Las conclusiones del Abogado General en el asunto C-40/17 Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, determinan con respecto a las operaciones de tratamiento de datos que el administrador de la página web debe facilitar a los usuarios la información mínima exigida y, cuando sea preciso, obtener su consentimiento antes de que los datos se recaben y transfieran.
Contexto
Fashion ID es una empresa alemana de comercio electrónico dedicada a la venta de artículos de moda. Dicha empresa insertó en su página web un plug-in: el botón «Me gusta» de Facebook. De esta manera, cuando un usuario accede a la página web de Fashion ID, se transfiere a Facebook la información sobre la dirección IP del usuario y la secuencia del navegador. Dicha transferencia se realiza automáticamente cuando se carga la página web de Fashion ID, con independencia de que el usuario haya pulsado o no el botón «Me gusta» o de que tenga o no cuenta en Facebook.
Verbraucherzentrale NRW, una asociación alemana de defensa de los consumidores, ejercitó una acción de cesación contra Fashion ID, al considerar que el uso del botón «Me gusta» de Facebook infringía la normativa sobre protección de datos.
El Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania), que conoce del asunto, solicita que se interpreten diversas disposiciones de la derogada Directiva de Protección de Datos de 1995 (la cual, aunque es aplicable a este asunto, ha sido sustituida por el nuevo Reglamento General de Protección de Datos de 2016, que entró en vigor el 25 de mayo de 2018).
Atendiendo a los hechos del presente asunto, parece que Fashion ID y Facebook Ireland deciden conjuntamente sobre los medios y los fines del tratamiento de los datos en la fase de recogida y transmisión de los datos personales en cuestión. Tanto Facebook Ireland como Fashion ID parecen haber generado voluntariamente la fase de recogida y transmisión de los datos y, aunque no hay identidad, existe una unidad de fines: una finalidad comercial y publicitaria. Por lo tanto, con respecto al proceso de tratamiento de los datos en la fase de recogida y transmisión de los datos personales, Fashion ID actúa como responsable de dicho tratamiento y, en esta medida, es responsable junto con Facebook Ireland.
Conclusiones
En sus conclusiones presentadas, el Abogado General Michal Bobek propone al Tribunal de Justicia que declare, primero, que la Directiva no se opone a una normativa nacional que reconoce a las asociaciones de utilidad pública legitimación activa para demandar al presunto infractor de la legislación de protección de datos a fin de proteger los intereses de los consumidores.
A continuación, el Abogado General propone que el Tribunal de Justicia declare que, conforme a la Directiva de Protección de Datos, el administrador de una página web (como Fashion ID) que ha insertado en su página web un plug-in de un tercero (como el botón «Me gusta» de Facebook) que genera la recogida y transmisión de datos personales del usuario debe ser considerado corresponsable del tratamiento, conjuntamente con dicho tercero (en el presente asunto, Facebook Ireland).
Sobre un responsable (conjunto) del tratamiento recae la responsabilidad de la operación o de la serie de operaciones en relación con las cuales comparta o codetermine los fines y los medios en lo que respecte a una determinada operación de tratamiento. En cambio, esa persona no puede ser considerada responsable ni de las fases anteriores o posteriores de la cadena de tratamiento de los datos, los fines o medios de las cuales no esté en condiciones de determinar.
En cuanto a la legitimidad del tratamiento de datos personales sin el consentimiento del usuario de la página web, el Abogado General recuerda que dicho tratamiento es lícito conforme a la Directiva cuando se cumplen tres requisitos acumulativos: primero, que el responsable del tratamiento o el tercero o terceros a quienes se comuniquen los datos persigan un interés legítimo; segundo, que el tratamiento sea necesario para satisfacer ese interés legítimo y, tercero, que no deban prevalecer los derechos y libertades fundamentales del interesado en la protección de los datos.
A este respecto, el Abogado General propone al Tribunal de Justicia que declare que el interés legítimo de ambos corresponsables (Fashion ID y Facebook Ireland) ha de tenerse en cuenta y ponderarse con los derechos de los usuarios de la página web.
El Abogado General también propone que se declare que el consentimiento del usuario de la página web ha de prestarse, en su caso, al administrador de ésta (Fashion ID) que ha insertado el contenido de un tercero. De igual manera, la obligación de facilitar al usuario de la página web la información mínima se impone al administrador de la misma (Fashion ID).