jueves, 26 de octubre de 2017

Responsabilidad de las redes sociales y sus usarios por el tratamiento de datos personales

          El planteamiento adoptado hace unas semanas por la AEPD para sancionar a Facebook Inc. en su Resolución R/01870/2017, a la que dediqué una entrada hace un mes, ha sido en lo sustancial avalado por las conclusiones del Abogado General Bot, presentadas anteayer. En concreto, así sucede en lo relativo a la posibilidad de que el procedimiento sancionador por el incumpliminto de la legislación española sobre protección de datos fuera dirigido contra la matriz estadounidense, como responsable del tratamiento de datos personales de los usuarios de Facebook residentes en España, y no contra la filial española o la filial irlandesa con la que en principio están vinculados contractualmente los usuarios de la red social situados en España. Ahora bien, las conclusiones en el asunto C-210/16, Wirtschaftsakademie Schleswig-Holstein, merecen atención no sólo en lo que concierne a la determinación de la autoridad nacional competente y la legislación aplicable, aspectos que son objeto de profunda modificación por el Reglamento (UE) 2016/679, general de protección de datos (RGPD), que deroga la Directiva 95/46/CE  con efecto a partir del 25 de mayo de 2018, sino también en un aspecto en el que cabe entender que resultan más controvertidas y pueden llegar a tener un mayor impacto. En concreto, así sucede en lo que respecta a la consideración como responsables del tratamiento, junto a la propia red social, de ciertos usuarios de algunos servicios de una red social incluso en situaciones en las que esos usuarios no tienen acceso a los datos personales objeto de tratamiento.


            En lo relativo a la competencia y la ley aplicable, el núcleo de las cuestiones plateadas al Tribunal de Justicia coincide con las abordadas al respecto en la mencionada resolución de la APD. El Abogado General destaca que en el marco de la Directiva 95/47/CE el que el responsable establecido en un tercer Estado [sociedad matriz de la red social] tenga varios establecimientos en la Unión no es obstáculo para que la autoridad de control de cualquier Estado miembro, aunque no sea el Estado miembro donde cabe entender que se encuentra el establecimiento principal de la red social en la Unión, sea competente –y aplique su propia ley- con respecto a los tratamientos de datos por la matriz de red social en la medida en que tales tratamientos tengan lugar en el marco de las actividades de su establecimiento en el Estado miembro en cuestión, aunque ese establecimiento sea solo una sociedad filial destinada a comercializar espacios publicitarios. Se trata de un planteamiento coherente con el contenido del artículo 4 de la Directiva –según el cual cuando un responsable está esblecido en varios Estados miembros cada uno de esos establecimientos debe cumplir con el derecho nacional aplicable- y el criterio adoptado por la sentencia del Tribunal de Justicia en el asunto Google Spain, si bien la peculiaridad del nuevo asunto –al igual que en la mencionada resolución de la APD- es que la red social sí dispone de un sede principal en Europa situada en un Estado miembro (Irlanda) distinto de aquel cuya autoridad conoce del asunto (Alemania). De cara el futuro, la situación sobre este particular sí se verá sustancialmente alterada cuando resulte de aplicación el RGPD como consecuencia de la instauración del llamado modelo de ventanilla única en el que se funda.  

            Presupuesto para establecer esa conclusión es la apreciación por parte del Abogado General de que la condición de responsable del tratamiento por parte de la red social recae conjuntamente en Facebook Inc. y Facebook Ireland. La circunstancia de que la filial irlandesa sea no solo el establecimiento principal en la Unión sino la entidad con la que los usuarios celebran su contrato, no impide al Abogado General apreciar que Facebook Inc. también determina de forma principal el fin y los medios del tratamiento de datos por parte de la red social, para ello hace referencia a que la matriz desarrolló el modelo económico general que hace posible la obtención de datos personales cuando se consultan las páginas integradas en la red social y su explotación para la difusión de publicidad, así como que es quien ha designado a su filial irlandesa para encargarse del tratamiento de los datos personales en la Unión y que datos de los usuarios residentes en la Unión se transfieren a servidores de la matriz situados en EEUU (apdos. 48 a 50 de las conclusiones).

            Ahora bien, en lo relativo a la determinación de los responsables del tratamiento el aspecto más controvertido de las conclusiones es la extensión del concepto de responsable del tratamiento para incluir a determinados usuarios de servicios de la red social –los operadores econónicos administradores de páginas de fans de la plataforma ofrecida por Facebook- en relación con datos personales de quienes visitan su página. Frente al criterio del Bundesverwaltungsgericht, que al formular las cuestiones prejudiciales partía de que los usuarios del servicio de la red social que permite la creación y alojamiento de páginas de fans no tienen la condición de responsables del tratamiento en el sentido del artículo 2.d) de la Directiva 95/46, el Abogado General rechaza esa premisa (apdos. 41 y 42 de las conclusiones).

Según el criterio del Abogado General, en la medida en que las visitas de terceros a la página de fans hacen posible la captación de datos personales de esos visitantes por parte de la red social y la utilización de tales datos por Facebook para orientar la publicidad que se muestra en su red social pero también para ofrecer prestaciones de las que se beneficia quien crea la página de fans alojada en Facebook, por ejemplo, información sobre audiencia relevante para la gestión de la promoción de su actividad por el administrador de la página de fans. El Abogado General considera que en circunstancias como las del litigio principal los usuarios de la red social que son “operadores económicos” y crean páginas de fans determinan –junto con Facebook Inc y Facebook Ireland- los fines y medios del tratamiento aunque esos usuarios que crean una página alojada en la red docial no efectúen el tratamiento de datos personales ni accedan a ellos, y con independencia de lo establecido en el contrato entre la red social y el usuario de sus servicios acerca de quien tiene la condición de responsable del tratamiento de los datos. A estos efectos, destaca el Abogado General que la decisión del administrador de una página de fans de crearla y explotarla en la red social es presupuesto del tratamiento de los datos de los visitantes de esa página por parte de la red social (apdo. 56), que el funcionamiento del servicio permite al administrador de la página seleccionar las categorías de personas que serán objeto de la recogida de datos (apdo. 57), así como que el empleo por un operador económico de los servicios de una red social no le debe permitir eludir la responsabilidad que en relación con el tratamiento tendría si optara por emplear herramientas semejantes en una página propio (apdo. 64).


            El planteamiento del Abogado General incluye también la consideración como responsable del tratamiento de quien integra en una página web la instalación de plugins -como el botón “me gusta” de Facebook- que permitan la recogida de datos por terceros  que después pueden ofrecerles información estadística sobre los usuarios de su página (apdos. 69 y 70 de las conclusiones). Con respecto a la potencial repercusión de este planteamiento en caso de ser acogido por el Tribunal de Jusitica, interesa destacar que aparece en el texto de las conclusiones limitado a la utilización de esos servicios por “operadores económicos”. Además, el Abogado General pone de relieve que la responsabilidad conjunta de esos operadores con la matriz y alguna otra sociedad del grupo titular de la red social no impide apreciar que la intervención en el tratamiento de los varios responsables y el grado de responsabilidad de cada uno de ellos puede ser diferente (apdos. 74 y 75).