martes, 26 de septiembre de 2017

Redes sociales y autoridades nacionales de control en materia de protección de datos

        La reciente sanción impuesta a Facebook Inc. por la Agencia Española de Protecciónd de Datos (AEPD) es, como se desprende de la Resolución, resultado de un procedimiento en el que el ámbito de aplicación de la legislación española y en consecuncia la competencia de la AEPD han resultado controvertidos. La resolución va referida a ciertas prácticas de Facebook, plataforma accesible a través de la página https://es-es.facebook.com, a la que reenvía la página www.facebook.es (pág. 60 de la Resolución), y pone de relieve que se estima que Facebook tiene 21 millones de usuarios en España (pág. 91). Básicamente, la sanción deriva de la constatación del tratamiento de datos con fines publicitarias sin recabar el consentimiento así como a incumplimientos derivados de la no cancelación de la información. El procedimiento sancionador va dirigido contra la matriz estadounidense, como responsable del tratamiento de datos personales de los usuarios de Facebook, y no contra la filial española o irlandesa, pese a que esta última aparece como “controlador de datos responsable de la información” en la política de protección de datos (pág. 2) y la entidad con la que los usuarios que no residen en EEUU o Canadá celebran su acuerdo (pág. 3).


            Es conocido que el sometimiento a la legislación española de protección de datos -y la correlativa competencia de las autoridad de control- por parte de la matriz estadounidense -en tanto que responsable del tratamiento de datos- de un operador que cuenta en España con una filial dedicada fundamentalmente a tareas de comercialización de publicidad fue avalado por el Tribunal de Justicia en su célebre sentencia en el asunto Google Spain, referido a la aplicacón del mismo marco normativo que la Resolución de la AEPD reseñada, pendiente de ser sustituido por el Reglamento (UE) 2016/679, general de protección de datos (RPD), que deroga la Directiva 95/46/CE  con efecto a partir del 25 de mayo de 2018. La Resolución reseñada, al aplicar el marco normativo todavía vigente concluye, a partir de la doctrina Google Spain, que Facebook Inc efectúa el tratamiento como responsable de datos de usuarios de Facebook en España en el marco de las actividades de un establecimiento en el territorio español (su filial española), lo que resultaría determinante de la aplicación de la legislación española conforme al art. 4.1.a) de la  Directiva 95/46/CE. Pero además añade que Facebook Inc recurre a medios situados en España –como los propios equipos de los usuarios en los que almacena información mediante cookies- para el tratamiento. Como es sabido, en el régimen actual esta última circunstancia es determinante del sometimiento a la legislación europea/española de los responsables no establecidos en un Estado miembro. Se trata de un resultado que se corresponde con los criterios prevalentes de interpretación del artículo 4 de la Directiva 95/46/CE (art. 3 LOPD).

El elemento más peculiar del presente caso parece vincularse con la eventual interposición como (también) responsable de Facebook Ireland, al ser una entidad establecida en un Estado miembro, lo que lleva a Facebook Inc a afirmar que debe ser de aplicación la legislación irlandesa y competente la autoridad irlandesa de protección de datos. De hecho Facebook Inc afirma no realizar actividades en España (pág. 54). Ahora bien, a este respecto la Resolución pone de relieve que el conjunto de la red social se configura en torno a la matriz, a la que considera responsable última de toda la actividad en Internet de dicha plataforma; al tiempo que atribuye singular relevancia a la constatación en su hecho probado séptimo de que “al acceder a la página www.facebook.es, dominio registrado a nombre de Facebook Ireland, dicha página no existe, produciéndose un reenvío a la página es-es.facebook.com; comprobándose que el dominio facebook.com está registrado a nombre de Facebook Inc.” (págs. 60 y 69 de la Resolución). Más allá de la reproducción de cierta jurisprudencia relevante, relativa a la consideración de Google Inc. como responsable del tratamiento de datos en relación con el buscador Google, podría haber resultado de utilidad hacer también en ese apartado (págs. 69 a 71) referencia expresa más detallada al papel de Facebook Inc en la determinación de los fines y los medios del tratamiento.

De cara al futuro, cabe señalar que la aplicación del Reglamento (UE) 2016/679 y su opción por el modelo de ventanilla única implica cambios significativos con respecto a la competencia de las autoridades de control nacionales en situaciones en las que un responsable del tratamiento de datos tiene establecimientos en más de un Estado miembro de la Unión. En relación con los tratamientos transfronterizos opera el régimen especial de competencia previsto a favor de la autoridad de control principal (art. 56), si bien debe actuar conforme al procedimiento de cooperación con las autoridades de control interesadas (art. 60). No obstante, el nuevo Reglamento no introduce reglas específicas sobre la competencia de las autoridades de control respecto de los responsables que al no tener al menos un establecimiento en la Unión quedan al margen del mecanismo de ventanilla única, pese a que les pueda resultar aplicable el Reglamento en virtud de su artículo 3.2, incluso en situaciones en las que el tratamiento afecte a interesados de varios Estados miembros, de modo que puede quedar sometida al control de más de una autoridad nacional de control. Tratándose de operadores internacionales cuya administración central se encuentra fuera de la UE pero que cuentan con varios establecimientos en la UE, reviste particular interés valorar cómo debe determinarse el establecimiento principal del responsable en la Unión.

A esos efectos, el nuevo Reglamento prevé que la “autoridad de control principal” es la del “establecimiento principal”. Conforme al artículo 4.16 y el considerando 36 del Reglamento (UE) 2016/679 el establecimiento principal se halla «en el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal». El cdo. 36 precisa que tal establecimiento «debe determinarse en función de criterios objetivos y debe implicar el ejercicio efectivo y real de actividades de gestión que determinen las principales decisiones en cuanto a los fines y medios del tratamiento a través de modalidades estables». Por ello, la aplicación práctica de este criterio puede presentar dificultades, en especial en situaciones en las que la sociedad de un tercer Estado responsable del tratamiento, pese a contar con varios establecimientos en la Unión, determina los fines y medios del tratamiento desde un tercer Estado, sin que en la Unión se lleven a cabo actividades de gestión que determinen las principales decisiones en cuanto a los fines y medios del tratamiento.

Cuando el establecimiento principal no puede determinarse en función del lugar de la administración central –en particular por no hallarse esta en ninguno de los establecimientos situados en la Unión-, cabe recordar que según las Directrices adoptadas por el Grupo de Trabajo sobre Protección de Datos del Artículo 29 (GTPD) lo determinante es, conforme al mencionado considerando 36, concretar el lugar en el que tiene lugar el ejercicio efectivo y real de actividades de gestión que determinan las principales decisiones en cuanto a los fines y medios del tratamiento a través de modalidades estables. Aunque el propio responsable puede identificar expresamente cuál es ese lugar, tal identificación no resultará necesariamente determinante, pues el GTPD destaca que el Reglamento no admite el forum shopping a este respecto. No obstante, en relación con empresas con establecimiento en Estados miembros pero con administración central situada fuera de la UE y cuyos establecimientos en la UE no tienen poder de decisión sobre el tratamiento, el GTPD admite como solución pragmática la identificación por la empresa del establecimiento en la UE que actuará como establecimiento principal, que habrá de tener capacidad para aplicar decisiones sobre las actividades de tratamiento y la posibilidad de asumir responsabilidad.