Entradas

El administrador de una página de fans de Facebook es responsable conjuntamente con Facebook del tratamiento de los datos de los visitantes de su página

La sociedad alemana Wirtschaftsakademie Schleswig-Holstein está especializada en el ámbito de la educación. Ofrece servicios de formación, entre otros, mediante una página de fans alojada en Facebook en la dirección www.facebook.com/wirtschaftsakademie.

Los administradores de páginas de fans, como la Wirtschaftsakademie, pueden obtener estadísticas anónimas sobre los visitantes de esas páginas mediante una herramienta denominada Facebook Insight, que Facebook pone gratuitamente a su disposición conforme a condiciones de uso no modificables. Estos datos se recogen gracias a ficheros testigo («cookies»), cada uno de los cuales contiene un código de usuario único; estos ficheros permanecen activos durante dos años y son almacenados por Facebook en el disco duro del ordenador o en cualquier otro soporte de los visitantes de la página de fans. El código de usuario, que puede vincularse a los datos de conexión de los usuarios registrados en Facebook, se recoge y trata en el momento en que se abren las páginas de fans.

Mediante resolución de 3 de noviembre de 2011 el Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autoridad regional independiente de protección de datos de SchleswigHolstein, Alemania), en su condición de autoridad de control encargada, en virtud de la Directiva 95/46 sobre protección de datos, de vigilar la aplicación en el territorio del Land de SchleswigHolstein de las disposiciones adoptadas por Alemania en aplicación de dicha Directiva, ordenó a la Wirtschaftsakademie que desactivara su página de fans. En efecto, según el Unabhängiges Landeszentrum, ni la Wirtschaftsakademie ni Facebook informaban a los visitantes de la página de fans de que Facebook recogía mediante cookies datos personales a su respecto y de que posteriormente trataban esos datos.

La Wirtschaftsakademie interpuso un recurso contra esta resolución ante los tribunales de lo contencioso-administrativo alemanes, alegando que no le era imputable el tratamiento de datos personales efectuado por Facebook y que tampoco había encargado a Facebook que realizara un tratamiento de datos bajo su control o en el que ella pudiera influir. En consecuencia, la Wirtschaftsakademie estimaba que el Unabhängiges Landeszentrum debería haberse dirigido directamente contra Facebook y no contra ella.

En este contexto, el Bundesverwaltungsgericht (Tribunal Supremo de lo ContenciosoAdministrativo, Alemania) solicitó al Tribunal de Justicia que interpretara la Directiva 95/46 sobre la protección de datos.

En su sentencia dictada hoy, el Tribunal de Justicia observa para empezar que en este caso no se pone en duda que la sociedad americana Facebook y, respecto a la Unión, su filial irlandesa Facebook Ireland, deben considerarse «responsables del tratamiento» de los datos personales de los usuarios de Facebook, así como de las personas que visitan las páginas de fans alojadas en Facebook. En efecto, estas sociedades determinan, con carácter principal, los fines y los medios del tratamiento de esos datos.

Seguidamente, el Tribunal de Justicia declara que un administrador como la Wirtschaftsakademie debe ser calificado de responsable, conjuntamente con Facebook Ireland, del tratamiento de los datos en cuestión en el seno de la Unión.

En efecto, dicho administrador participa, mediante su acción de configuración (en función, en particular, de su audiencia destinataria, así como de objetivos de gestión o de promoción de sus actividades), en la determinación de los fines y de los medios del tratamiento de los datos personales de los visitantes de su página de fans. En particular, el Tribunal de Justicia señala a este respecto que el administrador de la página de fans puede solicitar la obtención (de forma anonimizada) ―y, por tanto, el tratamiento― de datos demográficos relativos a su audiencia destinataria (especialmente, de las tendencias en materia de edad, sexo, situación sentimental y profesión), información sobre el estilo de vida y los intereses de su audiencia destinataria (incluyendo información relativa a las compras y comportamiento de compras en línea de los visitantes de su página, así como a las categorías de productos o servicios que más les interesan), además de datos geográficos que permiten al administrador de la página de fans saber dónde efectuar promociones especiales u organizar eventos y, con carácter más general, dirigir de forma óptima su oferta de información.

Según el Tribunal de Justicia, el hecho de que un administrador de una página de fans utilice la plataforma ofrecida por Facebook para disfrutar de los servicios asociados a ésta no le exime de cumplir sus obligaciones en materia de protección de datos personales.

