PrivacidadEl administrador de una 'fanpage' de Facebook también es responsable de la privacidad de los usuarios

Los creadores y administradores de las fanpages de Facebook tienen la responsabilidad de proteger los datos personales de los visitantes y no pueden esconderse detrás de la red social, de manera conjunta con la propia red social, según ha dictaminado el Tribunal de Justicia de la Unión Europea (TJUE).

El caso (PDF) tiene su origen en una disputa en una página de fans alemana en Facebook, la cual usaba la red social para almacenar cookies en los discos duros de los visitantes para recopilar datos sobre ellos.

Cuando la autoridad alemana de protección de datos —en este caso, la autoridad regional independiente de protección de datos de SchleswigHolstein— ordenó al responsable de esta fanpage, una academia de negocios, que la desactivara porque los visitantes no estaban informados sobre la recopilación de sus datos personales, la empresa argumentó que no era responsable del procesamiento de datos personales y que cualquier acción debía ser presentada contra la red social.

"Según el Tribunal, el hecho de que un administrador de una página de fans (fanpage) utilice la plataforma proporcionada por Facebook para beneficiarse de servicios asociados no puede eximirlo del cumplimiento de sus obligaciones relativas a la protección de datos personales", afirma la máxima autoridad judicial de la UE.

Según el fallo del TJUE, el administrador "puede solicitar la obtención (de forma

anonimizada) ―y, por tanto, el tratamiento― de datos demográficos relativos a su audiencia destinataria (especialmente, de las tendencias en materia de edad, sexo, situación sentimental y profesión), información sobre el estilo de vida y los intereses de su audiencia destinataria (incluyendo información relativa a las compras y comportamiento de compras en línea de los visitantes de su página, así como a las categorías de productos o servicios que más les interesan), además de datos geográficos que permiten al administrador de la página de fans saber dónde efectuar promociones especiales u organizar eventos y, con carácter más general, dirigir de forma óptima su oferta de información".

El Tribunal, con sede en Luxemburgo, también confirma la posibilidad de que la autoridad alemana de protección de datos tiene el poder de tomar medidas contra Facebook, a pesar de que su sede europea se encuentra en Irlanda.

Facebook había argumentado que sólo el regulador irlandés tenía jurisdicción sobre sus actividades, pero lo cierto es que otros reguladores de la UE han tomado medidas contra la compañía por infringir la legislación sobre privacidad, entre ellas la Agencia Española de Protección de Datos (AEPD), que condenó hace unos meses a Facebook y a WhatsApp con sendas multas hasta un total de 600.000 euros por intercambiar datos entre ambas plataformas de forma ilícita.

El TJCE sostiene que el regulador alemán tiene derecho a ejercer sus poderes contra una empresa, incluso si la responsabilidad de la recopilación y el procesamiento de los datos tiene lugar en otro estado miembro, en este caso Facebook Ireland.

El caso es anterior al inicio de la aplicación directa, hace dos semanas, del Reglamento General de Protección de Datos (RGPD, o GDPR, por sus siglas en inglés) que introduce un principio de "ventanilla única", por el que las empresas sólo tienen que tratar con la autoridad en el estado miembro de su establecimiento principal de la UE.