La página web de mi negocio incorpora un botón de “Me gusta” de nuestro perfil de empresa en Facebook, ¿Está permitido por la normativa de europea de protección de datos?

La página web de mi negocio incorpora un botón de “Me gusta” de nuestro perfil de empresa en Facebook, ¿Está permitido por la normativa de europea de protección de datos?

Recientemente hemos conocido el fallo de la Sentencia del Tribunal de Justicia de la Unión Europea (Sala Segunda) de 29 de julio de 2019, en relación al procedimiento prejudicial Nº C- 40/17 .

En este mismo,  se determina que quién incorpora a su página web corporativa un botón de“me gusta” ( Facebook ) estaría haciendo un tratamiento de datos de carácter personal.

Este,  consiste  en recabar determinados datos de esos usuarios y facilitárselos a Facebook, que sería el  corresponsable de dicho tratamiento.

Los antecedentes del caso emergen de  una marca de ropa alemana denominada Fashion ID GmbH & Co. KG. Esta,  disponía en su página web del clásico botón de “me gusta” al cual puede acceder el usuario clicando sobre el mismo, pasando a convertirse en follower.

Además, en el caso de que  el usuario careciese  de perfil personal en Facebook, la empresa domiciliada en Irlanda, recibe determinados datos que después utiliza para finalidades propias.

El objetivo de incorporar esta funcionalidad a la página web de la empresa es claramente comercial, pues con ello podría optimizar la publicidad destinada a sus potenciales clientes, obteniendo con ello un beneficio económico.

Una asociación de consumidores alemana consideró que esta práctica vulneraba tanto la normativa interna del Estado alemán sobre competencia como la legislación europea de protección de datos.

Es por eso que,  acudió a los tribunales alemanes en defensa de los derechos de los consumidores por ellos representados.

El Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania, eleva cuestión prejudicial al Tribunal de Justicia de la Unión Europea.

El objetivo principal es que  resuelva, principalmente, dos puntos esenciales:
– Si una asociación de consumidores es competente para interponer acciones judiciales en materia de protección de datos

– Si la empresa de moda es considerada responsable del tratamiento. Por introducir un “módulo social” de Facebook en su página web. A la luz de la normativa europea sobre protección de datos.

Sobre el primero de estos puntos: dice la Sentencia analizada que no existe normativa europea. Ni que se oponga a “una normativa nacional que permite que las asociaciones de defensa de los intereses de los consumidores ejerciten acciones judiciales. Ésta serán contra el presunto autor de una infracción de ese tipo”.

El Reglamento General de Protección de Datos de 2016:  autoriza expresamente en su artículo 80 a los particulares. Lo hace en relación a la protección de sus datos personales.

En este sentido; dicho precepto certifica:

“Dar mandato a una entidad, organización o asociación sin ánimo de lucro. La cual haya sido correctamente constituida con arreglo al Derecho de un Estado miembro. Esto es para que presente en su nombre la reclamación. También para que ejerza en su nombre los derechos”.

Por lo tanto, podemos interpretar lo siguiente. Que la asociación de interés público en defensa de los consumidores que plantea el litigio está perfectamente capacitada para ello. Se entiende que es en el plano procesal.

En relación a la segunda cuestión controvertida. Hemos de tener en cuenta que cuando una empresa inserta en su web un módulo social de Facebook: está permitiendo que la empresa Facebook Ireland ltd acceda a determinados datos de sus usuarios.

Si bien una vez el usuario es redirigido a la red social, la empresa de moda no tiene posibilidad de saber qué se tratamiento se realiza de esos datos.

Según la directiva de 1995, aplicable al caso, es considerado responsable del tratamiento: “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales”.

Todo ello, ; “en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o [de la Unión], el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o [de la Unión]”;

Se trata de una definición amplia del concepto de responsable, muchas veces matizado ya por la jurisprudencia del TJUE.  Precisamente se pretende una mayor protección de los particulares frente al tratamiento de sus datos de carácter personal.

Nos encontraríamos en este caso ante una responsabilidad conjunta en determinadas fases del tratamiento,. Esta misma pasará a compartirse  entre la empresa textil y Facebook Ireland ltd.
Sería en las fases de recogida de datos y su comunicación a Facebook donde la empresa de moda sería responsable. Aunque,  sin perjuicio de que existan otras fases del tratamiento  que puedan  realizarse  únicamente por Facebook, sin conocimiento ni intervención de la marca de moda.

Así, reza la sentencia  que: “el administrador de un sitio de Internet  que inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales del visitante puede ser considerado responsable del tratamiento “.

Será por tanto,  responsable la empresa textil de las fases del tratamiento que realiza, debiendo entonces respetar la normativa en materia de protección de datos. Así como,  cumpliendo con las obligaciones que la legislación impone a los responsables del tratamiento.

Deberá informar al usuario del tratamiento de datos que va a realizarse, es decir, la recogida de los mismos y su posterior comunicación a Facebook. Asimismo, el  modo en el cuál puede ejercitar sus derechos al respecto.

Además, no podrá realizar dicho tratamiento si no está amparado por alguna de las fuentes de legitimación que recoge la normativa en materia.

En definitiva,  las empresas pueden incorporar este botón social en sus páginas web, pero deberán hacerlo con las debidas garantías.

Además, se les exigirá  un escrupuloso respeto a la legislación vigente en materia de protección de datos de carácter personal (Reglamento 2016/679 ).  Para  España, encontramos la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

 

En LETRADOX®ABOGADOS, conocemos de forma experta la materia. Si necesitas resolver cualquier duda, estamos a tu disposición. ¡Protege tus datos con Letradox@Abogados y su equipo de abogados profesionales!

 

Contactar con cita previa:

Despacho en Madrid:
Calle Jorge Juan nº141 Esc.Izd. 3ºA (junto a metro O´Donnell).

Despacho en Alcalá de Henares:
Calle Mayor nº26, 2ºB “Oficina Insula”.
(Contactar para reservar cita previa)

Email: info@letradox.es

Teléfonos: 912980061645958948