El Tribunal de Justicia de la Unión Europea (en adelante TJUE) ha dado una primera respuesta, en su sentencia de 29 de Julio de 2019, a cómo y cuándo una entidad se convierte en corresponsable del tratamiento.
La asociación alemana de utilidad pública de defensa de los intereses de los consumidores consideró que la entidad Fashion ID no estaba actuando correctamente con el tratamiento de los datos personales de los usuarios que visitaban su página web, por lo que ejercitó una acción de cesación ante el Tribunal Regional de lo Civil y Penal de Düsseldorf.
La entidad reclamada, Fashion ID dedicada al negocio on-line de compra venta de prendas de vestir, había incluido en su sitio de Internet el módulo social “me gusta” de la red social Facebook. Cuando un visitante consultaba su sitio web, sus datos personales se comunicaban a Facebook Irlanda, debido a que se había incorporado su módulo social en la página web. Lo que se viene reclamando es que esa transmisión de datos personales tiene lugar sin que el visitante tenga conocimiento de ello, con independencia de pertenecer a la red social Facebook, y, además, no siendo necesario hacer clic en el botón “me gusta”.
El Tribunal Superior Regional de lo Civil y Penal alemán requirió al TJUE su interpretación y parecer del asunto. El primer planteamiento era determinar si Fashion ID podía ser considerada como responsable del tratamiento junto con Facebook Irlanda. El TJUE en su sentencia, al respecto, manifestó que: «Sí se puede considerar a Fashion ID responsable con Facebook de la recogida y transmisión de los datos personales a la red social al entender que determinan sus medios y fines conjuntamente.»
El fundamento sería que el tratamiento de los datos personales supone un beneficio promocional y publicitario para ambos, ya que Fashion ID optimiza la publicidad de sus productos mediante el botón “me gusta” de la red social, por lo que en ese sentido determinan conjuntamente los medios y fines del tratamiento.
Nos encontramos, según la sentencia del TJUE, ante una clara figura de corresponsable que viene a regularse con lo dispuesto en el art.26 del RGPD
1) Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información(..)
Cada uno de ellos debe de cumplir con el deber de informar, por lo que, en este caso, Fashion ID tendría que haber obtenido el consentimiento de los interesados con anterioridad a la recogida y a la comunicación de los datos a la red social, ya que es la visita a su sitio web, lo que produce el proceso de tratamiento de los datos personales.
El TJUE declara, además, que cada uno de los corresponsables del tratamiento tendrán que ponderar su interés legítimo para que las operaciones tengan una base jurídica conforme al RGPD.
