Contratación online

¿Insertar el “plugin” de un tercero en tu web te convierte en responsable del tratamiento de datos?

lugins - Facebook - Tratamiento de datos personales Tiempo estimado de lectura: 9 minutos

1. Planteamiento del problema

Una empresa de marketing digital nos has formulado una interesante consulta relacionada con un tema sobre el cual el Tribunal de Justicia de la Unión Europea (TJUE) ya se pronunció a mediados del año pasado.

Concretamente, la empresa deseaba saber si la inserción de un “plugin” (o “plug-in”) de un tercero en la página web de uno de sus clientes (un ecommerce) convertía a dicho cliente, automáticamente, en responsable del tratamiento de los datos personales de los visitantes de dicha web y, por tanto, le exigía cumplir con las obligaciones establecidas por el Reglamento General de Protección de Datos (RGPD).

Esencialmente hablamos de las obligaciones siguientes: (i) proporcionar información sobre la identidad y los datos de contacto de la empresa, (ii) especificar los fines del tratamiento a que se destinan los datos personales de los visitantes y la base de legitimación del tratamiento (consentimiento inequívoco, contrato, intereses vitales del interesado o de otras personas, obligación legal para el responsable, interés público o ejercicio de poderes públicos, un interés legítimo prevalente del responsable o del tercero a los que se comunican los datos), y (iii) garantizar la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.

Para comprender mejor las funciones y obligaciones del responsable de tratamiento de datos personales, recomendamos leer esta Guía elaborada por la Agencia Española de Protección de Datos.

Para entender bien qué es y cómo se aplica el interés legítimo en el tratamiento de datos personales, recomendamos leer este artículo de Javier Sempere.

En informática un plugin (o software add-on) es un fragmento o componente de código informático hecho para ampliar las funciones de un programa. La mayoría de las herramientas con las que se trabaja en el ámbito web -y muchas dentro del marketing digital- contemplan la posibilidad de aumentar su radio de acción y funcionalidades a través de la instalación de plugins.

A continuación, te dejamos nuestra opinión sobre esta cuestión común en la actividad cotidiana de las agencias y consultoras de marketing online.

2. El caso del botón «Me gusta» de Facebook resuelto por el TJUE (asunto C-40/17)

El TJUE con fecha 29 de julio de 2019 emitió la sentencia que resolvió la cuestión prejudicial deducida por el Tribunal Superior Regional de lo Civil y Penal de Düsseldof, Alemania, en el marco del procedimiento judicial seguido entre la empresa de comercio electrónico dedicada a las prendas de vestir, Fashion ID GmbH & Co. KG (Fashion ID) y la asociación de utilidad pública de defensa de los intereses de los consumidores, Verbraucherzentrale NRW eV (la Asociación), con intervención de Facebook Ireland Ltd. (Facebook).

La petición de decisión prejudicial perseguía la correcta interpretación de diversos artículos de la derogada Directiva 95/46 (la Directiva de Protección de Datos).  Si bien, la interpretación que efectúa el TJUE en su sentencia recae sobre diversos artículos (2, 7 y 10) de una norma jurídica no vigente que hoy ha sido reemplazada por el actual RGPD aplicable desde el 25 de mayo de 2018, resulta muy útil en el contexto actual porque dicha interpretación se puede aplicar a la norma vigente en la medida que los artículos interpretados de la Directiva 95/46 han sido transcritos o incorporados por el RGPD (en los artículos 4, 9 y 13, respectivamente).

Me Gusta - Facebook

 

¿Qué estableció la sentencia del TJUE? Esencialmente lo siguiente:

  • Que el administrador de un sitio de internet -como Fashion ID- que inserta en dicho sitio un plugin social -como el botón “Like” o “Me gusta” de Facebook– que permite que el navegador del visitante (ya sea un usuario, abonado o un mero visitante) de ese sitio web solicite contenidos y transmita al proveedor del plugin social sus datos personales, puede ser considerado responsable de tratamiento juntamente con ese proveedor, en el sentido del artículo 2, letra d) de la Directiva 95/46. No obstante, dicha (co)responsabilidad se limita a la operación o al conjunto de operaciones de tratamiento de datos personales de los visitantes cuyos fines y medios determine efectivamente, a saber, la recogida y la comunicación por transmisión de los datos en cuestión.

Se incluye dentro de las operaciones de tratamiento de datos personales las efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, tales como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción.