El Tribunal de Justicia subraya que el reconocimiento de una responsabilidad conjunta del operador de una red social y del administrador de una página de fans alojada en esa red en relación con el tratamiento de los datos personales de los visitantes de esa página de fans contribuye a garantizar una protección más completa de los derechos de que disponen las personas que visitan una página de fans, conforme a las exigencias de la Directiva 95/46 sobre la protección de datos.

Asimismo, el Tribunal de Justicia estima que, a fin de garantizar el cumplimiento en territorio alemán de las normas en materia de protección de datos personales, el Unabhängiges Landeszentrum es competente para hacer uso, no sólo frente a la Wirtschaftsakademie, sino también frente a Facebook Germany, de todos los poderes de que dispone en virtud de las disposiciones nacionales de transposición de la mencionada Directiva 95/46.

SENTENCIA COMPLETA

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: TRIBUNAL JUSTICIA UNION EUROPEA

Las respuestas escritas proporcionadas durante un examen profesional y las posibles anotaciones del examinador sobre esas respuestas son datos de carácter personal del aspirante, respecto a los cuales puede ejercitar, en principio, un derecho de acceso

Reconocer ese derecho al aspirante responde en efecto al objetivo de la normativa de la Unión que consiste en garantizar la protección del derecho a la intimidad de las personas físicas frente al tratamiento de datos que les afectan.

Una Directiva de la Unión define los datos personales como toda información sobre una persona física identificada o identificable.

El Sr. Peter Nowak, como contable en prácticas, aprobó la primera parte de los exámenes de contabilidad y tres de las pruebas de la segunda parte organizados por el Institute of Chartered Accountants of Ireland (Instituto de Auditores Públicos de Irlanda). Sin embargo, suspendió el examen de «contabilidad de gestión y finanzas estratégicas». A raíz del resultado desfavorable de este examen, en el otoño del año 2009 el Sr. Nowak, en un primer momento, presentó una reclamación contra la nota obtenida. Al ver desestimada su reclamación, presentó una solicitud de acceso a todos los datos de carácter personal que le afectaban, en poder el Instituto de Auditores
Públicos. En 2010, dicho Instituto remitió al Sr. Nowak 17 documentos, pero se negó a remitirle su ejemplar del examen, al considerar que no contenía datos personales.

Posteriormente, el Sr. Nowak impugnó ante la Supreme Court (Tribunal Supremo de Irlanda) la resolución del Comisario de protección de datos según la cual, por regla general, los ejemplares de los exámenes no son datos de carácter personal. Dicho órgano jurisdiccional pregunta al Tribunal de Justicia si las respuestas escritas proporcionadas por un aspirante durante un examen profesional y las posibles anotaciones del examinador sobre éstas son datos de ese tipo.

En su sentencia dictada hoy, el Tribunal de Justicia pone de relieve, en primer lugar, que un aspirante que participa en un examen profesional es una persona física que puede ser identificada directamente mediante su nombre o indirectamente mediante un número de identificación, pues el nombre o el número se plasman en el ejemplar del examen o en su cubierta. En este contexto es irrelevante que el examinador pueda o no identificar al candidato en el momento de la corrección y calificación del examen.

En segundo lugar, el Tribunal de Justicia comprueba si las respuestas escritas del aspirante durante un examen profesional y las posibles anotaciones del examinador en relación con ellas son datos que afectan a dicho aspirante. Precisa al respecto que el uso de la expresión «toda información» en el marco de la definición del concepto de «dato personal» que figura en la Directiva responde a la finalidad del legislador de la Unión de dar un sentido amplio al citado concepto, que no se ciñe a los datos confidenciales o relacionados con la intimidad, sino que puede incluir cualquier tipo de información, tanto objetiva como subjetiva, en forma de opiniones o apreciaciones, siempre que afecten a la persona de que se trate. Este último requisito se cumple cuando por su contenido, su finalidad o sus efectos, la información está relacionada con una persona determinada. Las respuestas escritas de un aspirante en un examen profesional son precisamente datos relacionados con su persona.

En efecto, el contenido de esas respuestas refleja el nivel de conocimientos y competencia del aspirante en un área determinada y, en ocasiones, sus procesos de reflexión, su discernimiento y su capacidad de análisis. Además, mediante la obtención de las respuestas se pretende valorar la capacidad profesional del aspirante y su aptitud para ejercer el oficio de que se trate. Finalmente, la utilización de esos datos, que se traduce, en particular, en el éxito o el fracaso del aspirante en el examen en cuestión, puede tener efectos en sus derechos e intereses, ya que puede condicionar o alterar, por ejemplo, sus oportunidades de acceder a la profesión o al empleo deseados.

