casos apreciados, nos deja en una situación problemática.

El Abogado General apunta uno de los peligros de hacer una interpretación demasiado amplia del concepto de corresponsable, conforme a los criterios del TJUE, ya que una atribución de responsabilidad sobre una cosa a muchas partes, implica que en realidad nadie es responsable, facilitando conductas comúnmente conocidas como “escurrir el bulto”.

La duda generada sobre qué obligación incumbe a quién, puede implicar “una imposibilidad real de que un eventual corresponsable del tratamiento cumpla la normativa aplicable”, según el Abogado General. Entonces, ¿cómo podemos delimitar la responsabilidad de cada corresponsable? Es en este punto, cuando el Abogado se plantea la opción de que los corresponsables deban suscribir un contrato entre ellos en el que se delimiten dichas responsabilidades, algo que ya se recoge en el artículo 26 del RGPD, sin embargo, concluye que sería descabellado pensar que todos los administradores de páginas web que incluyen un botón de “Me gusta” de Facebook tuvieran que firmar un contrato de corresponsabilidad con éste, amén de su falta de capacidad o fuerza negociadora frente a la red social.

Fines y medios ¿quién es responsable de cada cosa?

 

Hasta aquí, según el criterio del TJUE, parece claro que ambas Fashion ID y Facebook deben ser tenidas como corresponsables del tratamiento. No obstante, lo que no resulta tan claro es si ambas entidades deben ser corresponsables de todo. No debemos olvidar que Fashion ID no tiene control ninguno de la información que Facebook recaba a través del plug-in que Fashion ID ha colocado en su página web.

Por ello, el Abogado General examina la siguiente mención de la STJUE Wirtschaftsakademie Schleswig-Holstein “la existencia de una responsabilidad conjunta no se traduce necesariamente en una responsabilidad equivalente de los diversos agentes a los que atañe un tratamiento de datos personales [sino que] esos agentes pueden presentar una implicación en distintas etapas de ese tratamiento y en distintos grados, de modo que el nivel de responsabilidad de cada uno de ellos debe evaluarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto”. De ello se desprende, según la opinión del Abogado, que cada parte debería tener la responsabilidad justa que le corresponde en función de su participación en las operaciones de tratamiento que se realicen conjuntamente como corresponsables:

“Un responsable (conjunto) del tratamiento tiene responsabilidad por la operación o la serie de operaciones en relación con las cuales comparta o codetermine los fines y los medios respecto a una determinada operación de tratamiento. En cambio, esa persona no puede ser considerada responsable ni de las fases anteriores ni de las posteriores de la cadena de tratamiento con respecto a las cuales no estuviera en condiciones de determinar ni los fines ni los medios.”

Conclusiones

 

En el caso que nos ocupa, la opinión del Abogado General es que tanto Fashion ID como Facebook deben ser consideradas corresponsables del tratamiento de las operaciones de tratamiento que realizan de forma conjunta, puesto que considera que en este caso existe una “unidad de fines” y de medios.

En cuanto a los fines, Fashion ID ocasiona voluntariamente la recogida del dato por parte de Facebook con el deseo de aumentar la visibilidad de sus productos, mientras que Facebook utiliza los datos con sus propios fines comerciales.

Por lo que respecta a los medios, Fashion ID ha escogido voluntariamente disponer en su página web del botón “Me gusta” de Facebook. Precisamente esta elección, junto con la unidad de fines anterior, pone a Fashion ID en la posición del responsable del tratamiento con respecto a dicha recogida de datos.

Del mismo modo, el Abogado considera que la responsabilidad de Fashion ID “debe limitarse a la fase del tratamiento de datos en la que participa, y que no se puede extender a todas las eventuales fases ulteriores del tratamiento si se producen fuera de su control y, según parece, incluso sin su conocimiento”.

 

Víctor Méndez

Legal Department

Áudea Seguridad de la Información