A veces somos más responsables de lo que creemos... o de lo que queremos ser.

Legal Watch – Septiembre 2019.

Este es el caso cuando instalas un complemento simple en tu sitio web, incluso si no tienes acceso a los datos recopilados a través de este medio.

Una reciente sentencia del Tribunal de Justicia de la Unión Europea, conocida como "Fashion ID", confirma esta constatación al aclarar la responsabilidad de los administradores de sitios web que insertan un icono de "me gusta" de Facebook en su página.

La inserción de este simple complemento puede por lo tanto tener como consecuencia que el administrador del sitio sea corresponsable del tratamiento con la red social que recopila estos datos.

Desde un punto de vista técnico, la simple inserción de un complemento en una página web permite la comunicación automática de los datos de conexión de los visitantes a la red social correspondiente, independientemente de si hacen clic en el icono del complemento. En este caso, los datos de los visitantes del sitio web Fashion ID, una tienda alemana de ropa de moda en línea, se transmitieron sistemáticamente a Facebook. Esto es lo que ocurre actualmente en muchos sitios web, ya sean de venta en línea, sitios de noticias o blogs. El razonamiento aplicado a Facebook en este caso puede extenderse a cualquier red social u otra entidad que utilice la misma tecnología.

El Tribunal de Justicia aclaró que el hecho de que el administrador del sitio no tenga acceso a los datos transmitidos no exime su responsabilidad. El hecho de que determine, junto con Facebook, los fines y medios del tratamiento sigue siendo el factor decisivo. El Tribunal deduce la posible responsabilidad solidaria del sitio y Facebook de los beneficios económicos mutuos que obtienen de esta cooperación: para Facebook, el enriquecimiento de su base de datos, y para el administrador del sitio, la optimización de la publicidad de sus productos en la red social Facebook en cuanto un visitante hace clic en el icono de "Me gusta".

El Tribunal aclara que las responsabilidades y obligaciones legales varían según los distintos aspectos del tratamiento: en este caso, Fashion ID no se responsabiliza del tratamiento posterior de los datos por parte de Facebook. Facebook también debe proporcionar una base jurídica específica para este tratamiento. No obstante, el operador del sitio web debe informar y obtener el consentimiento de sus visitantes por separado sobre la recopilación y transmisión de estos datos a la red social.

De esta importante sentencia se pueden extraer varias lecciones. Por lo tanto, conviene:

• Verifique sistemáticamente las condiciones de uso de los complementos en su sitio web, así como las posibles condiciones de transmisión de datos a terceros,
• Verifique las cláusulas de responsabilidad en los contratos con estos terceros;
• Informar a los visitantes específicamente sobre esta colección y obtener su consentimiento por separado.

Estas precauciones son tanto más pertinentes cuanto que la CNIL ha aclarado recientemente las estrictas condiciones para obtener el consentimiento en materia de segmentación publicitaria en línea y ha anunciado que centrará sus actividades de seguimiento en 2019 en cuestiones de reparto de responsabilidades entre los distintos responsables del tratamiento de datos personales. 

Estas cuestiones también se están abordando a nivel europeo. El CEPD, que reúne a las autoridades de protección de datos de la Unión Europea (CNIL), ha iniciado conversaciones con diversas organizaciones sectoriales para actualizar el dictamen de referencia de las autoridades de control sobre la identificación y la función de los responsables, corresponsables y encargados del tratamiento.

Y además:

• en Europa:

Brexit:

¿Cuáles serían las condiciones para la transferencia de datos al Reino Unido si el país abandonara la Unión Europea sin acuerdo? El CEPD publicó una nota a principios de 2019 que detalla las condiciones y las diversas bases jurídicas aplicables. La autoridad británica de protección de datos también responde a numerosas preguntas en su sitio web oficial.

Biometría:

La Autoridad Sueca de Protección de Datos emitió su primera sanción bajo el RGPD el 21 de agosto. Se impuso una multa de 20.000 euros a una escuela por implementar un sistema de reconocimiento facial para estudiantes en violación de varios principios del RGPD: consentimiento no válido, datos biométricos sensibles, falta de evaluación de impacto previa y falta de consulta a la autoridad de protección de datos.

Nube y protección de datos:

La perspectiva de una nube europea con normas armonizadas está cada vez más cerca. El 29 de agosto se celebró en La Haya la primera reunión de actores del sector público y privado, a nivel europeo e internacional.

• en el mundo:

Prueba electrónica:

Las condiciones bajo las cuales las autoridades judiciales pueden acceder a las pruebas electrónicas (e-evidence) en poder de las empresas son objeto de desarrollo en Europa e internacionalmente. El objetivo es armonizar estas normas en Europa, pero también alcanzar un acuerdo con Estados Unidos sobre las condiciones de acceso a estos datos, en el marco de la lucha contra la delincuencia. En virtud de la "Ley de la Nube" estadounidense, Estados Unidos ha tenido acceso a los datos de empresas estadounidenses con sede en Europa desde marzo de 2018. El objetivo es alcanzar un acuerdo sobre estas condiciones de acceso a ambos lados del Atlántico, de conformidad con la normativa de protección de datos.

Norma ISO:

La nueva norma ISO/IEC/27701 se publicó a principios de agosto. Es una extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para abordar la gestión de la privacidad y también tiene en cuenta los requisitos del RGPD.

1 La sentencia aplica la Directiva 95/46/CE, derogada posteriormente por el Reglamento (UE) 2016/679 o RGPD. No obstante, las disposiciones relativas a la (corresponsabilidad) se mantienen idénticas en el nuevo Reglamento.