El Tribunal de Justicia señala que, al igual que las respuestas proporcionadas por ese aspirante durante el examen, las anotaciones del examinador sobre las respuestas del aspirante son datos que le afectan. El contenido de esas anotaciones expresa la opinión o valoración del examinador acerca del rendimiento individual del aspirante en el examen y, en particular, sobre sus conocimientos y competencias en el área de que se trate.

El Tribunal de Justicia pone de relieve que la calificación como datos de carácter personal de las respuestas escritas del aspirante durante un examen profesional y de las posibles anotaciones del examinador respecto a esas respuestas no puede ser alterada por el hecho de que esa calificación permita a dicho aspirante, en principio, ejercitar los derechos de acceso y rectificación.

En efecto, entenderlo de otra manera supondría, en lo que se refiere a esas respuestas y anotaciones, eludir por completo la observancia de los principios y garantías en materia de protección de datos personales. Sin embargo, un aspirante que participa en el examen tiene, concretamente, un interés legítimo, basado en la protección de su intimidad, en oponerse a que las respuestas proporcionadas durante ese examen y las anotaciones del examinador sobre ellas sean utilizadas fuera del procedimiento de examen y, en particular, a que se comuniquen a terceros o incluso se publiquen sin su consentimiento. Asimismo, la institución que organiza el examen, como responsable del tratamiento de los datos, está obligada a garantizar que esas respuestas y anotaciones se almacenen de tal forma que se impida a terceros acceder a ellas de manera ilícita.

El Tribunal de Justicia declara, además, que los derechos de acceso y rectificación, establecidos en la Directiva, también pueden justificarse en relación con las respuestas escritas del aspirante  proporcionadas durante un examen profesional y con las posibles anotaciones del examinador sobre ellas. Es evidente que el derecho de rectificación no puede servir para permitir a un candidato «rectificar» posteriormente las respuestas «incorrectas», que en modo alguno son una inexactitud a efectos de la Directiva, que pueda legitimar un derecho de rectificación. Por el contrario, es posible que se den situaciones en las que esas respuestas y anotaciones resulten inexactas, por ejemplo, cuando por error se hayan cruzado las hojas de los exámenes de tal modo que las respuestas de otro aspirante se hayan atribuido al aspirante afectado. Además, no cabe descartar que un aspirante tenga derecho a solicitar al responsable del tratamiento de datos que, transcurrido un período de tiempo determinado, se supriman sus respuestas al examen y las correspondientes anotaciones del examinador, es decir, que se destruyan. Por consiguiente, puesto que las respuestas escritas de un aspirante en un examen profesional y las posibles anotaciones al respecto del examinador pueden someterse a la comprobación, en particular, de su exactitud y de la necesidad de su conservación, y pueden ser objeto de una rectificación o de supresión, el Tribunal de Justicia entiende que el hecho de dar al aspirante un derecho de acceso a esas respuestas y anotaciones responde al objetivo de la Directiva, consistente en garantizar la protección del derecho a la intimidad del aspirante en lo que respecta al tratamiento de sus datos, y ello con independencia de si el aspirante tiene o no ese derecho de acceso también en virtud de la normativa nacional aplicable al procedimiento de examen. El Tribunal de Justicia recuerda a este respecto que la protección del derecho fundamental al respeto de la intimidad implica, en especial, que toda persona física pueda asegurarse de que los datos personales que le afectan son exactos y que se utilizan de manera lícita.

Finalmente, el Tribunal de Justicia precisa que los citados derechos de acceso y rectificación no incluyen las preguntas del examen, que por su propia naturaleza no son datos personales del aspirante. Por otra parte, el Tribunal de Justicia recuerda que las normas jurídicas de la Unión establecen determinadas limitaciones a esos derechos. Así, los Estados miembros pueden adoptar medidas legales para limitar el alcance de las obligaciones y los derechos establecidos cuando esa limitación constituya una medida necesaria para salvaguardar los derechos y libertades de otras personas.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: COMUNICADO DE PRENSA CURIA

El consentimiento de un abonado telefónico a la publicación de sus datos abarca también su utilización en otro Estado miembro

La sociedad belga European Directory Assistance (EDA) ofrece servicios de información sobre números de abonados y el suministro de guías accesibles al público desde el territorio belga. Dicha entidad solicitó a las empresas que asignan números de teléfono a abonados de los Países Bajos (a saber Tele2, Ziggo y Vodafone Libertel) que pusieran a su disposición los datos relativos a sus abonados, basándose para ello en una obligación prevista en la normativa neerlandesa, que es en sí misma una trasposición de la Directiva europea relativa al servicio universal.  Al considerar que no estaban obligadas a suministrar esos datos a una empresa establecida en otro
Estado miembro, las mencionadas empresas se negaron a suministrar los datos solicitados.