  • Que para que el administrador del sitio web y el proveedor del plugin social antes mencionados puedan debidamente realizar operaciones de tratamiento de datos personales, es necesario que cada uno de ellos persiga, con tales operaciones, un interés legítimo (en el caso del administrador del sitio web el interés de insertar contenidos en su página, en tanto que en el caso del proveedor del plugin social el interés de que se le comuniquen los datos personales), en el sentido del artículo 7, letra f) de la Directiva 95/46.
  • Que incumbe al administrador del sitio web antes mencionado, y no al proveedor del plugin social, solicitar el consentimiento al visitante de su sitio web, con anterioridad a la recogida y a la comunicación por transmisión de los datos personales de dicho visitante al proveedor; el referido consentimiento deberá referirse a la operación o al conjunto de operaciones de tratamiento de datos personales cuyos fines y medios determine dicho administrador. Todo ello de conformidad con lo dispuesto por los artículos 2, letra h) y 7, letra a) de la Directiva 95/46.
  • Que el administrador del sitio web antes citado también tiene una obligación de información frente al visitante de su sitio web referida a la operación o al conjunto de operaciones de tratamiento de datos personales cuyos fines y medios determine, de conformidad con lo dispuesto por el artículo 10 de la Directiva 95/46.

¿Qué gana la web que inserta el botón “Me gusta” de Facebook? según el TJUE ello le permite optimizar la publicidad de sus productos al hacerlos más visibles en dicha red social cuando un visitante clica en dicho botón. Por tanto, la premisa es que el administrador de la web tiene una página de empresa en Facebook ya que solo en dicho caso tendría sentido poner el botón “Like”.

Ahora bien, para el TJUE insertar en una página web el botón “Me gusta” de Facebook implica haber ofrecido a esta red social la posibilidad de obtener datos personales de los visitantes de dicha web. La sentencia señala que se presenta esta posibilidad desde que se consulta la página y ello con independencia de que el visitante esté o no esté dado de alta en la red social Facebook o de que haya clicado en el botón “Me gusta” de Facebook (apartado 75 de la sentencia).

El TJUE considera que al haber Fashion ID insertado el botón “Me gusta” en su sitio web está influyendo de manera decisiva en la recogida y la transmisión de datos personales de los visitantes de esa web en favor de Facebook. Aunque el TJUE habla de “comprobaciones” futuras que habrá que efectuar al respecto, concluye que tanto Fashion ID como Facebook pueden determinar de modo conjunto los medios que originan las operaciones de recogida y comunicación por transmisión de los datos personales del visitante internauta.

 

3. ¿Qué lecciones hemos aprendido?

La posibilidad de que el administrador de un sitio web se convierta en co(responsable) del tratamiento de los datos personales de sus visitantes, por el hecho de colocar un plugin social de un tercero dentro de su propia web, existe y es real.

En la medida que el plugin social active y permita la recogida y transmisión de datos personales de los visitantes de ese sitio en favor del proveedor del plugin, cabe preguntarse si la exigencia establecida por el TJUE a Fashion ID podría también extenderse a quienes coloquen en sus sitios web banners publicitarios redirigidos a formularios de contacto de una landing page administrada por un tercero. Y cabe preguntarse además si la exigencia establecida por el TJUE podría extenderse también a los administradores que instalen y configuren cualquier tipo de plugins en una web que está hecha en WordPress.  La respuesta en ambos casos es: depende.

Será necesario comprobar si el proveedor de un plugin accede a información almacenada en el equipo terminal del visitante del sitio de internet donde se ha instalado dicho plugin; habrá que apreciar si el navegador del visitante transmite al servidor del proveedor externo la dirección IP de su ordenador y los datos técnicos del navegador y pueda determinar en qué formato se suministra el contenido de esa dirección.

Además, habrá que preguntarse si el administrador del sitio web que ofrece el contenido externo insertado -el plugin- tiene influencia para determinar los datos que el navegador del visitante transmite y lo que el proveedor externo hará con esos datos, en particular si decide almacenarlos y analizarlos.

Si hay una solicitud de contenidos y transmisión de datos personales a un tercero, se aplicarán entonces las obligaciones del RGPD exigidas a los responsables de tratamiento sobre el administrador de la página o sitio web desde donde se transmite tales datos personales.

Hay que resaltar que, si se transmite al tercero o proveedor externo de un plugin datos personales del visitante de un sitio web, dicho visitante tendrá que ser consciente de ello y consentir el tratamiento de sus datos personales.  Y esto es independiente de si el administrador de la web tiene o no tiene influencia alguna sobre los datos transmitidos por el navegador del visitante de su sitio web al tercero dueño del plugin, y de si sabe o no sabe si el tercero los va a utilizar o cómo los utilizará.

