Language of document : ECLI:EU:C:2018:1039

Edición provisional

CONCLUSIONES DEL ABOGADO GENERAL

SR. MICHAL BOBEK

presentadas el 19 de diciembre de 2018(1)

Asunto C‑40/17

Fashion ID GmbH & Co. KG

contra

Verbraucherzentrale NRW eV

coadyuvantes:

Facebook Ireland Limited,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

[Petición de decisión prejudicial planteada por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania)]

«Procedimiento prejudicial — Directiva 95/46/CE — Protección de los datos personales de los usuarios de una página web — Legitimación activa de una asociación de consumidores — Responsabilidad del operador de una página web — Transferencia de datos personales a un tercero — Plug-in insertado — Botón «Me gusta» de Facebook — Interés legítimo — Consentimiento del interesado — Obligación de facilitar información»






I.      Introducción

1.        Fashion ID GmbH & Co. KG es una empresa de comercio electrónico dedicada a la venta de artículos de moda. En su página web insertó un plug-in: el botón «Me gusta» de Facebook. De esta manera, cuando un usuario accede a la página web de Fashion ID, se transfiere a Facebook la información sobre la dirección IP del usuario y la secuencia del navegador. Dicha transferencia se realiza automáticamente cuando se carga la página web de Fashion ID, con independencia de si el usuario ha clicado o no el botón «Me gusta» o de si tiene o no cuenta en Facebook.

2.        Verbraucherzentrale NRW eV, una asociación alemana de protección de los intereses de los consumidores, ejercitó una acción de cesación contra Fashion ID, al considerar que el uso de dicho plug-in infringía la normativa sobre protección de datos.

3.        El Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania), que conoce del asunto, solicita la interpretación de diversas disposiciones de la Directiva 95/46/CE. (2) Con carácter preliminar, el órgano jurisdiccional remitente desea saber si la mencionada Directiva permite que la legislación nacional reconozca a una asociación de consumidores legitimación activa para ejercer una acción como la del presente litigio. En cuanto al fondo del asunto, la cuestión fundamental que se plantea es si Fashion ID debe tener la consideración de «responsable del tratamiento» con respecto al tratamiento de datos de que se trata y, en caso afirmativo, cómo han de cumplirse concretamente en tal situación las obligaciones individuales que impone la Directiva 95/46. ¿Los intereses legítimos de qué personas han de ser tenidos en cuenta en la ponderación que exige el artículo 7, letra f), de la Directiva 95/46? ¿Está obligada Fashion ID a informar del tratamiento a los interesados? ¿Es también Fashion ID quien debe recabar el consentimiento informado de los interesados a este respecto?

II.    Marco jurídico

A.      Derecho de la Unión

Directiva 95/46

4.        El objetivo de la Directiva 95/46 se establece en su artículo 1, cuyo apartado 1 presenta el siguiente tenor: «Los Estados miembros garantizarán [...] la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales». De conformidad con el apartado 2 del mismo artículo, «los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1».

5.        El artículo 2 contiene las siguientes definiciones:

«a)      “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b)      “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

[...]

d)      “responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;

[...]

h)      “consentimiento del interesado”: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.»

6.        El artículo 7 establece los criterios que han de cumplirse para que el tratamiento de datos sea legítimo: «Los Estados miembros dispondrán que el tratamiento de datos personales solo pueda efectuarse si:

a)      el interesado ha dado su consentimiento de forma inequívoca, o

[...]

f)      es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.»

7.        El artículo 10 determina la información mínima que debe facilitarse al interesado:

«Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a)      la identidad del responsable del tratamiento y, en su caso, de su representante;

b)      los fines del tratamiento de que van a ser objeto los datos;

c)      cualquier otra información tal como:

–        los destinatarios o las categorías de destinatarios de los datos,

–        el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

–        la existencia de derechos de acceso y rectificación de los datos que la conciernen,

en la medida en que, habida cuenta de las circunstancias específicas en que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.»

8.        El capítulo III de la Directiva 95/46 versa sobre los recursos judiciales, responsabilidad y sanciones. Los artículos 22 a 24, comprendidos en dicho capítulo, disponen lo siguiente:

«Artículo 22

Recursos

Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante la autoridad de control mencionada en el artículo 28, y antes de acudir a la autoridad judicial, los Estados miembros establecerán que toda persona disponga de un recurso judicial en caso de violación de los derechos que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de que se trate.

Artículo 23

Responsabilidad

1.      Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido.

El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño.

Artículo 24

Sanciones

Los Estados miembros adoptarán las medidas adecuadas para garantizar la plena aplicación de las disposiciones de la presente Directiva y determinarán, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva.»

B.      Derecho alemán

Ley contra la Competencia Desleal

9.        El artículo 3, apartado 1, de la Gesetz gegen den unlauteren Wettbewerb (Ley contra la Competencia Desleal; en lo sucesivo, «UWG») prohíbe las prácticas comerciales desleales.

10.      El artículo 8, apartados 1 y 3, punto 3, de la UWG establece que las prácticas comerciales desleales pueden dar lugar a una orden de cesación o a una orden de prohibición a instancias de alguna de las «entidades habilitadas» que se enumeran en la Unterlassungsklagengesetz (Ley relativa a la Acción de Cesación) o en la lista de la Comisión Europea elaborada con arreglo al artículo 4, apartado 3, de la Directiva 2009/22/CE, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores. (3)

Ley relativa a la Acción de Cesación

11.      El artículo 2, apartados 1 y 2, punto 11, de la Ley relativa a la Acción de Cesación establece lo siguiente:

«(1)      Quien infrinja las normas de protección de los consumidores (leyes de protección de los consumidores), excepto al aplicar o recomendar condiciones generales de contratación, podrá ser objeto de una orden de cesación y de una orden de prohibición, en aras de la protección de los consumidores.

(2)      A efectos del presente artículo, se entenderá en particular por “leyes de protección de los consumidores”:

[…]

11.      las disposiciones que definen la licitud:

a)      de la recogida de datos personales de un consumidor por parte de una empresa, o

b)      del tratamiento o la utilización de datos personales relativos a un consumidor que hayan sido recabados por una empresa,

si los datos se recaban, tratan o utilizan con fines publicitarios, de estudios de mercado y opinión, de explotación de una entidad de información crediticia, de elaboración de perfiles de personalidad y de uso, de tráfico de datos de contacto y de otros tipos de datos o con fines comerciales similares.»

Ley relativa a determinados servicios de comunicación e información electrónicos

12.      El artículo 2, apartado 1, de la Telemediengesetz (Ley relativa a determinados servicios de comunicación e información electrónicos; en lo sucesivo, «TMG») dispone lo siguiente:

«A los efectos de la presente ley, se entenderá por:

1.      “prestador de servicios”: toda persona física o jurídica que ofrezca servicios de comunicación e información electrónicos propios o ajenos o que provea el acceso a los mismos; [...]».

13.      El artículo 12, apartado 1, de la TMG establece lo siguiente: «Los proveedores de servicios únicamente podrán recabar y utilizar datos personales con la finalidad de su puesta a disposición de los medios de comunicación electrónicos en la medida en que lo autorice la presente Ley u otra norma jurídica que regule expresamente los medios de comunicación electrónicos o el usuario haya prestado su consentimiento.»

14.      A tenor del artículo 13, apartado 1, de la TMG:

«Al inicio de la operación de uso, el prestador de servicios informará al usuario sobre el carácter, el alcance y los fines de la recogida y utilización de los datos personales y sobre el tratamiento de sus datos en países no comprendidos en el ámbito de aplicación de la [Directiva 95/46], en una forma que sea generalmente comprensible, a no ser que ya se le haya informado de ello. En caso de un proceso automatizado que permita una identificación posterior del usuario y preparar la recogida o utilización de datos personales, el usuario deberá ser informado al inicio de dicho proceso. El contenido de esta información debe ser accesible en todo momento para el usuario.»

15.      De conformidad con el artículo 15, apartado 1, de la TMG:

«El prestador de servicios solo podrá recabar y utilizar los datos personales del usuario cuando sea necesario para posibilitar y facturar el uso de medios electrónicos (datos de uso). Se consideran datos de uso, en particular:

1.      los datos de identificación del usuario;

2.      los datos de comienzo y fin del uso y de su alcance, y

3.      los datos de los servicios de comunicación e información electrónicos utilizados por el usuario.»

III. Hechos, procedimiento y cuestiones prejudiciales

16.      Fashion ID (en lo sucesivo, la «demandada») es una empresa de comercio electrónico que se dedica a la venta de artículos de moda a través de su página web. La demandada insertó en dicha página el plug-in «Me gusta», facilitado por Facebook Ireland Limited (en lo sucesivo, «Facebook Ireland»).(4) De este modo, el denominado botón «Me gusta» de Facebook aparece en la página web de la demandada.