Debiendo resolver el litigio, el College van Beroep voor het bedrijfsleven (Tribunal de apelación en materia económica, Países Bajos) ha planteado sendas cuestiones prejudiciales al Tribunal de Justicia. Además de la cuestión de si una empresa está obligada a poner los datos relativos a sus abonados a disposición de un proveedor de servicios de información sobre números de abonados y el suministro de guías establecido en otro Estado miembro, este órgano jurisdiccional desea saber, en caso de respuesta afirmativa, si procede dejar a los abonados la posibilidad de dar o no su consentimiento en función de los países en los que presta sus servicios la empresa que solicita estos datos. A este respecto, el órgano jurisdiccional neerlandés pregunta cómo deben ponderarse el principio de no discriminación y la protección de la intimidad.

En su sentencia, el Tribunal de Justicia declara, en respuesta a la primera cuestión, que la Directiva servicio universal comprende también cualquier solicitud hecha por una empresa  establecida en un Estado miembro distinto de aquél en el que están establecidas las empresas que asignan números de teléfono a los abonados.

En efecto, se desprende de la propia redacción del artículo pertinente de la Directiva que esta norma se aplica a todas las solicitudes razonables de puesta a disposición para la prestación de servicios de información sobre números de abonados y de guías de información accesibles al público. Además, este artículo obliga a que la puesta a disposición se lleve a cabo en condiciones no discriminatorias.

Por ello, este artículo no hace distinción alguna en función de que la solicitud se realice por una empresa establecida en el mismo Estado miembro en el que está establecida la empresa a la que se dirige la solicitud o en otro Estado miembro. Esta inexistencia de distinción es conforme con el objetivo perseguido por la Directiva, que tiene por objeto, en particular, garantizar la existencia de servicios de comunicaciones electrónicas disponibles al público, de buena calidad en toda la Unión a través de una competencia y una libertad de elección reales.

Además, la negativa a poner los datos relativos a los abonados a disposición de los solicitantes debido únicamente a que están establecidos en otro Estado miembro es incompatible con el principio de no discriminación.

Respecto a la cuestión de si procede dejar a los abonados la opción de dar o no su consentimiento en función de los países en los que presta sus servicios la empresa que solicita estos datos, el Tribunal de Justicia hace referencia a su jurisprudencia anterior. Si un abonado ha sido informado por la empresa que le ha asignado un número de teléfono de la posibilidad de que se transmitan sus datos de carácter personal a otra empresa, para publicarlos en una guía pública y ha consentido esta publicación, no debe ser objeto de un nuevo consentimiento del abonado de que se trate, siempre que se garantice que los datos de que se trata no puedan utilizarse con otros fines más que aquéllos para los que se hayan recogido para su primera publicación.

En efecto, en estas circunstancias, la transmisión de dichos datos a otra empresa que desee publicar una guía, sin que dicho abonado haya renovado su consentimiento, no atenta a la esencia misma del derecho a la protección de datos de carácter personal que reconoce la Carta de los Derechos Fundamentales de la Unión Europea.

Además, el Tribunal de Justicia declara que, cualquiera que sea su lugar de establecimiento en la Unión, la empresa que presta un servicio de información sobre números de abonados y de suministro de guías accesibles al público opera en un marco reglamentario ampliamente armonizado que permite garantizar en toda la Unión el mismo respeto de las exigencias en materia de protección de datos personales de los abonados.

Por ello, no es preciso que la empresa que asigna números de teléfono a sus abonados formule la solicitud de consentimiento dirigida al abonado de forma que éste exprese ese consentimiento de manera diferenciada en función del Estado miembro al que dichos datos pueden ser transmitidos.

