El Tribunal de Justicia de la Unión Europea («TJUE») ha publicado recientemente, tras la petición del Tribunal Superior Regional de lo Civil y Penal de Dusseldorf (Alemania), una sentencia en donde declara que, si el administrador de un sitio web incluye el botón «me gusta» de Facebook, este y la red social serán considerados corresponsables del tratamiento de los datos que se generen con esa interacción.
HECHOS CONTROVERTIDOS
La empresa alemana Fashion ID, cuya actividad se centra en venta de ropa online, fue denunciada por una asociación de consumidores por transmitir datos a Facebook sin el consentimiento de los titulares. Al parecer, Fashion ID había insertado en su página web el botón «me gusta» de Facebook, lo que implicaría que, si los usuarios optaban por dar su – me gusta – a esta marca, se produciría una transmisión de los datos del visitante a Facebook, sin consentimiento (ni conocimiento) previo de este.
SENTENCIA
El TJUE ha dictaminado que: «Sí se puede considerar a Fashion ID responsable con Facebook de la recogida y transmisión de los datos personales a la red social al entender que determinan sus medios y fines conjuntamente.»
Esta decisión se fundamenta, según el tribunal, en que Fashion ID se beneficia comercialmente de esta tecnología al optimizar la publicidad de sus productos a través de la red social. De este modo, tanto Fashion ID como Facebook recibirían un beneficio económico, con una transmisión implícita de datos personales a la red social como contrapartida.
Pero entonces, ¿es el administrador de un sitio web con botón de «me gusta» responsable de tratamiento de esos datos? No. Sería un caso de corresponsabilidad (artículo 26 RGPD). Tanto Facebook como, en este caso, Fashion ID, deben cumplir con las obligaciones de información y obtención de consentimiento para las actividades de tratamiento de los datos que tratan (determinando medios y fines; con la relación existente con la red social).
STJUE de 29 de julio 2019, sobre el Asunto C‑40/17
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].