17.      La resolución de remisión explica seguidamente cómo funciona la parte (invisible) de las funciones del plug-in: cuando un visitante accede a la página web de la demandada, donde está alojado el botón «Me gusta» de Facebook, su navegador automáticamente envía información sobre su dirección IP y su secuencia del navegador a Facebook Ireland. La transmisión de esta información se produce sin necesidad de que se clique en el botón «Me gusta» de Facebook. De la resolución de remisión también parece desprenderse que, cuando se visita la página web de la demandada, Facebook Ireland coloca distintos tipos de cookies (de sesión, DATR y FR) en el terminal del usuario.

18.      Verbraucherzentrale NRW (en lo sucesivo, la «demandante»), una asociación de protección de los intereses de los consumidores, interpuso una demanda contra la demandada ante un Landgericht (Tribunal Regional de lo Civil y Penal, Alemania). La demandante solicitó que se obligase a la demandada a cesar en la inserción del plug-in social «Me gusta» de Facebook en su página web, dado que la demandada lo había hecho:

–      «sin informar de forma expresa y visible a los usuarios de la página web de la finalidad de la recogida de los datos así transmitidos y del uso de estos hasta el momento en que el proveedor del plug-in comienza a acceder a la dirección IP y a la secuencia del navegador del usuario, o

–      sin recabar el consentimiento de los usuarios de la página web para que el proveedor del plug-in acceda a la dirección IP y a la secuencia del navegador y para el uso de los datos, antes de que se produzca el acceso, o

–      sin informar a los usuarios que han prestado su consentimiento, en el sentido del punto 2, del derecho a revocarlo en todo momento con efectos para el futuro, o

–      sin informar de que “si es usted usuario de una red social y no desea que esta recabe datos sobre usted por medio de nuestra página web y los asocie a sus datos de usuario almacenados en la red social, antes de visitar nuestra página web debe desconectarse de la red social.”»

19.      La demandante afirma que Facebook Inc. o Facebook Ireland almacenan la dirección IP y la secuencia del navegador que se han transmitido y las asocian a un usuario determinado (miembro o no miembro). La demandada responde que desconocía ese extremo. Facebook Ireland alega que la dirección IP se transforma en una dirección IP genérica y solamente se almacena en este formato, sin asignación de la dirección IP y de la secuencia del navegador a ninguna cuenta de usuario.

20.      El Landgericht (Tribunal Regional de lo Civil y Penal) falló en contra de la demandada en lo que respecta a las tres primeras pretensiones de la demanda, y la demandada recurrió en apelación. La demandante se adhirió a la apelación de la demandada con respecto a la cuarta pretensión.

21.      En el marco de los referidos antecedentes de hecho y de Derecho, el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf) decidió plantear las siguientes cuestiones prejudiciales al Tribunal de Justicia:

«1)      ¿Se oponen las disposiciones de los artículos 22, 23 y 24 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), a una normativa nacional que, además de las facultades de intervención de las autoridades de protección de datos y de las posibilidades de recurso que asisten al interesado, reconoce a las asociaciones de utilidad pública para la protección de los intereses de los consumidores la facultad de actuar contra el infractor en caso de incumplimiento?

En caso de respuesta negativa a la primera cuestión:

2)      En un caso como el presente, en que alguien inserta en su página web un código de programación que hace que el navegador del usuario solicite contenidos de un tercero, transmitiendo para ello datos personales a ese tercero, ¿quien inserta el código es “responsable del tratamiento”, en el sentido del artículo 2, letra d), de la [Directiva 95/46], aunque él mismo no pueda influir en dicha operación de tratamiento de datos?

3)      En caso de respuesta negativa a la segunda cuestión: ¿debe interpretarse el artículo 2, letra d), de la [Directiva 95/46] en el sentido de que regula taxativamente la responsabilidad de manera que se opone a que se actúe por la vía civil contra un tercero que, pese a no ser “responsable del tratamiento”, es el causante de la operación de tratamiento, sin influir en la misma?

4)      ¿A qué “interés legítimo” se ha de atender en una situación como la presente en la ponderación que debe realizarse conforme al artículo 7, letra f), de la [Directiva 95/46]? ¿Al interés en la inserción de contenidos de terceros o al interés del tercero?

5)      ¿A quién debe darse el consentimiento con arreglo a los artículos 7, letra a), y 2, letra h), de dicha Directiva 95/46 en una situación como la presente?

6)      ¿Ha de cumplir la obligación de información que establece el artículo 10 de la [Directiva 95/46] en una situación como la presente también el operador de la página web que ha insertado el contenido de un tercero, dando lugar así al tratamiento de los datos personales por el tercero?»

22.      Han presentado observaciones escritas la demandante, la demandada, Facebook Ireland, el Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (Responsable de Protección de Datos y Libertad de Información del Estado Federado de Renania del Norte-Westfalia; en lo sucesivo, «LDI NW»), los Gobiernos de Bélgica, Alemania, Italia, Austria y Polonia, así como la Comisión. En la vista celebrada el 6 de septiembre de 2018, formularon observaciones orales la demandante, la demandada, Facebook Ireland, el LDI NW, Bélgica, Alemania, Austria y la Comisión.

IV.    Apreciación

23.      En las presentes conclusiones sostendré que la Directiva 95/46 no se opone a una normativa nacional que reconoce legitimación activa a una asociación dedicada a la protección de los consumidores, como la demandante, para demandar a un presunto infractor de la legislación de protección de datos (sección A). Asimismo, considero que la demandada es corresponsable del tratamiento junto con Facebook Ireland, si bien su responsabilidad se limita a una fase concreta del tratamiento de los datos (sección B). En tercer lugar, soy del parecer de que el ejercicio de ponderación previsto en el artículo 7, letra f), de la Directiva 95/46 exige tener en cuenta el interés legítimo no solo de la demandada, sino también de Facebook Ireland (aparte, por supuesto, de los derechos del interesado) (sección C). En cuarto lugar, el consentimiento informado del interesado respecto a una determinada fase del tratamiento de los datos debe darse a la demandada. Además, esta está obligada a facilitar información al interesado (sección D).

A.      Legislación nacional que reconoce legitimación activa a las asociaciones de protección de los intereses de los consumidores

24.      Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente desea saber esencialmente si la Directiva 95/46 se opone a una normativa nacional que permite a las asociaciones de defensa de los intereses de los consumidores demandar a quienes presuntamente hayan infringido la legislación de protección de datos. A este respecto, el órgano jurisdiccional remitente cita, en concreto, los artículos 22 a 24 de la Directiva 95/46 y señala que la normativa nacional controvertida podría calificarse de «medida adecuada» conforme con el artículo 24. Recalca además que el Reglamento (UE) 2016/679 (en lo sucesivo, «RGPD»), (5) que ha sustituido a la Directiva 95/46, concede ahora expresamente tal facultad a las asociaciones en su artículo 80, apartado 2. (6)

25.      La demandada y Facebook Ireland alegan que la Directiva 95/46 no permite que se reconozca legitimación activa a ese tipo de asociaciones, pues no lo dispone expresamente, ya que, en su opinión, la Directiva 95/46 pretende llevar a cabo una armonización plena. En opinión de la demandada, permitir tal legitimación de esta forma comprometería la independencia de las autoridades de control debido a la presión pública a la que estas se verían expuestas.

26.      La demandante, el LDI NW y todos los Gobiernos que han presentado observaciones en el presente procedimiento están de acuerdo en que la Directiva 95/46 no se opone a la normativa controvertida.

27.      Coincido con ellos.(7)

28.      Para empezar, considero importante recordar la regla constitucional (por defecto) que contiene el apartado tercero del artículo 288 TFUE, conforme a la cual «la directiva obligará al Estado miembro destinatario en cuanto al resultado que deba conseguirse, dejando, sin embargo, a las autoridades nacionales la elección de la forma y de los medios» que garanticen del mejor modo posible el resultado perseguido por la Directiva. (8)

29.      Por lo tanto, a la hora de aplicar las obligaciones que les impone una directiva, los Estados miembros tienen libertad para adoptar las medidas que estimen oportunas, siempre que no estén excluidas expresamente por la propia directiva ni se opongan a sus objetivos.

30.      El tenor de la Directiva 95/46 no excluye expresamente la posibilidad de que el Derecho nacional reconozca legitimación activa a las asociaciones de protección de los derechos de los consumidores.

31.      En cuanto a los objetivos de la Directiva 95/46, entre ellos se incluye el de «garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales». (9) Además, a tenor del considerando 10 de la Directiva 95/46, «la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan, sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad». (10)

32.      De la resolución de remisión se puede inferir que Alemania ha reconocido legitimación activa a las asociaciones como la demandante para ejercer acciones en vía judicial contra lo que consideren una práctica comercial desleal o una práctica contraria a la legislación de protección de los consumidores, incluida la de protección de datos.

33.      En este contexto, no alcanzo a ver cómo el reconocimiento de dicha legitimación puede ser contrario a los objetivos de la Directiva 95/46 o socavar los esfuerzos dirigidos a alcanzarlos. En todo caso, el reconocimiento de legitimación a este tipo de asociaciones parece en realidad más bien redundar en favor de la consecución de dichos objetivos y de la aplicación de la Directiva, al contribuir eficazmente a reforzar los derechos de los interesados a través de las acciones colectivas. (11)

34.      Por lo tanto, considero que nada impide a los Estados miembros, si lo desean, establecer una disposición que reconozca la legitimación de las asociaciones, como la que permite a la demandante ejercitar una acción como la del procedimiento principal.