ACCESO A LA SENTENCIA

ACCEDER A LA NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: TJUE

El Tribunal de Justicia considera que no existe derecho al olvido en relación con los datos personales recogidos en el registro de sociedades

En 2007, el Sr. Salvatore Manni, administrador único de una sociedad a la que se adjudicó un contrato para la construcción de un complejo turístico en Italia, interpuso una demanda contra la Cámara de Comercio de Lecce. A su juicio, los inmuebles de dicho complejo no se vendían porque en el registro de sociedades constaba que había sido administrador de otra sociedad, declarada en concurso de acreedores en 1992 y liquidada en 2005.

El Tribunale de Lecce (Tribunal de Lecce, Italia) ordenó a la Cámara de Comercio de Lecce que hiciera anónimos los datos que vinculaban al Sr. Manni con el procedimiento concursal de la primera sociedad y la condenó a indemnizar el perjuicio causado al Sr. Manni. La Corte Suprema di Cassazione (Tribunal de Casación, Italia), que conoce de un recurso de casación interpuesto por la Cámara de Comercio de Lecce contra esta sentencia, ha planteado al Tribunal de Justicia varias cuestiones prejudiciales. Desea saber si la Directiva relativa a la protección de los datos de las personas físicas 1 y la Directiva sobre la publicidad de los actos de las sociedades se oponen a que cualquier persona pueda acceder, sin límite en el tiempo, a los datos relativos a las personas físicas que figuran en el registro de sociedades.

Mediante su sentencia dictada hoy, el Tribunal de Justicia señala antes de nada que la publicidad de los registros de sociedades tiene por objeto garantizar la seguridad jurídica en las relaciones entre las sociedades y los terceros y proteger, en particular, los intereses de los terceros en relación con las sociedades anónimas y las sociedades de responsabilidad limitada, ya que dichas sociedades sólo ofrecen su patrimonio social como garantía respecto a ellos. Además, el Tribunal de Justicia observa que pueden producirse situaciones en las que se necesita disponer de datos personales recogidos en el registro de sociedades incluso muchos años después de que una empresa se haya liquidado. En efecto, habida cuenta 1) de la multitud de derechos y relaciones jurídicas que pueden vincular a una sociedad con actores en varios Estados miembros (aun tras su liquidación), y 2) de la heterogeneidad de los plazos de prescripción previstos por las diferentes normativas nacionales, resulta imposible identificar un plazo único a cuya expiración la inscripción de estos datos en el registro y su publicidad ya no sea necesaria.

En estas circunstancias, los Estados miembros no pueden garantizar a las personas físicas cuyos datos están inscritos en el registro de sociedades el derecho a obtener, tras un determinado plazo a contar desde la liquidación de la sociedad de que se trate, la supresión de los datos personales que les conciernen. El Tribunal de Justicia considera que esta injerencia en los derechos fundamentales de los interesados (concretamente, en el derecho al respeto de la vida privada y el derecho a la protección de datos personales, garantizados por la Carta de los Derechos Fundamentales de la Unión) no es desproporcionada, en la medida en que 1) en el registro de sociedades sólo está inscrito un número limitado de datos personales, y 2) está justificado que las personas físicas que deciden participar en los intercambios económicos mediante una sociedad anónima o una sociedad de responsabilidad limitada, que sólo ofrecen su patrimonio social como garantía respecto a terceros, estén obligadas a hacer públicos los datos relativos a su identidad y a sus funciones dentro de aquéllas. No obstante, el Tribunal de Justicia no excluye que, en situaciones concretas, razones legítimas relativas propias de la situación particular del interesado puedan justificar, excepcionalmente, que el acceso a los datos personales que le conciernen inscritos en el registro se limite, al expirar un plazo suficientemente largo tras la liquidación de la sociedad de que se trate, a los terceros que justifiquen un interés específico en su consulta. Tal limitación del acceso a los datos personales debe realizarse sobre la base de una apreciación caso por caso. Incumbe a cada Estado miembro decidir si desea establecer esta limitación del acceso en su ordenamiento jurídico. En el caso de autos, el Tribunal de Justicia considera que el mero hecho de que los inmuebles del complejo turístico no se vendan debido a que los potenciales adquirentes de estos inmuebles tienen acceso a los datos del Sr. Manni recogidos en el registro de sociedades no puede justificar una limitación del acceso de terceros a estos datos, considerando concretamente el interés legítimo de éstos a disponer de esa información.

ACCESO A LA SENTENCIA

ACCEDER AL COMUNICADO DE PRENSA COMPLETO EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: PRENSA TRIBUNAL DE JUSTICIA DE LA UNION EUROPEA