Los operadores de las páginas de fans de Facebook son corresponsables del tratamiento de datos por parte de Facebook. Así lo dictaminó el Tribunal de Justicia de la Unión Europea (TJUE) el 5 de junio de 2018 ¿Cuáles son las consecuencias? La sentencia (asunto C-210/16) significa concretamente que cualquiera que gestione una página de fans de Facebook es corresponsable del tratamiento de datos de Facebook y puede, por ejemplo, ser demandado por daños y perjuicios por violación de la protección de datos.
"Si Facebook no cambia de forma decisiva la forma en que procesa los datos personales de sus usuarios, hay que dar esquinazo a las páginas de fans de Facebook", advierte el abogado Bergt. Además, según el GDPR, Facebook y el operador de la página de fans tendrían que celebrar un contrato sobre quién cumple con qué obligaciones de protección de datos: "Quien no lo haga se arriesga a una multa de diez millones de euros según el Reglamento General de Protección de Datos, o incluso más en el caso de las grandes empresas"."
Sin embargo, la sentencia del TJUE dibuja círculos aún más amplios. "El razonamiento del tribunal se ajusta a casi cualquier otro contenido de terceros, desde los vídeos incrustados hasta las fuentes web o los frameworks de JavaScript", advierte el abogado Matthias Bergt, socio de Boetticher Rechtsanwälte. "Muchos programas de gestión de sitios web como WordPress cargan fuentes de Google Fonts, vídeos de YouTube y scripts de otros servidores. El operador de este otro servidor recibe así datos personales de los visitantes del sitio web, puede rastrearlos y mucho más."
¿La solución?
"El TJUE ha subrayado que la responsabilidad del operador de la página es aún mayor si la mera consulta de la página de fans por parte de los visitantes desencadena automáticamente el tratamiento de sus datos personales", dice Bergt. "Si sustituimos la palabra fanpage por sitio web en la frase, tenemos el caso estándar en la World Wide Web actual, cuando el operador del sitio web no ha pensado en la cuestión de la protección de datos". Pero no tiene por qué ser así, dice, porque casi todas las fuentes y scripts pueden almacenarse simplemente en el propio servidor como software de código abierto. Para los vídeos y otras cosas, hay soluciones de dos clics en las que la transferencia de datos al proveedor externo solo se produce con el consentimiento del visitante.
Se avecinan avisos masivos
"Cualquiera que tenga una página web debería actuar ahora antes de que los avisos masivos descubran el problema", recomienda el abogado de protección de datos Bergt con vistas al Reglamento General de Protección de Datos (GDPR), que prevé nuevos derechos de acción. "El GDPR otorga a los afectados muchos más derechos que la ley anterior", explica Bergt. "Por ejemplo, pueden reclamar daños y perjuicios por la violación de la protección de datos; esto es mucho más lucrativo que antes, cuando sólo se podía demandar por la vía judicial".
Integración legalmente correcta de contenidos de terceros
Aunque las temidas advertencias masivas probablemente no se hayan materializado hasta ahora, nadie debería sentirse seguro: "Quien actualmente comete infracciones de la protección de datos puede seguir diciendo que no conocía la ley, que no sabía del periodo de transición de más de dos años y que no pudo reaccionar con la suficiente rapidez. Sin embargo, dentro de dos meses será difícil encontrar un juez que se deje impresionar por esto", dice Bergt. "Por tanto, es importante eliminar rápidamente al menos los problemas evidentes. Entre ellos, el contenido de terceros en el sitio web y la política de privacidad. El resultado no siempre tiene que ser que el contenido de terceros tenga que ser eliminado - pero la integración debe ser legalmente correcta".