35.      En consecuencia, entiendo que la controversia suscitada en el curso del presente procedimiento acerca de si la normativa nacional controvertida está comprendida en el artículo 24 de la Directiva 95/46 como «medida adecuada» o si podría estarlo en el artículo 22 supone desviarse un tanto del núcleo de la cuestión. Si los Estados miembros deben aplicar una directiva utilizando los medios que estimen oportunos y si esa forma concreta de aplicación no está excluida ni por el tenor ni por el objetivo de la directiva, es una cuestión secundaria en qué artículo en concreto de la directiva debe subsumirse una determinada medida nacional. (12) No obstante, y a los efectos oportunos, las «medidas adecuadas para garantizar la plena aplicación de las disposiciones de la presente Directiva» a que se refiere el artículo 24 ciertamente pueden interpretarse en el sentido de que comprenden disposiciones nacionales como las controvertidas en el presente asunto.

36.      No creo que esta conclusión general se vea desvirtuada en modo alguno por las consideraciones siguientes, que se han abordado durante el presente procedimiento.

37.      En primer lugar, es cierto que la Directiva 95/46 no aparece en la lista que figura en el anexo I de la Directiva 2009/22. Esta última establece normas para las acciones de cesación que pueden ejercitar las denominadas «entidades habilitadas» a fin de reforzar la protección de los intereses colectivos de los consumidores. (13) La lista del anexo I contiene varias Directivas, entre las que no figura la Directiva 95/46.

38.      No obstante, tal como observa el Gobierno alemán, la lista del anexo I de la Directiva 2009/22 no puede considerarse exhaustiva en el sentido de que impide al legislador nacional establecer acciones de cesación relativas a la observancia de disposiciones contenidas en directivas distintas de las enumeradas en el anexo I de la Directiva 2009/22. Así pues, con mayor motivo, resultaría un tanto sorprendente que tal lista ilustrativa contenida en un acto de Derecho derivado se interpretase de pronto en el sentido de que priva a los Estados miembros de su libertad para elegir la forma de transposición de una directiva, libertad que les confiere el Tratado.

39.      En segundo lugar, paso a analizar la alegación formulada por la demandada y por Facebook Ireland sobre la plena armonización que lleva a cabo la Directiva 95/46, que, en su opinión, excluye toda acción que no esté expresamente prevista.

40.      Es cierto que el Tribunal de Justicia ha declarado reiteradamente que la armonización operada por la Directiva 95/46 no se limita a una armonización mínima, sino que constituye, «en principio, una armonización completa». (14) Al mismo tiempo, también se ha declarado que dicha Directiva «reconoce a los Estados miembros un margen de apreciación en ciertos aspectos», siempre que se respete la Directiva 95/46. (15)

41.      Como ya he señalado en otra ocasión, (16) la cuestión de si existe una «armonización plena» en el ámbito del Derecho de la Unión (en el sentido de reserva legislativa que impide cualquier actuación legislativa por parte de los Estados miembros) no puede abordarse con carácter general, en relación con toda una rama del Derecho o el objeto de una directiva, sino que este examen debe efectuarse en relación con cada disposición concreta (una determinada norma o un aspecto específico) de la directiva de que se trate.

42.      Si observamos las disposiciones específicas «de procedimiento» de la Directiva 95/46 de las que se trata en el presente asunto, es decir, los artículos 22 a 24, puede verse que están redactadas en términos muy generales. (17) Teniendo en cuenta el grado de generalidad y abstracción de dichas disposiciones, causa gran sorpresa la afirmación de que estas generan el efecto de reserva legislativa, de forma que impiden que los Estados miembros adopten cualquier medida que no esté específicamente mencionada en ellas. (18)

43.      En tercer lugar, otra alegación formulada por la demandada versó sobre la amenaza para la independencia de las autoridades de control. (19) Con ella se sugirió esencialmente que, si se admitiese la legitimación activa de las asociaciones de consumidores, estas ejercitarían acciones de forma paralela o en lugar de la autoridad de control, lo que se traduciría en una presión pública y en un sesgo en relación con la autoridad de control, que podría llegar incluso a contravenir el requisito de que las autoridades de control han de ser totalmente independientes que se establece en el artículo 28, apartado 1, de la Directiva.

44.      Esta alegación no es convincente. Siempre y cuando dicha autoridad de control sea verdaderamente independiente, (20) no alcanzo a entender, al igual que el Gobierno alemán, cómo puede comprometer su independencia una acción como la ejercitada en el procedimiento principal. Una asociación no puede hacer cumplir la ley en el sentido de que su opinión sea vinculante para las autoridades de control. Esta prerrogativa corresponde en exclusiva a los tribunales. Lo único que puede hacer una asociación de consumidores (en este sentido, al igual que cualquier consumidor individual) es ejercitar una acción. Por lo tanto, afirmar que cualquier acción (privada) ejercitada por un particular o por una asociación de consumidores supondría una presión sobre los organismos encargados de los procedimientos de cumplimiento (público) y que, por tanto, no se puede permitir su coexistencia con el sistema público de los procedimientos de cumplimiento es tan incongruente que no hay necesidad de ulteriores razonamientos. (21)

45.      En cuarto y último lugar, voy a ocuparme de la alegación según la cual el artículo 80, apartado 2, del RGPD debe entenderse en el sentido de que modifica (y pone fin a) la situación anterior permitiendo algo (la legitimación activa de las asociaciones) que antes no lo estaba.

46.      Esta alegación no es convincente.

47.      Es importante recordar que, con la sustitución de la Directiva 95/46 por el RGPD, la naturaleza del instrumento jurídico que regula la materia ha cambiado de directiva a reglamento. Dicho cambio también ha supuesto que, a diferencia de lo que ocurre con las directivas, que dejan a los Estados miembros libertad para elegir la forma de transponer el contenido del instrumento normativo, solo pueden adoptarse normas nacionales de transposición de un reglamento, en principio, cuando esté expresamente permitido.

48.      Así las cosas, resulta dudosa la alegación de que la disposición explícita sobre la legitimación de las asociaciones, que ahora incluye el RGPD, supone que dicha legitimación estaba excluida conforme a la Directiva 95/46. Si se pudiese extraer una conclusión de la yuxtaposición entre ambos textos normativos, (22) más bien sería la contraria: si la adopción de normas al objeto de reconocer tal legitimación no estaba prohibida por la Directiva 95/46 (partiendo de mi anterior razonamiento), el cambio de forma jurídica de directiva a reglamento justificaría la inclusión de la correspondiente disposición para dejar claro que se mantiene tal posibilidad.

49.      Por lo tanto, en vista de las anteriores consideraciones, mi primera conclusión parcial es que la Directiva 95/46 no se opone a una normativa nacional que reconoce a las asociaciones de utilidad pública legitimación activa para demandar al presunto infractor de la legislación de protección de datos a fin de proteger los intereses de los consumidores.

B.      ¿Tiene Fashion ID la condición de responsable del tratamiento?

50.      Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente desea que se aclare si la demandada, al haber insertado el plug-in en su página web, lo que da lugar a que el navegador del usuario solicite contenidos de un tercero y transmita datos personales a ese tercero, debe tener la consideración de «responsable del tratamiento» en el sentido del artículo 2, letra d), de la Directiva 95/46, aunque la demandada no pueda influir en la operación de tratamiento de los datos.

51.      La falta de poder de influencia en la operación de tratamiento a que se refiere el órgano jurisdiccional remitente en su cuestión prejudicial la entiendo, a efectos del presente asunto, en el sentido de que no se refiere al hecho de causar el proceso de transmisión de los datos (en el plano fáctico, la demandada evidentemente tiene influencia, ya que ha insertado el plug-in de que se trata). Antes bien, parece referirse al posible ulterior tratamiento de los datos por Facebook Ireland.

52.      Como apunta el órgano jurisdiccional remitente, la respuesta a esta segunda cuestión tiene una trascendencia que va más allá del presente asunto y de la red social gestionada por Facebook Ireland. Son muchas las páginas web que insertan contenido de terceros de muy diversa naturaleza. Si hubiese de calificarse a una persona como la demandada de «responsable del tratamiento», responsable o corresponsable de todo (ulterior) tratamiento que se produzca respecto de los datos recabados por el hecho de que dicho operador de la página web ha insertado contenidos de un tercero que permiten la transferencia de tales datos, tal apreciación tendría indubitadamente implicaciones más amplias para la forma en que se tratan los contenidos de terceros.

53.      En la estructura del presente caso, la segunda cuestión prejudicial es también la cuestión fundamental que llega al núcleo de la problemática: en casos de inserción de contenidos de un tercero en una página web, ¿quién es responsable y de qué exactamente? Asimismo, la (falta de) precisión de la respuesta a esta cuestión afectará a las respuestas a las subsiguientes cuestiones relativas a los intereses legítimos, al consentimiento y a la obligación de informar.

