15 de Diciembre de 2019 | 11:09
LEGAL TODAY. POR Y PARA ABOGADOS
 

Herramientas para el texto

Civil

31 de Julio de 2019

Luxemburgo acoraza la responsabilidad del Me gusta

En su interacción con las redes sociales, el usuario de redes sociales se ha visto impelido a firmar un “cheque en blanco”, pues los propietarios de éstas licuaban toda responsabilidad a través de las grietas legales.

Laura Caballero Trenado,
Profesora Doctora en la UNIR


Pero, a golpe de sentencia, el Alto Tribunal europeo está sin prisa pero sin pausa poniendo "coto" a ciertas prácticas y, con ello, reforzando la protección de los usuarios de redes sociales; incluso, de aquéllos que, sin saberlo, a través de las posibilidades técnicas como un plug in para mostrar un botón de Like que permite capturar, trazar y tratar datos desde otra web, se convierten en usuarios de facto de una red social.

En cumplimiento de una de sus principales funciones -la interpretación en un contexto de conflicto entre el Derecho europeo y el Derecho nacional-, el Tribunal de Justicia de la Unión Europea (TJUE) resuelve en fechas recientes (Sentencia de 29 de julio; Case 40/17) una cuestión prejudicial en la que se pronuncia sobre la responsabilidad la delimitación y el alcance del tratamiento de datos personales en el caso de los Likes.

En apretada síntesis, los hechos del caso son los siguientes. Una tienda alemana de moda online llamada Fashion ID instala en su site un plug in que muestra el módulo social Me gusta de Facebook. De este modo, la web detecta la mera "entrada" del usuario en la web y envía tanto la dirección IP del usuario como la identificación de su navegador a la red social.

Y, tras esta visita, el usuario no se marcha con las "manos vacías", puesto que Facebook le obsequia con unas cuantas cookies que inserta en su navegador, de manera que el sitio web puede consultar la actividad previa del navegador. Así, la red social detecta no sólo el número de likes sino, incluso, si el usuario está o no en ese momento en Facebook. En cualquier caso, todo el proceso se realiza con independencia de que el usuario sea miembro o no de la red social.

Los expertos aseguran que Facebook emplea unas doce cookies, una tecnología de almacenamiento sobre la que los propietarios de las redes sociales habían esgrimido hasta ahora su cualidad de temporal -información que expiraría al final de la sesión de navegación-, para soslayar cualquier responsabilidad, pero que tiene vocación de permanencia (https://www.facebook.com/policies/cookies/).

En este caso concreto, se da la circunstancia que Facebook habría procedido a la instalación en el navegador del usuario de datr y fr que junto con lu, excepcionan la trasnochada excusa de la temporalidad, pues duran nada menos que hasta dos años.

Una asociación de consumidores de Alemania -la NRW- demanda a Fashion ID por transmitir a Facebook datos personales de usuarios sin su consentimiento.

En esencia, éste es el relato fáctico que tienen que sustanciar los cinco magistrados del Tribunal Superior Regional de lo Civil y Penal de la ciudad alemana de Düsseldorf quienes, ante las dudas razonables que les surgen con relación a la interpretación del Derecho europeo, deciden elevar una cuestión prejudicial ante el TJUE para que éste aclare el asunto.

En total, la cuestión prejudicial gira en torno a varias preguntas de naturaleza mixta. La primera, de naturaleza jurídico-procesal, se centra en torno a determinar si las entidades públicas de usuarios tienen legitimación activa para ejercitar acciones judiciales en defensa de los intereses de los perjudicados.

Hasta ahora, los propietarios de las redes sociales argumentaban en los tribunales que los usuarios no pagan y que, por lo tanto, no pueden tener la condición de "consumidor".

Una importante Resolución que guarda muchas similitudes con el presente caso del Tribunal de Gran Instancia de París, de 7 de agosto de 2018 (Sentencia 14/07300), que resuelve a favor de los consumidores al entender que, si bien los usuarios no pagan por el servicio, el uso de la plataforma [léase Twitter] no es gratuito, enerva la justificación de los propietarios de las redes sociales.

En el caso que nos ocupa, el órgano jurisdiccional remitente albergaba dudas acerca de si la Directiva 95/46 permite que las asociaciones de utilidad pública ejerciten acciones judiciales para defender los intereses de los perjudicados. En su opinión, el artículo 24 de esa Directiva no niega la capacidad procesal de las asociaciones, toda vez que, a tenor de este artículo, los Estados miembros adoptarán las "medidas adecuadas" para garantizar la plena aplicación de dicha Directiva (apdo. 35). Este punto sobre la legitimación de la Asociación de consumidores alemana queda resuelta con pronunciamiento favorable a sus intereses por parte del TJUE.

