En los últimos tiempos, la plataforma Facebook ha alcanzado una fama mayor por sus escándalos sobre la protección de datos. Sobre todo desde que entró en vigor el Reglamento General de Protección de Datos (RGPD).
Dejando a un lado toda la repercusión social, debemos destacar que las prácticas de la red social no son nuevas para el Tribunal de Justicia de la Unión Europea (TJUE), que ya ha hablado sobre la legitimidad del tratamiento de datos de la plataforma.
¿Cuál es la fundamentación del TJUE acerca de la responsabilidad del tratamiento de datos de Facebook?
Una de las cuestiones más recientes en las que hemos podido ver implicada a la compañía fue resuelta con una novedad. Esta es que el administrador de la página Facebook y de una web corresponsable se han hecho con la responsabilidad del tratamiento de datos que se recaban en la página web.
El TJUE ha fundamentado su decisión en una gestión de la compañía alemana Wirtschaftsakademie. Se trata de una empresa privada que se gestiona por fans de la red social. Consiste en una página que se encuentra alojada en la plataforma y recaba estadísticas de manera anónima, llevando a cabo una estadística anónima sobre los usuarios que visitamos Facebook.
La herramienta se conoce como Facebook Insight y es una herramienta gratuita de la web. Si aún no ves el problema, debemos contarte también que la página web no informaba del uso de cookies y, mucho menos, de que más tarde se trataban los datos de los usuarios. De ahí que la autoridad alemana encargada de controlar la protección de datos ordenara que la página fuera desactivada.
Si bien la página recurrió la sentencia ante los tribunales contencioso-administrativos, la resolución no fue exitosa. En primer lugar, alegaron que a su actuación no se le podía imputar el uso de datos personales que llevaba a cabo a Facebook. Además de especificar que no habían encargado a la página web ningún tipo de tratamiento de datos.
¿Qué ocurrió tras la alegación?
Ante tales alegaciones, la autoridad alemana encargada de protección de datos, que también conocemos como ULD, tuvo que denunciar directamente a Facebook y no a la web Wirtschaftsakademie.
Sin embargo, el UDL continuó recurriendo las sentencias desfavorables hasta que finalmente el asunto llegó al Tribunal Supremo de Alemania en vía contencioso-administrativa. La vulneración de datos se fundamentaba en el artículo 38, apartado quinto de la BDGS, que no amparaba la orden de las autoridades.
Si buscamos los fundamentos de la BDGS, podemos encontrarla en la subsanación de las infracciones que había cometido la plataforma. Entre ellas, encargar la realización, así como mantener y alojar a un proveedor inadecuado. Ya que la red social no había respetado el derecho sobre protección de datos.
¿Cuál es la respuesta del Tribunal Supremo contencioso-administrativo alemán?
El Tribunal Supremo de Alemania de la vía contenciosa no consideraba que Wirtschaftsakademie pudiera acatar alguna responsabilidad sobre tratamiento de datos si observamos el artículo 2.d de la Directiva 95/46. Sin embargo, debemos ir más allá.
El derecho a la intimidad siempre debe entenderse en su sentido más amplio. Si a ello le sumamos las dudosas incidencias de la intervención de la sociedad en cuanto a sus poderes de intervención, la página web podría resultar responsable. En conclusión, había que tener en cuenta cuál era la legalidad sobre la información personal tratada por unos y otros.
Por ello, el Tribunal decidió plantear una serie de cuestiones prejudiciales para que resolviera si se podía considerar a una página de fans alojada en la plataforma como responsable por un mal tratamiento de datos de acuerdo con la Directiva 95/46.
Además, el Tribunal Supremo alemán deseaba saber si la autoridad de control de protección de datos era competente para la intervención en este tipo de materia cuando se cometían infracciones. Ya que, debemos recordar que el responsable tercero de tratamiento tiene su domicilio en otro Estado Miembro diferente.
¿Cuál ha sido la resolución del TJUE?
La respuesta ha sido que la responsabilidad del tratamiento de datos también engloba al administrador de la página de fans que se encuentra alojada en dicha red social. Esto se debe a los efectos que tiene su promoción. Es decir, de acuerdo con el TJUE, si se crea una página de fans en la red social, el administrador necesita una acción de configuración.
El administrador se encarga de los criterios de las estadísticas y luego la red social explota los datos. Por tanto, la página de fans está contribuyendo al tratamiento de datos y ambos deberán ser considerados corresponsables. Por otro lado, en cuanto a la competencia, debemos señalar que el TJUE consideró competente a la autoridad alemana, ya que la entidad estaba establecida en su territorio.
Tras la resolución del TJUE, debemos señalar que el tratamiento de nuestros datos en Facebook cuenta con mayores garantías de protección, ya que todas las sociedades tienen que acatar el RGPD.