54.      En la presente sección, comenzaré con algunas observaciones preliminares sobre el concepto de «datos personales», pertinente para el presente asunto (1). Después expondré la reciente jurisprudencia del Tribunal de Justicia, sugiriendo cómo se podría responder a la segunda cuestión prejudicial si las anteriores decisiones del Tribunal de Justicia debieran seguirse sin preguntarse nada más (2). A continuación, explicaré por qué quizá sea preciso hacerse más preguntas y, en el contexto del presente asunto, por qué debe matizarse el análisis un tanto (3). Terminaré recalcando, a los efectos de la definición del concepto de control (conjunto), la importancia de la unidad de «fines y medios» que debe existir entre el responsable (conjunto) respecto a la respectiva fase del tratamiento de los datos personales (operación de tratamiento de los datos) de que se trata (4).

1.      Los datos personales en el presente asunto

55.      Debe recordarse que el concepto de «datos personales» se define en el artículo 2, letra a), de la Directiva 95/46 como «toda información sobre una persona física identificada o identificable (en lo sucesivo, el “interesado”)». A este respecto, el considerando 26 de la misma Directiva explica que, «para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona».

56.      El Tribunal de Justicia ya ha aclarado que, en determinadas circunstancias, una dirección IP puede constituir datos personales. (23) El Tribunal de Justicia también ha señalado que, a este respecto, para que exista una «persona identificable» a efectos del artículo 2, letra a), de la Directiva 95/46, «no es necesario que dicha información permita, por sí sola, identificar al interesado», de modo que puede ser necesario recurrir a datos adicionales. Asimismo, ha declarado que «no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona», siempre que la posibilidad de combinar los diferentes datos «constituy[a] un medio que pueda ser razonablemente utilizado para identificar al interesado». (24)

57.      El órgano jurisdiccional remitente no entra a valorar si la dirección IP, por sí sola o en combinación con la secuencia del navegador que se transmite con ella, constituye datos personales a tenor de estos criterios. Facebook Ireland se opone a tal calificación. (25)

58.      Es evidente que esta valoración le corresponde al órgano jurisdiccional nacional. En general, respecto a todo plug-in que pueda haberse insertado o a cualquier otro contenido de un tercero, para que la información se considere personal es indispensable que los datos permitan identificar al interesado (ya sea directa o indirectamente). A los efectos del presente asunto, daré por sentado que, como parece desprenderse de las cuestiones prejudiciales, en las circunstancias del procedimiento principal la dirección IP y la secuencia del navegador efectivamente constituyen datos personales y cumplen los criterios del artículo 2, letra a), de la Directiva 95/46 en la manera en que han sido aclarados por el Tribunal de Justicia.

2.      ¿Wirtschaftsakademie Schleswig-Holstein locuta, causa finita?

59.      Por lo que respecta a la respuesta a la segunda cuestión prejudicial, la demandada y Facebook Ireland alegan que no se puede considerar que la demandada sea responsable del tratamiento, ya que carece de influencia sobre los datos personales que van a ser tratados. Por lo tanto, solo Facebook Ireland encaja en dicha calificación. A título subsidiario, Facebook Ireland alega que la demandada actúa en colaboración con ella, como corresponsable del tratamiento, si bien la responsabilidad de una persona como la demandada se limita a su área de influencia real.

60.      La demandante, el LDI NW y todos los Gobiernos que han intervenido en el presente procedimiento, así como la Comisión, coinciden esencialmente en que el concepto de «responsable del tratamiento» es un concepto amplio que comprende a la demandada. Sin embargo, sus opiniones en cuanto al preciso alcance de la responsabilidad de la demandada varían sustancialmente en sus respectivas alegaciones. Las diferencias se refieren a la cuestión de si la responsabilidad de la demandada es o no compartida con la de Facebook Ireland, si debe limitarse o no a la fase del tratamiento de los datos personales en que interviene efectivamente la demandada y si se ha diferenciar a este respecto entre los visitantes de la página web de la demandada que tienen cuenta en Facebook y los que no tienen.

61.      Como punto de partida, está claro que, conforme al artículo 2, letra d), de la Directiva 95/46, el concepto de «responsable del tratamiento» comprende a toda persona que, «sol[a] o conjuntamente con otr[a]s, determine los fines y los medios del tratamiento de datos personales». (26) Por lo tanto, el concepto de responsable del tratamiento puede referirse a distintas personas que intervengan en el tratamiento de los datos personales (27) y debe interpretarse en sentido amplio. (28)

62.      La cuestión del control conjunto ha sido objeto del análisis del Tribunal de Justicia recientemente en la sentencia Wirtschaftsakademie Schleswig-Holstein. (29) Respecto al papel del administrador de una página de fanes de Facebook, el Tribunal de Justicia declaró que dicho administrador actuaba en calidad de responsable del tratamiento, conjuntamente con Facebook Ireland, a efectos del artículo 2, letra d), de la Directiva 95/46. Ello es debido a que el administrador contribuía a determinar, conjuntamente con Facebook Ireland, los fines y los medios del tratamiento de los datos personales de los visitantes de la página de fanes. (30)

63.      Más concretamente, el Tribunal de Justicia observó que, al crear la página de fanes en cuestión, el administrador ofreció a Facebook Ireland «la posibilidad de colocar cookies en los ordenadores o en cualquier otro aparato de la persona que haya visitado su página de fanes» y, por tanto, tratar datos personales. (31) El Tribunal de Justicia señaló que «la creación de una página de fanes en Facebook implica por parte de su administrador una acción de configuración, en función, entre otros aspectos, de su audiencia destinataria, así como de los objetivos de gestión o de promoción de sus actividades, que influye en el tratamiento de datos personales a efectos de la elaboración de las estadísticas establecidas a partir de las visitas de la página de fanes». (32) El tratamiento en cuestión permitió a Facebook Ireland «mejorar su sistema de publicidad», al tiempo que proveía al administrador de los medios para gestionar mejor, mediante estadísticas anónimas, la promoción de su propia actividad. (33)

64.      El Tribunal de Justicia llegó a la conclusión de que, mediante «su acción de configuración», el administrador participó en la determinación de los fines y los medios del tratamiento de los datos personales de los visitantes de su página de fanes. De este modo, dicho administrador debía ser calificado de responsable de ese tratamiento conjuntamente con Facebook Ireland (con una responsabilidad «aún mayor» respecto a los datos personales de los que no eran usuarios de Facebook Ireland). (34)

65.      En el asunto Jehovan todistajat, el Tribunal de Justicia hizo otra importante aclaración respecto al concepto de corresponsable del tratamiento: para que exista control conjunto y responsabilidad conjunta no es preciso que cada uno de los responsables tenga acceso a (todos) los datos personales de que se trate. Así pues, una comunidad religiosa también puede ser corresponsable del tratamiento cuando la propia comunidad aparentemente no tiene acceso a los datos recabados. En el citado asunto, eran los miembros de la comunidad de los Testigos de Jehová quienes tenían la posesión física de los datos personales. Bastaba con que la actividad de predicación durante la cual se habían recabado los datos estuviese organizada, coordinada y fomentada por dicha comunidad. (35)

66.      Visto desde un nivel de abstracción mayor y centrándose solo en el concepto de control conjunto, me veo obligado a admitir que, a la vista de estas recientes decisiones judiciales, se ha de concluir que la demandada actúa como responsable del tratamiento y es conjuntamente con Facebook Ireland responsable del tratamiento de los datos. (36)

67.       En primer lugar, parece que la demandada posibilitó a Facebook Ireland la obtención de los datos personales de los usuarios de su página web, al utilizar el plug-in en cuestión.

68.      En segundo lugar, es cierto que, a diferencia del administrador de que se trataba en el asunto Wirtschaftsakademie Schleswig-Holstein, no parece que la demandada determine la configuración de información alguna sobre los usuarios de su página web que le vaya a ser devuelta en formato anónimo o en otro formato. El «beneficio» perseguido parece ser la publicidad gratuita de sus productos, que supuestamente tiene lugar cuando el usuario de su página web decide clicar el botón «Me gusta» de Facebook para compartir, mediante su cuenta en dicha red, sus impresiones acerca de, pongamos, un vestido de noche negro. Así pues, y a reserva de la comprobación de los hechos que haga el órgano jurisdiccional remitente, el uso del plug-in permite a la demandada optimizar la publicidad de sus productos al mostrarlos en Facebook.

69.      Alternativamente, desde otro punto de vista, podría decirse que la demandada determina (o codetermina) la configuración de los datos recabados con el mero acto de insertar plug-in en su página web. Es el propio plug-in el que establece la configuración de los datos personales que se recaban. Por lo tanto, al integrar voluntariamente dicha herramienta en su página web, la demandada ha establecido dicha configuración respecto a todo visitante que acceda a ella.

70.      En tercer lugar, y en cualquier caso, a la luz de la sentencia Jehovan todistajat, un corresponsable del tratamiento puede tener tal consideración aun sin tener acceso a los «frutos de la colaboración». En consecuencia, no resulta determinante el hecho de que la demandada no tenga acceso a los datos transmitidos a Facebook o que, según parece, no reciba a cambio estadísticas personalizadas o agregadas.

