El administrador de una página de fans de Facebook es responsable conjuntamente con Facebook del tratamiento de los datos de los visitantes de su página
En virtud de la Directiva 95/461, la autoridad de protección de los datos del Estado miembro en el que dicho administrador tiene su domicilio puede actuar tanto contra éste como contra la filial de Facebook establecida en ese mismo Estado
La sociedad alemana Wirtschaftsakademie Schleswig-Holstein está especializada en el ámbito de la educación. Ofrece servicios de formación, entre otros, mediante una página de fans2 alojada en Facebook en la dirección www.facebook.com/wirtschaftsakademie.
Los administradores de páginas de fans, como la Wirtschaftsakademie, pueden obtener estadísticas anónimas sobre los visitantes de esas páginas mediante una herramienta denominada Facebook Insight, que Facebook pone gratuitamente a su disposición conforme a condiciones de uso no modificables. Estos datos se recogen gracias a ficheros testigo («cookies»), cada uno de los cuales contiene un código de usuario único; estos ficheros permanecen activos durante dos años y son almacenados por Facebook en el disco duro del ordenador o en cualquier otro soporte de los visitantes de la página de fans. El código de usuario, que puede vincularse a los datos de conexión de los usuarios registrados en Facebook, se recoge y trata en el momento en que se abren las páginas de fans.
Mediante resolución de 3 de noviembre de 2011 el Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autoridad regional independiente de protección de datos de Schleswig-Holstein, Alemania), en su condición de autoridad de control encargada, en virtud de la Directiva 95/46 sobre protección de datos, de vigilar la aplicación en el territorio del Land de Schleswig-Holstein de las disposiciones adoptadas por Alemania en aplicación de dicha Directiva, ordenó a la Wirtschaftsakademie que desactivara su página de fans. En efecto, según el Unabhängiges Landeszentrum, ni la Wirtschaftsakademie ni Facebook informaban a los visitantes de la página de fans de que Facebook recogía mediante cookies datos personales a su respecto y de que posteriormente trataban esos datos.
La Wirtschaftsakademie interpuso un recurso contra esta resolución ante los tribunales de lo contencioso-administrativo alemanes, alegando que no le era imputable el tratamiento de datos personales efectuado por Facebook y que tampoco había encargado a Facebook que realizara un tratamiento de datos bajo su control o en el que ella pudiera influir. En consecuencia, la Wirtschaftsakademie estimaba que el Unabhängiges Landeszentrum debería haberse dirigido directamente contra Facebook y no contra ella.
En este contexto, el Bundesverwaltungsgericht (Tribunal Supremo de lo Contencioso-Administrativo, Alemania) solicitó al Tribunal de Justicia que interpretara la Directiva 95/46 sobre la protección de datos.
En su sentencia dictada el 5 de junio de 2018, el Tribunal de Justicia observa para empezar que en este caso no se pone en duda que la sociedad americana Facebook y, respecto a la Unión, su filial irlandesa Facebook Ireland, deben considerarse «responsables del tratamiento» de los datos personales de los usuarios de Facebook, así como de las personas que visitan las páginas de fans alojadas en Facebook. En efecto, estas sociedades determinan, con carácter principal, los fines y los medios del tratamiento de esos datos.
Seguidamente, el Tribunal de Justicia declara que un administrador como la Wirtschaftsakademie debe ser calificado de responsable, conjuntamente con Facebook Ireland, del tratamiento de los datos en cuestión en el seno de la Unión.
