Se abre el telón y aparece en tu web el botón «Me gusta» de Facebook… ¿Cómo se llama la película?
Averigüémoslo.
Antecedentes:
Ayer, 29 de julio de 2019 el TJUE publicaba por fin su esperada sentencia en el caso Fashion ID, que resuelve sobre temas de gran calado: concepto de corresponsabilidad, la relación entre la normativa de protección de datos y la de comunicaciones electrónicas, así como el consentimiento y el interés legítimo como bases de legitimación.
Fashion ID es una empresa de moda online en cuya web insertó el botón “Me gusta» de Facebook con el objetivo de obtener un mayor alcance publicitario.
¿Cómo funciona el botón?
En cuanto el usuario accede en la web de Fashion ID, el botón activado hace que automáticamente se transfieran a Facebook datos como la dirección IP, parámetros del navegador o la información relativa a cookies y otros rastreadores. Todo ello aunque el usuario ni siquiera haya pinchado al “Me gusta” o tenga cuenta en Facebook.
Hay más: todo ello también sin consentimiento y sin haber informado de ello.
Principales cuestiones planteadas
Para centrarnos en lo importante y llevar un hilo argumental me he permitido seleccionar las cuestiones, cambiar el orden y redactarlo a mi manera. Avisados quedáis. En todo caso, cualquier coincidencia con la realidad no es mera coincidencia, es porque, aunque sea finales de julio me he esforzado en que el resultado no cambie.
Al lío:
1. ¿Es el administrador de la página web -Fashion ID- responsable del tratamiento de los datos personales de los usuarios que realiza el proveedor del enlace externo -Facebook Ireland-?
Sobre esta cuestión cabe mucho debate y el resto de temas del caso dependen de ello.
Finalmente el TJUE se acoge a una interpretación muy amplia del concepto de responsable y declara que Fashion ID es corresponsable con Facebook porque decide incluir el botón en la página web y facilita el tratamiento, incluso aunque no tenga acceso a los datos personales transmitidos a Facebook. Sin embargo, sí limita su responsabilidad a la parte del tratamiento en la que interviene: la recogida de datos y su transmisión a Facebook.
Por el contrario, de las finalidades y tratamientos posteriores que lleve a cabo Facebook, solo este es responsable.
2. ¿Existe base de legitimación del tratamiento y cuál es?
Antes que nada: no hubo consentimiento del usuario y además hay dos cuestiones diferentes: la primera, en relación con cookies, que se rige bajo la normativa e-Privacy; y la segunda, en relación con el resto de datos personales, que se rige bajo la Directiva de protección de datos.
EN RELACIÓN CON LAS COOKIES:
Cuando el botón de una red social permite acceder y transmitir información derivada el uso de cookies y otros rastreadores, es de aplicación la Directiva e-Privacy que exige consentimiento del usuario cuando el tratamiento no sea necesario.
En otras palabras: Facebook, habría necesitado consentimiento en caso de que dicho tratamiento se haya llevado a cabo. Puesto que no se obtuvo el consentimiento, el tribunal nacional alemán que remitió las cuestiones al TJUE deberá analizar si se produjo el tratamiento de datos. Hagan sus apuestas.
EN RELACIÓN CON EL TRATAMIENTO DE DATOS PERSONALES:
A la vista de la falta de consentimiento, el TJUE “busca” otra base de legitimación, y esta únicamente podría ser el interés legítimo. Y aquí se vuelve a plantear, ¿el interés legítimo de quién, del administrador de la web -Fashion ID- o del proveedor -Facebook-? Siguiendo las conclusiones del Abogado General, el TJUE declara que han de tenerse en cuenta los intereses legítimos de ambos corresponsables.
El marketing puede constituir un interés legítimo, pero en la medida en que el Tribunal nacional no indica qué intereses alegaron las partes, el TJUE no entra a detallar nada sobre la necesidad de estos ni el ejercicio de ponderación. Una oportunidad perdida para clarificar el funcionamiento de esta base de legitimación, que es ambigua, incomprendida, amada por unos y demonizada por otros.
Esta cuestión me parece especialmente interesante porque el Tribunal busca una base de legitimación a posteriori. En mi opinión, esto podría ser válido bajo la Directiva 95/46 de protección de datos, ya derogada pero sobre la que se basa la sentencia. Sin embargo, esto no podría ser válido bajo el Reglamento de Protección de Datos (RGPD) que la sustituye. Ello es porque el RGPD exige informar de cuál es la base de legitimación antes del inicio del tratamiento. En otras palabras, la suerte de que el juez te encuentre la base de legitimación se ha acabado.
3. ¿Quién debe informar al usuario y obtener su consentimiento?
Según declara el TJUE es el administrador de la página web, Fashion ID, quien debe informar y solicitar el consentimiento, aunque únicamente para la parte del tratamiento de la que es corresponsable, esto es, respecto de la recogida y transmisión de datos a la red social. Sus obligaciones no se extienden al tratamiento de datos ulterior que realice la red social.
Ello porque es esta página web a la que accede el usuario.
Conclusiones:
La decisión es relevante por varios motivos:
Para empezar, hoy en día ¿quién no inserta un plug-in de tercero en su página web? Desde luego, cada día menos webs. Asimismo la decisión consolida el criterio jurisprudencial previo de los casos Wirtschaftsakademie y Testigos de Jeová en los que se ya flexibilizaba el concepto de responsable del tratamiento.
En otras palabras: insertar enlaces o botones de terceros en tu web ahora tiene un precio: la corresponsabilidad. El problema de ello, como ya anticipaba el Abogado General en sus conclusiones del caso es que, en la práctica, una interpretación tan amplia del concepto de responsable puede causar que “cuando todos son responsables en realidad nadie es responsable”.
Sin embargo, solo el tiempo dirá qué implicaciones prácticas tiene esta decisión. Parece que Fashion ID ya ha actuado y, según informa en su política de privacidad, los plug-in y enlaces a redes sociales se encuentran desactivados y no transmiten datos hasta que el usuario los activa.
Minipunto para Fashion ID por el cumplimiento de los principios de protección de datos desde el diseño y por defecto.
Por último, el caso se ha decidido bajo lo dispuesto en la antigua Directiva de protección de datos. Sin embargo, la decisión puede influir casos similares regidos por el RGPD, pues la definición de responsable no ha sufrido cambios considerables.
Volviendo a lo que nos traía aquí… Se abre el telón y aparece el botón “Me gusta” de Facebook en tu página web. ¿Cómo se llama la película?
Dos webs y un destino.