Sentencia C-40/17 del TJUE: ¿qué implicaciones tiene el botón "me gusta" en materia de protección de datos?

La sentencia C-40/17 dictada por el Tribunal de Justicia de la Unión Europea ha arrojado luz acerca de las implicaciones que esta común herramienta de las redes sociales tiene en materia de protección de datos para los administradores de las páginas web que incorporan este plug-in social en las mismas.

El asunto se inicia cuando el Tribunal Regional de lo Civil y Penal en Düsseldorf (Alemania) solicita al Tribunal de Justicia de la Unión Europea ("TJUE") la interpretación de varias disposiciones contenidas en la ya derogada (por la entrada en vigor del Reglamento General de Protección de Datos) Directiva de Protección de Datos, a raíz del litigio surgido entre Fashion ID GmbH & Co. KG ("Fashion ID"), empresa alemana dedicada a la venta de ropa online, y Verbraucherzentrale NRW Ev (la "Demandante"), una asociación alemana que se dedica a la defensa de los intereses de los consumidores. Aunque lo cierto es que en la sentencia se dirimen diversas cuestiones, algunas de tipología procesal, centraremos el presente artículo en analizar las implicaciones que tiene para un administrador de una página web la incorporación en la misma del módulo "me gusta" que, en definitiva, constituye el grueso principal de la citada sentencia.

El punto de partida de este caso es la inserción, por parte de Fashion ID, del citado módulo de la red social Facebook en su página web, a través del cual los usuarios pueden indicar su agrado con un determinado contenido incluido en la misma. De la lectura de la sentencia, se desprende que cuando un usuario accede y consulta la página web de Fashion ID, ya sea éste miembro o no de dicha red social, y sin necesidad de interactuar con el citado botón, se transmiten a Facebook Ireland datos de carácter personal (IP del usuario e identificación del navegador de éste), debido a la incorporación del plug-in social en la web.

Como consecuencia de lo anterior, la Demandante, al entender que no se están respetando los derechos de los usuarios en materia de protección de datos y que Fashion ID no está actuando de conformidad con lo dispuesto en la Directiva de Protección de Datos, inicia el presente litigio, que fundamenta en (i) la ausencia de información a los usuarios de la página web de la finalidad de la recogida y uso de los datos personales hasta el momento en que el proveedor del plug-in – Facebook Ireland – comienza a acceder a los mismos, (ii) la no solicitud de consentimiento a los usuarios antes de que se produzca el tratamiento de datos, y (iii) la inexistencia de información del derecho a revocar el consentimiento.

En esencia, la cuestión prejudicial que se remite al TJUE plantea si, en un caso como el que nos ocupa, en el que el administrador de una página web (en este caso, Fashion ID) incorpora en la misma un módulo social que permite que el navegador del usuario visitante de la web de Fashion ID solicite contenidos del proveedor del módulo (Facebook Ireland) y transmita a Facebook Ireland lo datos de carácter personal de los usuarios le resultan de aplicación las obligaciones que se describen en la Directiva de Protección de Datos.

Pues bien, ante tal cuestión y para analizar el asunto, el TJUE hace hincapié en varias cuestiones, tales como el concepto de "responsable de tratamiento", y recalca que el mismo se refiere al organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales y que la responsabilidad conjunta de varios agentes respecto a un mismo tratamiento no supone que cada uno de ellos tenga acceso a todos los datos personales en cuestión, sino que pueden estar implicados en el tratamiento de datos en distintas etapas y en distintos grados, de modo que la responsabilidad de cada uno de ellos deberá evaluarse teniendo en cuenta las circunstancias del caso concreto.

Dicho lo anterior, el TJUE considera que Fashion ID es corresponsable del tratamiento con Facebook Ireland en la medida en que aquel ha insertado en su página web el módulo "me gusta" permitiendo, por lo tanto, la recogida y transmisión de datos personales de los usuarios de la web a Facebook Ireland, sean éstos miembros o no de dicha red social. En concreto y sin perjuicio de la comprobación que debe llevar a cabo el órgano jurisdiccional nacional, Fashion ID actúa como responsable del tratamiento de los datos en la fase de recogida y transmisión de los mismos a Facebook Ireland y, en consecuencia, es Fashion ID quien debe solicitar el consentimiento a los usuarios e informarles de los fines del tratamiento respecto a las operaciones que ésta lleva a cabo (esto es, la recogida y la comunicación por transmisión de los datos).

Otra de las cuestiones perjudiciales planteadas es la relativa a la existencia del interés legítimo del administrador de la página y del proveedor del módulo social, aspecto que a nuestro modo de ver el TJUE no entra a analizar en profundidad.

A la espera de que los tribunales alemanes dicten sentencia en este caso, la opinión emitida por el TJUE viene, por una parte, a reforzar los derechos de los usuarios en el ámbito de las páginas web y, por otra, crea precedente en cuanto al modo de proceder y las obligaciones de los administradores de las mismas respecto a éstos populares plug-in sociales que entendemos son de aplicación bajo el Reglamento General de Protección de Datos.