El Tribunal de Justicia de la Unión Europea ha dictaminado en una reciente sentencia de 5 de junio de 2018 (asunto C 210/16) que el administrador de la página de una empresa en Facebook, es también responsable, junto con la mercantil Facebook Ireland, del tratamiento de los datos de los visitantes de la página en la Unión Europea.
Acceso a datos personales
Un administrador de una página de Facebook de una empresa, o de un particular, que utiliza la página para dar a conocer la empresa y sus productos a los usuarios de la red, difunde comunicaciones entre los “fans” de la página teniendo en cuenta sus gustos y el rastro que dejan en la red social, utilizando las denominadas “cookies”.
Los administradores de la página tienen acceso a estadísticas anónimas sobre los seguidores de la página mediante “Facebook Insight”, una herramienta de la propia red social, y que utiliza las ya mencionadas cookies. Cada seguidor deja un rastro en la red social de aquellas páginas que más visita, de los “me gusta” que da, las compras que realiza por internet, datos demográficos, etc., obteniéndose un código de usuario único. Toda esta información se almacena en el disco duro del ordenador, y ese “código de usuario”, se recoge y trata en el momento en que se abren las páginas en Facebook.
En el caso enjuiciado por el Tribunal de Justicia de la Unión Europea, ni en la página de la empresa en la red social, ni en dicha red social, se informaban a los visitantes de la página que sus datos de navegación se recogían mediante cookies, para ser tratados posteriormente.
El pronunciamiento del TJUE
Ante la sanción de la autoridad alemana en materia de protección datos, solicitando a una empresa alemana que desactivara su página se Facebook, ésta alegó que no era le era imputable el tratamiento de datos personales efectuados por Facebook, ni había solicitado a Facebook que captara dato alguno, el Tribunal Supremo de lo Contencioso Administrativo alemán, denominado Wirtschaftsakademie, solicitó el TJUE que interpretase la Directiva 95/46 sobre la protección de datos.
El TJUE determina que, además de ser responsable del tratamiento de datos personales la filial irlandesa Facebook Ireland, también lo es el administrador de una página en Facebook, ya que también participa en el tratamiento de esos datos personales al configurar la página y establecer la audiencia destinataria y los objetivos de gestión o de promoción de las actividades de la página.
Ello garantiza una mayor protección de los derechos que disponen las personas que visitan una página de una empresa, o una página de “fans”, conforme lo establecido en la Directiva 95/46 relativa a la protección de datos (directiva derogada con efectos a 25 de mayo de 2018 por el Reglamento de la Unión Europea 2016/679, de 27 de abril de 2016).
Según lo dispuesto en la Directiva 95/46 del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, la autoridad de protección de datos del Estado miembro en el que dicho administrador tiene su domicilio (en este caso, la Agencia Española de Protección de Datos), puede actuar contra dicho administrador o bien con la filial de Facebook establecida en ese mismo Estado.
Cada vez que un usuario le da a “seguir” o a “me gusta” a la página de una empresa en Facebook, el administrador de la misma es responsable junto con la filial de Facebook de los datos personales de estas personas, también denominadas “fans”. Ello es así puesto que, al configurar la página, el administrador participa, de alguna manera, en la determinación de los fines y medios del tratamiento de datos personales de los visitantes de su página.
En definitiva, esta sanción se hubiera evitado si el administrador de la página de la empresa en Facebook hubiera solicitado permiso e información previa a los visitantes sobre la obtención y el tratamiento de sus datos personales de navegación.
También puede interesarte