3.      Los problemas: ¿quién entonces no es corresponsable del tratamiento?

71.      ¿Mejorará la protección efectiva si se hace a todo el mundo responsable de garantizarla?

72.      Este es, en esencia, el dilema moral y práctico que plantea el presente asunto y que se expresa en términos jurídicos mediante el alcance de la definición de responsable (conjunto) del tratamiento. Con el comprensible propósito de garantizar la protección efectiva de los datos personales, la reciente jurisprudencia del Tribunal de Justicia ha sido muy laxa cuando se le ha pedido que defina, de una u otra manera, el concepto de responsable (conjunto) del tratamiento. Sin embargo, hasta ahora, el Tribunal de Justicia no se ha enfrentado a las consecuencias prácticas de tan amplia definición en relación con las ulteriores fases de las obligaciones exactas y las responsabilidades específicas de aquellos a los que se califica de corresponsables del tratamiento. Dado que el presente asunto ofrece precisamente tal oportunidad, propongo aprovecharla para incrementar la precisión de las necesarias definiciones del concepto de responsable (conjunto) del tratamiento.

a)      Sobre la obligación y la responsabilidad

73.      Si se analiza de manera crítica el criterio aplicable para identificar a un «corresponsable del tratamiento», da la impresión de que el criterio fundamental que subyace a las sentencias Wirtschaftsakademie Schleswig-Holstein y Jehovan todistajat es si la persona en cuestión «posibilitó» la recogida y transmisión de los datos personales, acaso unido a cierta intervención de dicho corresponsable en la configuración (o, al menos, a su tácita aprobación de esta). (37) Si tal es el caso, entonces a pesar de la declarada intención de excluir este resultado en la sentencia Wirtschaftsakademie Schleswig-Holstein, (38) no está claro cómo los usuarios comunes de una aplicación en línea, ya sea una red social o cualquier otra plataforma colaborativa, pero también de otros programas, (39) pueden evitar convertirse también en corresponsables del tratamiento. Por lo general, un usuario crea su cuenta, indicándole al administrador la configuración en cuanto a cómo se ha de estructurar, qué información desea recibir, sobre qué temas y de quién. Asimismo, invitará a sus amigos, compañeros y otras personas a compartir información en forma de datos personales (con frecuencia, muy sensibles) por medio de la aplicación, facilitando de este modo no solo datos sobre esas personas, sino también invitándolas a participar en ello, y contribuyendo así de manera patente a la obtención y el tratamiento de los datos personales de dichas personas.

74.      Por otro lado, ¿qué sucede con las demás partes intervinientes en una «cadena de datos personales»? Llevado al extremo, si el único criterio pertinente respecto del control conjunto es haber posibilitado el tratamiento de los datos, contribuyendo así efectivamente al mismo en cualquiera de sus fases, ¿no tendría acaso el proveedor de acceso a Internet, que hace posible el tratamiento al facilitar el acceso a Internet, o incluso el proveedor de la electricidad, la consideración de corresponsable del tratamiento con la consiguiente posibilidad de incurrir en responsabilidad conjunta por el tratamiento de datos personales?

75.      Obviamente, la respuesta intuitiva es no. El problema es que, hasta ahora, la delimitación de la responsabilidad no se deduce de la definición amplia del concepto de responsable del tratamiento. El peligro de que esa definición sea tan amplia es que hace corresponsables del tratamiento de datos personales a un elevado número de personas.

76.      Sin embargo, a diferencia de los asuntos descritos en la sección anterior, las cuestiones que plantea el órgano jurisdiccional remitente en el presente asunto no se detienen en la definición del concepto de responsable del tratamiento. Antes bien, profundizan y continúan explorando aspectos conexos, relativos a la atribución de obligaciones impuestas por la Directiva 95/46. Estos mismos aspectos evidencian los problemas de una definición excesivamente amplia del concepto de responsable del tratamiento, máxime ante la ausencia añadida de una regulación precisa de las obligaciones y responsabilidades exactas que incumben a los responsables del tratamiento en virtud de la Directiva 95/46. Buena muestra de ello son las observaciones de las partes interesadas al responder a las cuestiones quinta y sexta, relativas a la atribución exacta de responsabilidades con arreglo a dicha Directiva.

77.      Mediante la quinta cuestión prejudicial se pregunta esencialmente quién ha de recabar el consentimiento del interesado y paraqué propósito. Las respuestas que se proponen a esta cuestión difieren en gran medida.

78.      En opinión de la demandante y del LDI NW, la obligación de obtener el consentimiento informado del interesado corresponde a la demandada, que es quien decidió insertar el plug-in en cuestión. Según la demandante, ello adquiere singular importancia respecto a quienes no son usuarios de Facebook y no han aceptado las condiciones generales de uso de esta red social. La demandada considera que es al tercero que proporciona el contenido insertado, es decir, Facebook Ireland, a quien se debe dar el consentimiento. Por su parte, Facebook Ireland entiende que el consentimiento no se ha de dar a ningún destinatario concreto, pues la Directiva 95/46 solo dice que el consentimiento debe ser libre, específico e informado.

79.      Austria, Alemania y Polonia alegan que el consentimiento debe darse antes de que se produzca el tratamiento de los datos y, en opinión de Austria, debe referirse tanto a su recogida como a su posible transmisión. Polonia subraya que es a la demandada a quien debe darse el consentimiento. Alemania considera que debe darse o bien a la demandada o bien al tercero que suministra el contenido insertado (Facebook Ireland), pues ambos son corresponsables del tratamiento. Afirma que la demandada solo debe recibir el consentimiento para la transmisión de los datos al tercero, ya que no actúa como responsable respecto al resto del tratamiento y uso de los datos recabados. Sin embargo, ello no excluye la posibilidad de que el operador de la página web reciba el consentimiento relativo al tratamiento por parte del tercero, que puede regirse por un acuerdo entre ambos. Italia alega que el consentimiento debe darse a todos cuantos intervienen en el tratamiento de los datos personales, es decir, la demandada y Facebook Ireland. Bélgica y la Comisión subrayan que la Directiva 95/46 no especifica a quién debe darse el consentimiento.

80.      Similar diversidad de pareceres existe también acerca de a quién le incumbe la obligación de informar prevista en el artículo 10 de la Directiva 95/46 y sobre qué exactamente ha de informar, aspectos a los que se refiere la sexta cuestión prejudicial.

81.      En opinión de la demandante, es al operador de la página web a quien corresponde la obligación de transmitir la información necesaria al interesado. La demandada sostiene la postura contraria, señalando que le corresponde a Facebook Ireland facilitar esa información, ya que la demandada carece de un conocimiento preciso. En un sentido similar, Facebook Ireland subraya que la obligación de informar le corresponde a ella misma, pues tal obligación le incumbe al responsable del tratamiento (o a su representante). Apunta que la respuesta a la sexta cuestión está estrechamente vinculada a la relativa a si el operador de la página web tiene o no la condición de responsable del tratamiento. El artículo 10 evidencia que resulta inapropiado calificar de responsable del tratamiento al operador de la página web, puesto que no está en condiciones de facilitar la información requerida. El LDI NW considera que la información debe proporcionarla el operador de la página web, pero reconoce la dificultad que entraña determinar qué información se ha de facilitar, ya que la demandada no tiene influencia alguna sobre el tratamiento de los datos por parte de Facebook Ireland. La imbricación entre los objetivos del tratamiento de datos sugiere que el operador de la página web debe ser corresponsable del tratamiento que ha hecho posible.

82.      Bélgica, Italia y Polonia afirman que la obligación de informar también le incumbe a un operador de una página web como el del presente asunto, ya que le es aplicable la calificación de responsable del tratamiento. Bélgica añade que el operador de la página web también podría estar obligado a verificar la finalidad del ulterior tratamiento de los datos y a adoptar las medidas oportunas para garantizar la protección de las personas físicas. El Gobierno alemán aduce que la obligación de informar le incumbe al operador de la página web en la medida en que es responsable del tratamiento, es decir, en lo referido a la transmisión de los datos al proveedor externo del contenido insertado, pero no en lo relativo a toda ulterior fase de tratamiento, cuya responsabilidad corresponde a dicho proveedor externo. En opinión de Austria y de la Comisión, tanto el operador de la página web como el proveedor externo están sujetos a la obligación de facilitar información conforme al artículo 10 de la Directiva 95/46.

83.      Más allá de la problemática que plantean las cuestiones quinta y sexta, cabe añadir que similares dificultades conceptuales pueden surgir al analizar otras obligaciones establecidas por la Directiva 95/46, como el derecho de acceso previsto en su artículo 12. Es cierto que, en el asunto Wirtschaftsakademie Schleswig-Holstein, el Tribunal de Justicia declaró que «la Directiva 95/46 no exige, cuando existe una responsabilidad conjunta de varios operadores respecto a un mismo tratamiento, que cada uno de ellos tenga acceso a los datos personales en cuestión». (40) Sin embargo, el responsable que no tiene acceso él mismo a unos datos por los que, pese a todo, se le considera responsable (conjunto) del tratamiento en buena lógica no puede facilitar tal acceso tampoco a ningún interesado (por no mencionar el caso de otras operaciones, como la rectificación o la supresión).