Los banners publicitarios y los plugins son dos cosas diferentes. Al insertar un banner publicitario en tu web -ya sea bajo el amparo del programa de Google AdSense o uno específico por el que te pagan- obtienes una ventaja comercial a la par que permites a las webs o comercios electrónicos que los insertan optimizar la publicidad de sus productos y servicios al hacerlos más visibles en la red cuando un visitante clique en dicho botón.  Lo relevante aquí es analizar si el banner activa o no la recogida, el almacenamiento y la transmisión de datos personales del visitante de la web donde está insertado.

Por otro lado, un plugin puede cumplir diferentes funciones y no necesariamente produce una ventaja comercial directa para quién lo instala sino que ésta puede ser de tipo técnico. A título de ejemplo, aquí se menciona algunos de los varios plugins sociales más utilizados en el diseño de una página web hecha en WordPress, que podrían ser objeto de análisis:

  • Jetpack, es utilizado para mejorar las opciones sociales de compartir ya que permite incluir botones para un buen número de redes sociales, imprimir la página, enviar el post por correo electrónico a otro usuario, etc.;
  • SumoMe, es un plugin enfocado a la creación, gestión y desarrollo de estrategias de captación de suscriptores y email marketing gracias al cual se pueden diseñar formularios de suscripción de tipo ventana emergente o pop-up que van a aparecer en el sitio web determinadas veces y según el modo cómo lo definas;
  • Click to Tweet, permite destacar frases en tus posts y colocarlas a modo de cita en formato grande y dentro de una caja para que los usuarios puedan hacer retweet de dicha frase con un sólo click; es ideal para aumentar las interacciones de tus artículos del blog, para reforzar y destacar ideas del post y hacer que tengan visibilidad en Twitter y para mejorar el aspecto de tus artículos;
  • Digg Digg, es un plugin para incluir en tu sitio web botones de compartir en redes sociales que permite añadir iconos de social sharing en la parte superior o inferior de un post, e incluso colocarlos en una barra flotante lateral en la parte izquierda del post que puedes hacer fija para aumentar de este modo las interacciones con tu artículo. Esta barra puedes hacerla fija hasta el final del post, definir la distancia de la barra respecto al contenido, etc.

Nuestra recomendación final es simple: si vas a insertar un plugin o un banner publicitario en tu sitio web a través de los cuales se active la recogida y transmisión de datos personales de los visitantes de tu web en favor de un tercero (el proveedor del plugin o el titular de la web donde redirige el banner), informa de ello a tus visitantes, claramente y con antelación, en la Política de Privacidad de tu sitio de internet y dales la opción de que consientan antes dicho tratamiento, así como infórmales sobre los fines del tratamiento a que se destinan sus datos personales y la base de legitimación que lo sustenta.

Suscríbete a nuestro blog y podrás leer artículos como éste y otros más.

 

Algoritmo Legal

¿Insertar el “plugin” de un tercero en tu web te convierte en responsable del tratamiento de datos?
5 (100%) 2 vote[s]

Licencia de Creative Commons

Artículo bajo licencia de Creative Commons Reconocimiento-NoComercial-SinObraDerivada 4.0 Internacional.

 

"NO REPRODUZCAS SIN CITAR LA FUENTE"

Estimado lector: dispones del permiso del titular de Algoritmo Legal y del autor de este artículo para reproducir todo o una parte del mismo siempre que cites la fuente de origen. Simplemente indica lo siguiente:

 

Ricardo Oliva León. ¿Insertar el “plugin” de un tercero en tu web te convierte en responsable del tratamiento de datos? [online]. Algoritmo Legal. 11/02/2020. https://www.algoritmolegal.com/entorno-juridico-internet/insertar-el-plugin-de-un-tercero-en-tu-web-te-convierte-en-responsable-del-tratamiento-de-datos/. Consulta: [indicar la fecha en que has consultado el artículo]

 

Ricardo Oliva León

Abogado y socio director de Algoritmo Legal techlaw firm. Especializado en Derecho de las nuevas tecnologías y Derecho mercantil. Imparte clases en cursos de postgrado, escribe y habla sobre las cuestiones jurídicas que plantean internet, las tecnologías disruptivas, la protección de activos intangibles, las startups y la legaltech. Su cuenta de Twitter es @RicarditoOliva y su email es ricardo@algoritmolegal.com

También te podría gustar...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con asterisco.

Apariciones en Medios

Thomson Reuters El País Europa Press Wolters Kluwer Cadena Ser La Vanguardia Cinco Días Lawyerpress Law & Trends Confilegal Lefebvre Heraldo de Aragón El Peruano Criptonoticias 20 minutos
error: Este contenido está protegido.