Y, despachada la cuestión procesal, el Alto Tribunal entra a pronunciarse sobre el fondo del asunto.

La segunda cuestión versa, en esencia, si el administrador de Fashion ID puede ser considerado responsable del tratamiento, en el sentido del artículo 2, letra d), de la Directiva 95/46, siendo así que dicho administrador no tiene influencia alguna en el tratamiento de los datos transmitidos de ese modo al referido proveedor (apdo. 64).

Tras examinar los conceptos de tratamiento y de responsable del mismo conforme a la Directiva 95/46 y a pronunciamientos anteriores, deduce que "responsable del tratamiento" comprende a toda persona que, "sola o conjuntamente con otras, determine los fines y los medios del tratamiento de datos personales".

Un matiz importante. El TJUE examina la Directiva porque éste es el instrumento normativo que tiene que estudiar porque el Reglamento General de Protección de Datos entra en vigor posteriormente.

Más cuestiones. El Órgano jurisdiccional alemán también pregunta acerca de si el administrador de una web inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales del visitante, es preciso tener en cuenta, a efectos de la aplicación del artículo 7, letra f), de la Directiva 95/46, el interés legítimo perseguido por dicho administrador o el interés legítimo perseguido por el proveedor (apdo. 87).

El TJUE echa mano de un pronunciamiento anterior (Sentencia de 4 de mayo de 2017, C‑13/16, apdo. 28) para recordar que dicho precepto establece tres requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, en primer lugar, que el responsable del tratamiento o el tercero o terceros a los que se comuniquen los datos persigan un interés legítimo; en segundo lugar, la necesidad del tratamiento de datos personales para la satisfacción del interés legítimo perseguido, y, en tercer lugar, el requisito de que no prevalezcan los derechos y libertades fundamentales del interesado.

Por último, el Alto Tribunal se pronuncia acerca de las cuestiones de las obligaciones que deben asumir el administrador y el proveedor y, también acerca del consentimiento.

Según el criterio del TJUE, tanto Fashion ID como Facebook deben ser tenidas como corresponsables del tratamiento.

Entrando en detalle, el Órgano jurisdiccional europeo se inclina por atribuir al administrador la obligación de informar tanto sobre su identidad como de la finalidad para la que recabará sus datos, así como de solicitar el consentimiento previo para la recogida y tratamiento de datos. En otras palabras, coloca a Fashion ID en la posición de responsable de tratamiento de datos con respecto a la recogida de éstos.

Por lo anterior, según el TJUE a Facebook no le corresponde solicitar dicho consentimiento "en la medida en que es el hecho de que un visitante consulte ese sitio de Internet lo que desencadena el proceso de tratamiento de datos personales" (apdo. 102) y ello, por cuanto citando una de las conclusiones del Abogado General "no sería coherente con una protección eficaz y oportuna de los derechos del interesado que el consentimiento solamente se diera al corresponsable del tratamiento que interviene posteriormente, a saber, al proveedor de dicho módulo" (Ibidem).

En definitiva, aunque esta Resolución apuntala las jambas del pórtico de la responsabilidad de las empresas que insertan likes en sus sites, al obligarles a solicitar autorización a sus usuarios para ceder sus datos a Facebook, abre la veda a dudas interpretativas en torno al alcance y la delimitación del grado de la responsabilidad tanto del administrador como del proveedor, pues en la corresponsabilidad a menudo se coagulan algunas obligaciones.


Laura Caballero Trenado,
Número de artículos del autor 7
Posicionamiento en el ranking de contenidos 527

  • Comparte esta noticia en linkedin

Te recomendamos

  • ARANZADI FUSION

    Aranzadi Fusión

    Aranzadi Fusión es el primer y único ecosistema legal con todo lo que necesitas para la transformación digital y gestión integral de tu despacho, combinando tecnología e información inteligente. Todo ello en la nube y con la mayor seguridad para ayudarte a cumplir con la nueva normativa RGPD en base a estos tres niveles: legal, técnico y organizativo.

Publica tus contenidos

Comparte opiniones, artículos y sentencias de actualidad con el resto de los profesionales del sector.

publicar | ¿Estás registrado?| Registrate

 
 

Hemos actualizado nuestra Política de Privacidad. Antes de continuar por favor lea nuestra nueva Declaración de Privacidad. Además utilizamos cookies propias y de terceros para mejorar nuestros servicios y poder ofrecerle las mejores opciones mediante el análisis de la navegación. Si continúa navegando, consideramos que acepta su uso. Para más información pulse aquí.   Aceptar