84.      Por lo tanto, en este punto, la falta de claridad en los conceptos superiores (quién es el responsable del tratamiento y respecto a qué exactamente), que en ocasiones puede generar dudas en los conceptos inferiores (qué obligación incumbe a quién), lleva a una imposibilidad real de que un eventual corresponsable del tratamiento cumpla la normativa aplicable.

85.      Ciertamente, se podría afirmar que, para la atribución precisa de la responsabilidad entre los responsables del tratamiento (o corresponsables, que pueden llegar a ser de número elevado), es preciso pactarlo en contrato. En este no solo se estipularía la atribución de la responsabilidad, sino que se definiría la parte que debe cumplir cada una de las obligaciones impuestas por la Directiva, incluidas las que solo pueden ser físicamente cumplidas por una de las partes.

86.      A mi parecer, tal enfoque es muy problemático. En primer lugar, está totalmente alejado de la realidad, teniendo en cuenta el notable número de contratos tipo que tendrían que suscribir toda clase de partes, incluidos, con elevada probabilidad, muchos usuarios comunes. (41) En segundo lugar, la aplicación de la legislación vigente y la atribución de las responsabilidades que establece quedarían supeditadas a contratos entre particulares, a los cuales podrían no tener acceso aquellos terceros que quisiesen hacer valer sus derechos.

87.      En tercer lugar, quizá anticipándose a algunas de estas cuestiones, el RGPD parece introducir un nuevo régimen de responsabilidad conjunta en su artículo 26. Es cierto que el RGPD no es aplicable, ratione temporis, a la controversia que se aborda en la presente sección ni al presente asunto. Sin embargo, salvo que la nueva normativa introdujera una excepción específica o general a las definiciones pertinentes (lo que no parece ser el caso, ya que el artículo 4 del RGPD mantiene en gran medida los mismos términos de base que el artículo 2 de la Directiva 95/46, al tiempo que añade algunos más), sería sorprendente que la interpretación de tales conceptos de base, incluidos los de responsable del tratamiento, tratamiento y datos personales, se apartase sustancialmente (sin un buen motivo para ello) de la jurisprudencia asentada.

88.      Si así fuera, lo que parece constituir un régimen de responsabilidad conjunta de los corresponsables del tratamiento introducido por el artículo 26, apartado 3, del RGPD podría convertirse en un complejo desafío. Por un lado, el apartado 1 de dicho artículo permite a los corresponsables del tratamiento «determina[r] [...] sus responsabilidades respectivas en el cumplimiento de las obligaciones». Por otro lado, sin embargo, su apartado 3 deja claro que «los interesados podrán ejercer los derechos [...] frente a, y en contra de, cada uno de los responsables», independientemente de cualquier acuerdo celebrado al respecto. Así pues, cualquiera de los corresponsables del tratamiento puede ser considerado responsable del tratamiento en cuestión.

b)      Una perspectiva más amplia

89.      Hace mucho tiempo (los amantes de cierta saga de ciencia ficción quizá quisieran añadir: «en una galaxia muy, muy lejana»), estaba guay pertenecer a una red social. Poco a poco, lo guay empezó a ser no pertenecer a ninguna. Hoy en día, parece pecado estar en una de ellas (y con respecto a las cuales han de establecerse novedosas formas de responsabilidad indirecta).

90.      No se puede negar que las decisiones judiciales se toman en el marco de un contexto social cambiante. Sin duda, deben adaptarse a ese contexto, pero no dejarse dominar por él. Como cualquier otra aplicación o programa, las redes sociales son herramientas. Al igual que un cuchillo o un coche, se pueden utilizar de diversas maneras. Tampoco cabe duda de que, si se usan con fines ilícitos, ese uso debe ser perseguido. Pero no parece que sea una buena idea sancionar a todo aquel que alguna vez haya usado un cuchillo. Normalmente se procede contra la persona o personas que blandían el cuchillo cuando causó el daño.

91.      Por lo tanto, debería haber, aunque quizá no siempre una coincidencia perfecta, al menos sí una razonable correlación entre poder, control y responsabilidad. El Derecho moderno evidentemente contempla distintas formas de responsabilidad objetiva, en que se puede incurrir por la mera aparición de ciertos resultados. Pero tienden a ser excepciones justificadas. Si la responsabilidad se atribuye, sin una explicación razonada, a alguien que no tiene ningún control sobre el resultado, tal atribución de responsabilidad será generalmente percibida como irrazonable o injusta. (42)

92.      Por otro lado, al responder a la cuestión formulada al comienzo de esta sección (punto 71), un escéptico procedente de la zona más oriental de la Unión quizá podría afirmar, partiendo de su experiencia histórica, que la protección efectiva de algo tiende a disminuir exponencialmente cuando se hace responsable de ella a todo el mundo. Hacer responsable a todo el mundo equivale a que nadie sea en realidad responsable. O, mejor dicho, es probable que la persona concreta a quien debería haberse atribuido la responsabilidad por una determinada acción, aquella que ejercía el control real, se esconda detrás de todos esos otros «corresponsables» nominalmente, con la consiguiente probabilidad de que se diluya significativamente la protección efectiva.

93.      Por último, ninguna (interpretación de una) norma de Derecho que se precie debe dar lugar a que las obligaciones que impone no puedan ser cumplidas por sus destinatarios. Por lo tanto, a no ser que la sólida definición de control (conjunto) pretenda convertirse en una orden con aval judicial a desconectarse y abstenerse de usar cualquier red social, plug-in y potencialmente cualquier otro contenido de terceros, al definir las obligaciones y responsabilidades debe tenerse en cuenta la realidad, una vez más, considerando los conocimientos y el verdadero poder de negociación y capacidad de influencia en cualesquiera de las actividades imputadas. (43)

4.      Vuelta a las raíces (legislativas): unidad de fines y medios respecto a una determinada operación de tratamiento

94.      Pese a su postura bastante estricta al definir el control conjunto en la sentencia Wirtschaftsakademie Schleswig-Holstein, el Tribunal de Justicia también apuntó a la necesidad de limitar la responsabilidad del responsable (conjunto) del tratamiento. Más concretamente, señaló que «la existencia de una responsabilidad conjunta no se traduce necesariamente en una responsabilidad equivalente de los diversos agentes a los que atañe un tratamiento de datos personales [sino que] esos agentes pueden presentar una implicación en distintas etapas de ese tratamiento y en distintos grados, de modo que el nivel de responsabilidad de cada uno de ellos debe evaluarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto». (44)

95.      Aunque no era necesario abordar ese aspecto concreto en el asunto Wirtschaftsakademie Schleswig-Holstein, sí lo es en el presente caso, en que el órgano jurisdiccional remitente invita directamente al Tribunal de Justicia a determinar las posibles obligaciones que incumben a la demandada en su condición de responsable del tratamiento.

96.      A la vista del sistema de responsabilidad conjunta recientemente introducido en el artículo 26 del RGPD, puede resultar difícil prever la forma en que la responsabilidad conjunta puede implicar, con respecto al mismo resultado, una responsabilidad diferenciada por el eventual tratamiento (il)lícito de los datos personales. Esto es así, en particular, a la vista del artículo 26, apartado 3, del RGPD, que parece apuntar en dirección a la responsabilidad conjunta (y solidaria). (45)

97.      No obstante, a mi parecer, la afirmación fundamental del Tribunal de Justicia es la segunda, cuando dice que los «agentes pueden presentar una implicación en distintas etapas de ese tratamiento y en distintos grados». Esta aseveración halla respaldo en las definiciones que figuran en la Directiva 95/46, especialmente las correspondientes a (i) el concepto de «tratamiento» del artículo 2, letra b), y (ii) el concepto de «responsable del tratamiento» del artículo 2, letra d).

98.      En primer lugar, el concepto de «tratamiento de datos personales» comprende «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción».

99.      Aunque el concepto de «tratamiento», a semejanza del de «responsable del tratamiento», es bastante amplio, (46) claramente destaca y apunta a una de las fases del tratamiento: se refiere a una operación o conjunto de operaciones y ofrece una lista ilustrativa de cuáles pueden ser tales operaciones individuales. Pero, lógicamente, la cuestión del control debe valorarse entonces teniendo en cuenta la operación concreta de que se trate, no un abanico indeterminado de todo aquello que pueda calificarse de «tratamiento». (47)

100. En segundo lugar, el concepto de control conjunto no se define de manera específica en la Directiva 95/46. Sin embargo, lógicamente, se basa en el concepto de «responsable del tratamiento» del artículo 2, letra d): existe un control conjunto cuando dos o más personas determinan los medios y los fines del tratamiento de los datos personales. (48) En otras palabras, para que dos (o más) personas puedan tener la consideración de corresponsables del tratamiento, debe existir entre ellas identidad de fines y medios del tratamiento de datos personales.

