Skip to content

Las empresas con página en Facebook podrían ser corresponsables del tratamiento de datos de la red social.

23 November 2017

[Miquel Peguera. 23 Nov. 2017]

facebookUna empresa alemana del sector de la formación, Wirtschaftsakademie Schleswig-Holstein GmbH, abrió una “página de fans” en Facebook. En 2011, la autoridad regional de protección de datos le ordenó desactivar la página, porque ni dicha empresa ni Facebook advertían del uso de cookies mediante las que se recopilan y tratan los datos de los usuarios que acceden a la página. La empresa impugnó dicha resolución, alegando que no se le podía imputar ninguna vulneración de la normativa sobre protección de datos, ya que quien recopila y trata los datos mediante cookies es Facebook, si bien es cierto que la red social proporciona luego a la empresa unas estadísticas de audiencia con datos anónimos sobre el uso de la página. Se planteó, pues, la interesante cuestión de si quien abre una página en Facebook puede considerarse “responsable del tratamiento” que se lleva a cabo mediante dichas cookies, ya sea de modo conjunto con Facebook, ya sea en solitario (entendiendo entonces que Facebook trata los datos por cuenta de la empresa, actuando como un mero encargado del tratamiento).

Por una parte, es cierto que es Facebook quien, para sus propios intereses y fundamentalmente con fines de publicidad, decide depositar cookies para recopilar y tratar los datos de los visitantes de la página. Esto es algo que el administrador de la página no puede evitar, ya que suscribe con Facebook un contrato de adhesión en el que no tiene margen para negociar, y tampoco tiene ninguna posibilidad de control sobre el tratamiento que realiza Facebook. Por otra parte, es cierto también que el administrador de la página se beneficia de dicho tratamiento, al obtener las estadísticas de audiencia de la página, que incluyen datos demográficos que le permiten ajustar mejor su estrategia de comunicación.

El Tribunal Supremo de lo contencioso-administrativo examinó la cuestión y entendió que Wirtschaftsakademie no es responsable del tratamiento, puesto que no es quien “sólo, o conjuntamente con otros determin[a] los fines y medios del tratamiento de datos”, como establece la Directiva 95/46 (art. 2.d). Partiendo de esta premisa, formuló una cuestión prejudicial ante el TJUE en abril de 2016 (asunto C-210/16), preguntando, entre otras cosas, si la autoridad de protección de datos puede también actuar contra alguien que no es “responsable del tratamiento”, considerando que incurre igualmente en responsabilidad por haber contratado con Facebook sin asegurarse de que dicha red cumple con las normas de protección de datos.

El Abogado General (AG) Yves Bot ha presentado recientemente sus conclusiones sobre el caso. En ellas rebate el punto de partida del tribunal alemán y concluye que en realidad la empresa administradora de la página debe considerarse como “responsable del tratamiento”, conjuntamente con Facebook. Más específicamente, entiende que “debe considerarse que la Wirtschaftsakademie es responsable conjunta de la fase del tratamiento consistente en la recogida de datos personales por parte de Facebook.” (ap. 42). El AG ya avanza al principio de sus conclusiones el argumento de que si la empresa realizara por sí misma esa recopilación de datos de sus visitantes en una web propia, sin duda sería responsable de este tratamiento, y se pregunta si la decisión de abrir la página en Facebook para lograr en definitiva un resultado similar (aunque sea con datos anonimizados) basta para eludir toda responsabilidad en el tratamiento (ver ap. 11 y 65).

El AG recuerda que la jurisprudencia del TJUE interpreta el concepto de “responsable del tratamiento” en un sentido amplio, para garantizar el derecho fundamental a la protección de datos (así por ejemplo en el caso Google Spain, donde consideró que el buscador es responsable del tratamiento de los datos personales de los todos los sitios que indexa). Destaca también que el Grupo de Trabajo del Artículo 29 (Dictamen 1/2010) considera que “el concepto de responsable del tratamiento es un concepto funcional, destinado a asignar responsabilidades en función de la capacidad de influencia de hecho y, por tanto, está basado en un análisis de hecho más que formal”.

Pues bien, el AG considera que la empresa que abre la página de fans participa en la determinación de los fines y medios del tratamiento, y por ello debe considerarse también “encargada del tratamiento”. En este sentido destaca que el tratamiento que realiza Facebook no sería posible sin la decisión de la empresa de abrir la página, y que esta podría poner fin a dicho tratamiento cerrando la página. Señala además que Facebook permite al administrador de la página especificar el tipo de público al que desea dirigirse, y al hacerlo, este está ya predeterminando el conjunto de personas sobre las que se efectuará el tratamiento de datos. Concluye, por tanto, que el administrador de la página ejerce una influencia de hecho en la determinación de los fines y medios del tratamiento, lo que lleva a considerarle responsable conjunto de la fase del tratamiento consistente en la recogida de datos.

Habrá que ver si finalmente el TJUE convalida esta doctrina, lo que sin duda tendría relevantes repercusiones para las empresas que han decidido tener presencia en Facebook.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s

%d bloggers like this: