Quizás eres corresponsable sin saberlo…
La Autoridad de Protección de Datos Danesa ha apercibido a una empresa por el uso en su web de herramientas tecnológicas proporcionadas por proveedores de redes sociales, al no cumplir con el RGPD en el ámbito de la corresponsabilidad que la instalación de estas herramientas implica.
Recientemente, la Autoridad de Protección de Datos Danesa o Datatilsynet ha apercibido a una empresa por el uso de herramientas tecnológicas proporcionadas por ciertas redes sociales instaladas en su portal web, al no haber podido demostrar que las actividades de tratamiento que conllevaban la instalación de este tipo de tecnologías cumplían con el Reglamento General de Protección de Datos (en adelante, el “RGPD”) y, asimismo, por no poder probar que los tratamientos de datos personales de los visitantes de la web cumplían con el artículo 26 del RGPD sobre corresponsabilidad.
Píxels, plugins sociales, inicios de sesión, SDK para eventos de aplicación, entre otras, son las llamadas Business Tools o herramientas para empresas que ofrecen algunas grandes tecnológicas como Meta Platforms Ireland Limited (en adelante, “Meta Ireland”), Google o LinkedIn, y que permiten incorporar en páginas web para prestar un mejor servicio a los usuarios, así como para ayudar a los propietarios o desarrolladores de las webs a medir y comprender sus productos y servicios, y que implican la corresponsabilidad entre los operadores webs y los titulares de redes sociales.
¿Qué ha ocurrido?
La parte reclamante, que interpuso la reclamación objeto del apercibimiento, declaró que BoligPortal A/S (en adelante, “BoligPortal”) trató información de su dirección de IP a través de cookies y la transfirió a Meta Platforms en Estados Unidos. La Autoridad Danesa confirmó que, efectivamente, BoligPortal recabó y transmitió información sobre la dirección IP de la parte reclamante, la cual permitía individualizar a la persona en cuestión, pero esta no puedo entrar a valorar la posible transferencia internacional de los datos personales del reclamante debido al desacuerdo entre las partes y la falta de capacidad de la Autoridad Danesa para solicitar pruebas adicionales.
No obstante, la Autoridad Danesa sí entró a valorar si BoligPortal cumplió con sus obligaciones del RGPD, en concreto, con los principios de licitud, lealtad y transparencia, minimización de datos y con sus deberes como responsable.
Corresponsabilidad sí; pero bien regulada
La incorporación de estas herramientas en un sitio web (“Facebook Píxel” y “Facebook Portal”, en este caso concreto), BoligPortal permite a Meta Ireland obtener datos personales sobre los visitantes de la web. En este sentido, Datatilsynet, así como ya lo hizo el Tribunal de Justicia de la Unión Europea en 2016, considera que Meta Ireland y BoligPortal son corresponsables de los tratamientos de datos personales derivados del uso de las Business Tools que la primera ofrece al determinar conjuntamente los objetivos y los medios del tratamiento. En concreto, para la recogida y la transmisión de los datos personales de los visitantes de la web de BoligPortal.
La misma Autoridad ya concluyó en la resolución de 11 de febrero de 2020 en el caso 2018-32-0357, que, los complementos webs o plug-ins, que comportan una recogida de datos personales, implican que el operador web se convierta en corresponsable junto con el proveedor de los plug-ins para la recogida y transmisión de datos personales.
En el presente caso, se prueba que BoligPortal incorporó herramientas de Meta Ireland a su web, permitiendo la recogida y transmisión de los datos personales del visitante a Meta Ireland. Mediante esta incorporación, la Autoridad Danesa entiende que BoligPortal ejerce una influencia decisiva en la recogida y transmisión de los datos personales de los usuarios de la web, pues este tratamiento no sucedería de no haberse incorporado en la web.
Con base en lo anterior, la Agencia Danesa determina que BoligPortal y Meta Ireland establecen conjuntamente los medios y objetivos utilizados en estas actividades de tratamiento, en concreto, para poder realizar marketing orientado.
Por lo tanto, BoligPortal es corresponsable junto con Meta Ireland de la recogida y transmisión de los datos personales de los visitantes a la web, ya que determinan conjuntamente los medios y objetivos, mientras que Meta Ireland será el único responsable una vez realizada la transferencia.
En la resolución Proximus, el Tribunal de Justicia de la Unión Europea sostuvo que el artículo 5.2 y 24 del RGPD imponen a los responsables del tratamiento requisitos generales de responsabilidad y cumplimiento. En concreto, se exige tomar medidas adecuadas para evitar medidas infracciones del RGPD; según Datatilsynet, esto incluiría la obligación de poder presentar ante la autoridad de control competente la documentación conforme la actividad se lleva conforme a la legislación de protección de datos, y esta misma entendió que BoligPortal no ha demostrado, en relación con la inserción de estas Business Tools, que su tratamiento de los datos personales fuera lícito en el momento de la reclamación.
Tras la interposición de la reclamación, Meta Ireland actualizó las condiciones de las herramientas de Meta para empresas aclarando, precisamente que, tanto los operadores webs como Meta Ireland, son corresponsables del tratamiento de los datos personales de los usuarios de las webs en las que se integran las herramientas de Meta Ireland, en concreto, de la recogida y transmisión.
¿Qué se debe tener en cuenta cuando se es corresponsable con titulares de redes sociales?
Si bien las actuales condiciones de las herramientas de Meta para empresas ya especifican que tanto el operador web como Meta Ireland actuarán como corresponsables del tratamiento de conformidad con el artículo 26 del RGPD, los operadores también deben tener en cuenta lo siguiente:
- El operador web y el titular de la red social deberán, de acuerdo con el artículo 26.1 del RGPD, determinar sus respectivas responsabilidades para el cumplimiento del RGPD de forma transparente. Pero, la distribución de las responsabilidades de cumplimiento entre los corresponsables no se limita a los temas mencionados en este artículo, sino que debe extenderse a otras obligaciones del responsable del tratamiento, garantizando que todo el tratamiento, en su conjunto, cumple plenamente con el RGPD.
- Las Directrices 07/2020, sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» en el RGPD, adoptadas el 7 de julio de 2021, destacan que la dificultad de llegar a un acuerdo, porque uno de los corresponsables goce de gran influencia, no es excusa para no cumplir con el RGPD.
- El Tribunal de Justicia de la Unión Europea aclaró que esta corresponsabilidad no implica, necesariamente, una responsabilidad igualitaria de los operadores, sino que esta dependerá de las actividades de tratamiento llevadas a cabo por cada uno de estos operadores.
- El operador web deberá informar en su política de privacidad de su rol como corresponsable junto con el titular de la red social, en caso de hacer uso de este tipo de herramientas tecnológicas. Asimismo, el operador web deberá prestar especial atención a la ubicación de los medios de tratamiento, y si es el caso, a la ubicación de los subencargados, que estén involucrados en el fujo de las actividades de tratamiento para, evitar, o en su caso, informar, sobre las posibles transferencias internacionales que pueda conllevar el uso de estas herramientas.
Agradecemos a la abogada Marta Lucas, quien fue co autora de este artículo.