101. La combinación de estas dos definiciones, en mi opinión, ha de ser la que determine las obligaciones y la eventual responsabilidad de los corresponsables del tratamiento. Un responsable (conjunto) del tratamiento tiene responsabilidad por la operación o la serie de operaciones en relación con las cuales comparta o codetermine los fines y los medios respecto a una determinada operación de tratamiento. En cambio, esa persona no puede ser considerada responsable ni de las fases anteriores ni de las posteriores de la cadena de tratamiento con respecto a las cuales no estuviera en condiciones de determinar ni los fines ni los medios.

102. En el presente caso, la fase (operaciones) pertinente del tratamiento es la de la recogida y transmisión de los datos personales que se produce mediante el botón «Me gusta» de Facebook.

103. En primer lugar, por lo que respecta a los medios de dichas operaciones de tratamiento de datos, tal como señalan la demandante, el LDI NW y el Gobierno alemán, parece estar acreditado que la demandada decide sobre el uso del plug-in en cuestión, que sirve de vehículo para la recogida y transmisión de los datos personales. La recogida y transmisión de datos se desencadena cuando se visita la página web de la demandada. El plug-in se lo proporcionó a la demandada Facebook Ireland. Así pues, tanto esta última como la demandada parecen haber ocasionado voluntariamente la fase de recogida y transmisión del tratamiento de datos. Naturalmente, corresponde al órgano jurisdiccional remitente comprobar estos hechos.

104. En segundo lugar, en cuanto al fin del tratamiento de los datos, la resolución de remisión no menciona los motivos por los que la demandada decidió insertar en su página web el botón «Me gusta» de Facebook. Sin embargo, y sin perjuicio de la comprobación que haga el órgano jurisdiccional remitente, tal decisión parece estar inspirada por el deseo de aumentar la visibilidad de los productos de la demandada por medio de las redes sociales. Al mismo tiempo, da la impresión también de que los datos transferidos a Facebook Ireland se utilizan para los propios fines comerciales de esta última.

105. A pesar de que el uso comercial concreto de los datos puede no ser el mismo, en términos generales tanto la demandada como Facebook Ireland parecen perseguir fines comerciales complementarios entre sí. De este modo, si bien no hay identidad, sí existe unidad de fines: existe una finalidad comercial y publicitaria.

106. Por lo tanto, atendiendo a los hechos del presente asunto, parece que la demandada y Facebook Ireland deciden conjuntamente sobre los medios y los fines del tratamiento de los datos en la fase de recogida y transmisión de los datos personales en cuestión. A este respecto, la demandada actúa como responsable del tratamiento, y su responsabilidad, también a este respecto, es conjunta con la de Facebook Ireland.

107. Asimismo, considero que la responsabilidad de la demandada debe limitarse a la fase del tratamiento de datos en la que participa, y que no se puede extender a todas las eventuales fases ulteriores del tratamiento si se producen fuera de su control y, según parece, incluso sin su conocimiento.

108. Habida cuenta de las anteriores consideraciones, mi segunda conclusión parcial es que una persona que, como la demandada, ha insertado un plug-in de un tercero en su página web que genera la recogida y transmisión de datos personales del usuario (habiendo proporcionado dicho tercero el plug-in) debe ser considerada responsable del tratamiento a efectos del artículo 2, letra d), de la Directiva 95/46. No obstante, su responsabilidad (conjunta) se limita a las operaciones respecto de las cuales efectivamente decide conjuntamente sobre los medios y los fines del tratamiento de los datos personales.

109. Ha de añadirse que esta conclusión responde también a la tercera cuestión prejudicial. Con ella el órgano jurisdiccional remitente desea que se aclare, en esencia, si la Directiva 95/46 se opone a la aplicación del concepto de Derecho nacional de «Störer» («perturbador») a la demandada si se llegase a la conclusión de que esta no puede ser considerada responsable del tratamiento. Según la resolución de remisión, el concepto de «Störer» requiere que la persona que no ha vulnerado por sí misma un derecho pero que ha generado o incrementado el riesgo de su vulneración por un tercero haga todo lo que esté en su mano para evitar dicha vulneración. En caso de que no pueda considerarse a la demandada responsable del tratamiento, el órgano jurisdiccional remitente sugiere que concurren los requisitos para calificarla de «Störer», ya que, al insertar el plug-in del botón «Me gusta» de Facebook, generó, cuando menos, el riesgo de infracción por parte de Facebook.

110. Habida cuenta de la respuesta dada a la segunda cuestión prejudicial, no procede responder a la tercera. Al haberse concluido que una determinada persona debe ser considerada responsable del tratamiento a efectos de la Directiva 95/46, sus obligaciones como tal deben valorarse a la luz de las obligaciones que establece dicha Directiva. La conclusión contraria daría lugar a una diferenciación en las responsabilidades de los responsables del tratamiento por una determinada infracción entre los diferentes Estados miembros. En este sentido, y con respecto a la definición del concepto de responsable del tratamiento, la Directiva 95/46 efectivamente introduce una armonización plena en relación con los destinatarios de las obligaciones establecidas. (49)

C.      Interés legítimo que se debe tener en cuenta con arreglo al artículo 7, letra f), de la Directiva 95/46

111. La cuarta cuestión prejudicial planteada en el presente asunto versa sobre la legitimidad del tratamiento de datos personales si no existe un consentimiento del interesado con arreglo al artículo 7, letra a), de la Directiva 95/46.

112. A este respecto, el órgano jurisdiccional remitente hace referencia al artículo 7, letra f), de la Directiva 95/46, con arreglo al cual el tratamiento de datos personales puede efectuarse si «es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado [...]». En concreto, el órgano jurisdiccional remitente desea saber a los intereses legítimos de quién se debe atender en el contexto del presente asunto: a los de la demandada que ha insertado el contenido de un tercero o a los de este último (Facebook Ireland). (50)

113. A título preliminar, debe señalarse que la Comisión considera irrelevante la cuarta cuestión porque, en el presente caso, el consentimiento del usuario debe prestarse de todas maneras en virtud de la legislación de transposición de la Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (en lo sucesivo, «Directiva sobre la privacidad y las comunicaciones electrónicas»). (51)

114. Estoy de acuerdo con la Comisión en que la Directiva sobre la privacidad y las comunicaciones electrónicas (que, según su artículo 1, apartado 2, especifica y completa la Directiva 95/46 en el sector de las comunicaciones electrónicas) (52) resulta aplicable a la presente situación, debido a la inserción de cookies que se realiza en los dispositivos de los usuarios. (53) Además, el artículo 2, letra f), y el considerando 17 de la Directiva sobre la privacidad y las comunicaciones electrónicas definen el consentimiento mediante remisión a este mismo concepto definido en la Directiva 95/46.

115. En la vista se debatió extensamente si en el caso de autos se habían colocado cookies. Corresponde al órgano jurisdiccional nacional dilucidar este hecho. No obstante, en cualquier caso, como se señala en la resolución de remisión, el órgano jurisdiccional remitente considera que los datos transmitidos son de carácter personal. (54) Por lo tanto, la cuestión relativa a las cookies no parece dar la respuesta a todos los interrogantes que se plantean en el presente caso en relación con el tratamiento de datos. (55)

116. Por lo tanto, considero que la cuarta cuestión merece un examen más profundo.

117. La demandante alega que el interés legítimo al que se ha de atender es el de la demandada y añade que ni esta ni Facebook Ireland pueden invocar un interés legítimo en el presente caso.

118. La demandada y Facebook Ireland alegan esencialmente que el interés legítimo que ha de tenerse en cuenta es el de quien inserta el contenido de un tercero y el de dicho tercero, aunque también los intereses de los visitantes de la página web cuyos derechos fundamentales pudieran verse afectados.

119. El LDI NW, Polonia, Alemania e Italia opinan que se deben tener en cuenta tanto el interés legítimo de la demandada como el de Facebook Ireland, pues ambas han hecho posible el tratamiento de datos controvertido. Austria mantiene una postura parecida. Por su parte, en sentido similar y remitiéndose a la sentencia del Tribunal de Justicia en el asunto Google Spain, Bélgica señala que el interés legítimo que se ha de tener en cuenta es el del responsable del tratamiento y el de los terceros a los que se han transmitido los datos personales en cuestión.

120. Procede comenzar por recordar que, en principio, todo tratamiento de datos personales debe cumplir, entre otros requisitos, alguno de los criterios relativos a la legitimidad del tratamiento que se enumeran en el artículo 7 de la Directiva 95/46. (56)

121. En lo que en particular respecta al artículo 7, letra f), de la Directiva 95/46, el Tribunal de Justicia ha declarado que dicha disposición «fija tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito: primero, que el responsable del tratamiento o el tercero o terceros a quienes se comuniquen los datos persigan un interés legítimo; segundo, que el tratamiento sea necesario para la satisfacción de ese interés legítimo y, tercero, que no prevalezcan los derechos y libertades fundamentales del interesado en la protección de los datos». (57)

122. La Directiva 95/46 no define ni enumera «intereses legítimos». Este concepto resulta bastante flexible y abierto. (58) No hay ningún tipo de intereses que, de por sí, queden excluidos, siempre evidentemente que sean legales. Tal como esencialmente se debatió en la vista y como ya se ha expuesto en las presentes conclusiones, (59) la controversia en el presente asunto se refiere a la recogida y transmisión de datos personales con fines de optimización publicitaria, aunque los concretos objetivos últimos de la demandada y de Facebook Ireland puedan no ser exactamente los mismos.