En efecto, dicho administrador participa, mediante su acción de configuración (en función, en particular, de su audiencia destinataria, así como de objetivos de gestión o de promoción de sus actividades), en la determinación de los fines y de los medios del tratamiento de los datos personales de los visitantes de su página de fans. En particular, el Tribunal de Justicia señala a este respecto que el administrador de la página de fans puede solicitar la obtención (de forma anonimizada) ―y, por tanto, el tratamiento― de datos demográficos relativos a su audiencia destinataria (especialmente, de las tendencias en materia de edad, sexo, situación sentimental y profesión), información sobre el estilo de vida y los intereses de su audiencia destinataria (incluyendo información relativa a las compras y comportamiento de compras en línea de los visitantes de su página, así como a las categorías de productos o servicios que más les interesan), además de datos geográficos que permiten al administrador de la página de fans saber dónde efectuar promociones especiales u organizar eventos y, con carácter más general, dirigir de forma óptima su oferta de información.
Según el Tribunal de Justicia, el hecho de que un administrador de una página de fans utilice la plataforma ofrecida por Facebook para disfrutar de los servicios asociados a ésta no le exime de cumplir sus obligaciones en materia de protección de datos personales.
El Tribunal de Justicia subraya que el reconocimiento de una responsabilidad conjunta del operador de una red social y del administrador de una página de fans alojada en esa red en relación con el tratamiento de los datos personales de los visitantes de esa página de fans contribuye a garantizar una protección más completa de los derechos de que disponen las personas que visitan una página de fans, conforme a las exigencias de la Directiva 95/46 sobre la protección de datos.
Asimismo, el Tribunal de Justicia estima que, a fin de garantizar el cumplimiento en territorio alemán de las normas en materia de protección de datos personales, el Unabhängiges Landeszentrum es competente para hacer uso, no sólo frente a la Wirtschaftsakademie, sino también frente a Facebook Germany, de todos los poderes de que dispone en virtud de las disposiciones nacionales de transposición de la mencionada Directiva 95/46.
En efecto, cuando una empresa establecida fuera de la Unión (como la sociedad americana Facebook) dispone de varios establecimientos en diversos Estados miembros, la autoridad de control de un Estado miembro está facultada para ejercer los poderes que le confiere la Directiva 95/46 3 respecto a un establecimiento de dicha empresa situado en el territorio de ese Estado miembro, aun cuando, en virtud del reparto de funciones dentro del grupo, por un lado, el citado establecimiento (en el presente caso, Facebook Germany) únicamente se encargue de la venta de espacios publicitarios y de otras actividades de marketing en el territorio de dicho Estado miembro y, por otro lado, la responsabilidad exclusiva de la recogida y del tratamiento de los datos personales incumba, respecto de todo el territorio de la Unión, a un establecimiento situado en otro Estado miembro (en el presente caso, Facebook Ireland).
El Tribunal de Justicia añade que, cuando la autoridad de control de un Estado miembro (en el presente caso, el Unabhängiges Landeszentrum en Alemania) pretende ejercer frente a una entidad establecida en el territorio de ese Estado miembro (en el presente caso, la Wirtschaftsakademie) los poderes de intervención contemplados por la Directiva 95/46 4 debido a infracciones de las normas relativas a la protección de datos personales cometidas por un tercero, responsable del tratamiento de esos datos, que tiene su domicilio en otro Estado miembro (en el presente caso, Facebook Ireland), dicha autoridad de control es competente para apreciar, de manera autónoma respecto de la autoridad de control de este último Estado miembro (Irlanda), la legalidad del referido tratamiento de datos y puede ejercer sus poderes de intervención frente a la entidad establecida en su territorio sin instar previamente la intervención de la autoridad de control del otro Estado miembro.
Fuente: Tribunal de Justicia de la Unión Europea
1 Directiva 95/46/CE, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta Directiva ha sido derogada con efectos a 25 de mayo de 2018 por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
2 Las páginas de fans son cuentas de usuario que pueden ser configuradas en Facebook por particulares o empresas. Para ello, el creador de la página de fans, una vez registrado en Facebook, puede utilizar la plataforma gestionada por dicha red social para presentarse tanto a los usuarios de ésta como a las personas que visitan la página de fans y difundir todo tipo de comunicaciones en el mercado de los medios y de la opinión.