123. Partiendo de estas consideraciones, estoy de acuerdo en que el marketing y la publicidad pueden constituir, de por sí, intereses legítimos. (60) Resulta complicado ir más allá de esta afirmación en el contexto del caso de autos, pues no se dispone de información específica acerca de la concreta forma en que se utilizan los datos transmitidos y obtenidos, aparte de dichas consideraciones genéricas.

124. Dicho esto, el órgano jurisdiccional remitente no entra a valorar, ni solicita orientación sobre cómo hacerlo, los intereses legítimos concretos alegados en el procedimiento principal. Mediante su cuarta cuestión, el órgano jurisdiccional remitente solamente desea que se aclare los intereses legítimos de quién han de tomarse en consideración para poder realizar la ponderación prevista en el artículo 7, letra f), de la Directiva 95/46.

125. A la luz de la respuesta que propongo dar a la segunda cuestión prejudicial, considero que han de tenerse en cuenta tanto el interés legítimo de la demandada como el de Facebook Ireland, ya que ambas actúan como corresponsables del tratamiento en relación con sus respectivas operaciones de tratamiento de datos personales.

126. Dado que su condición de corresponsables del tratamiento implica que comparten también los fines del tratamiento de los datos personales, la existencia de un interés legítimo debe considerarse acreditada respecto de ambos, al menos en el plano general antes expuesto. Dicho interés se debe ponderar con los derechos de los interesados como se establece en la última parte del artículo 7, letra f), de la Directiva 95/46, (61) ponderación que «dependerá, en principio, de las circunstancias concretas del caso particular de que se trate». (62) Debo recordar que en tales circunstancias el tratamiento de datos también debe ajustarse al requisito de necesidad. (63)

127. Habida cuenta de las anteriores consideraciones, mi tercera conclusión parcial es que, a los efectos de valorar la posibilidad de tratar datos personales de conformidad con los requisitos establecidos en el artículo 7, letra f), de la Directiva 95/46, se ha de tener en cuenta el interés legítimo de ambos corresponsables del tratamiento y ponderarse con los derechos de los interesados.

D.      Las obligaciones de la demandada relativas al consentimiento que debe obtener del interesado y a la información que debe facilitar al mismo

128. Mediante su quinta cuestión prejudicial, el órgano jurisdiccional remitente desea saber a quién, en las circunstancias del presente asunto, debe darse el consentimiento que exigen los artículos 7, letra a), y 2, letra h), de la Directiva 95/46.

129. Mediante su sexta cuestión, el órgano jurisdiccional remitente pretende que se dilucide si, en la presente situación, la obligación de informar que establece el artículo 10 de la Directiva 95/46 es aplicable a un operador de una página web (como la demandada) que ha insertado el contenido de un tercero, originando así el tratamiento de los datos por dicho tercero.

130. Como ya se ha expuesto anteriormente, (64) se han propuesto múltiples respuestas a estas cuestiones. Sin embargo, una vez determinada la naturaleza exacta de la obligación al abordar la segunda cuestión, tanto respecto al obligado (quién) como a la naturaleza de la obligación (qué), habiéndose despejado ese interrogante en términos generales, resulta más sencillo responder a las cuestiones quinta y sexta, que versan sobre ciertas obligaciones en términos particulares.

131. En primer lugar, considero que tanto el consentimiento prestado como la información facilitada deben comprender todos los aspectos de la operación u operaciones de tratamiento de las que responden conjuntamente los corresponsables del tratamiento: la recogida y la transmisión. Por el contrario, dichas obligaciones de consentimiento e información no se extienden a las fases ulteriores del tratamiento en que la demandada no interviene y para las que, lógicamente, no determina ni los medios ni los fines.

132. En segundo lugar, en tales circunstancias podría defenderse que el consentimiento se puede prestar a cualquiera de los corresponsables del tratamiento. Sin embargo, habida cuenta de la situación particular del caso de autos, dicho consentimiento debe darse a la demandada, ya que es en el momento en que se visita su página web cuando se desencadena la operación de tratamiento. Evidentemente, no sería coherente con una protección eficaz y oportuna de los derechos de los interesados que el consentimiento solo se hubiese de dar al corresponsable del tratamiento que interviene más adelante (si es que interviene), una vez que ya ha tenido lugar la recogida y transmisión.

133. Ha de darse una respuesta similar en relación con la obligación de información que incumbe a la demandada con arreglo al artículo 10 de la Directiva 95/46. Esta disposición contiene una lista de información mínima que debe comunicar al interesado el responsable del tratamiento (o su representante), lista que contiene los siguientes elementos: la identidad del responsable del tratamiento (o de su representante); los fines del tratamiento de que van a ser objeto los datos, y cualquier otra información suplementaria en la medida en que, «habida cuenta de las circunstancias específicas en que se hayan obtenido los datos, [...] resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado». El artículo 10 ofrece ejemplos de esta información suplementaria, entre ella, en lo que aquí pueda interesar, la relativa al destinatario de los datos o a la existencia de derechos de acceso y rectificación de los datos que conciernen al interesado.

134. A la luz de esta lista, la demandada claramente está en condiciones de informar sobre la identidad de los corresponsables del tratamiento, sobre el fin de cada fase del tratamiento (la operación u operaciones sobre las cuales ejerce un control conjunto) y también sobre el hecho de que los datos van a ser transferidos.

135. En cambio, por lo que respecta al derecho de acceso y rectificación, considero que la demandada no dispone ella misma de tal acceso a los datos transferidos a Facebook Ireland, ya que no participa en modo alguno en la actividad de conservación de los datos. Por lo tanto, cabría afirmar, por ejemplo, que dichos aspectos tendrían que ser objeto de un acuerdo con Facebook Ireland.

136. Sin embargo, más allá de los argumentos antes expuestos, (65) ello significaría de nuevo una ampliación de las obligaciones y responsabilidades del responsable (conjunto) del tratamiento a unas operaciones de las que no es responsable. Si responsabilidad conjunta significa responsabilidad por la operación u operaciones para las que existe una unidad de fines y medios entre los responsables conjuntos del tratamiento, lógicamente las demás obligaciones derivadas de la Directiva, como el consentimiento, la información, el acceso o la rectificación deberían circunscribirse al ámbito de la obligación original. (66)

137. La Comisión también observó en la vista que los visitantes que tienen cuenta en Facebook quizá hayan dado previamente su consentimiento a tal transferencia. Esto podría dar lugar a una responsabilidad diferenciada de la demandada, y aparentemente la Comisión propone que la obligación de la demandada de informar y solicitar el consentimiento solo se aplicaría respecto a los visitantes de la página web de la demandada que no sean usuarios de Facebook.

138. No estoy de acuerdo. Me resulta difícil aceptar la idea de que, en las circunstancias del presente caso, deba haber un tratamiento diferenciado (menos protector) para los usuarios de Facebook por haber aceptado estos previamente la posibilidad de (cualquier tipo de) tratamiento de sus datos personales por Facebook. De hecho, semejante argumento supone que, al abrir una cuenta en Facebook, el usuario acepta por adelantado todo tratamiento de datos con respecto a cualquier actividad en línea de ese usuario de Facebook por parte de cualquier tercero que mantenga cualquier tipo de vínculo con Facebook. Y ello incluso en una situación en que no hay ningún indicio concreto de que tenga lugar tal tratamiento (como parece suceder cuando simplemente se visita la página web de la demandada). En otras palabras, aceptar la propuesta de la Comisión significaría, en definitiva, que al abrir una cuenta en Facebook el usuario renuncia efectivamente a toda protección de sus datos personales frente a Facebook.

139. Por lo tanto, considero que la responsabilidad y las consiguientes obligaciones de consentimiento e información de la demandada frente a los interesados deben ser las mismas, con independencia de si tienen o no cuenta en Facebook.

140. Además, de nuevo, es evidente que el consentimiento se ha de dar y la información facilitar antes de que los datos sean recabados y transferidos. (67)

141. Por lo tanto, habida cuenta de las anteriores consideraciones, mi última conclusión parcial en respuesta a las cuestiones quinta y sexta es la siguiente: en una situación como la del presente asunto, el consentimiento del interesado obtenido con arreglo al artículo 7, letra a), de la Directiva 95/46 debe darse a un operador de una página web, como la demandada, que ha insertado el contenido de un tercero. El artículo 10 de la Directiva 95/46 debe interpretarse en el sentido de que la obligación de informar que preceptúa dicha disposición se aplica también a ese operador de la página web. El consentimiento del interesado a que se refiere el artículo 7, letra a), de la Directiva 95/46 debe prestarse, y la información que exige el artículo 10 de la misma debe facilitarse, antes de que los datos sean recabados y transferidos. No obstante, el alcance de estas obligaciones se circunscribe a la responsabilidad conjunta de dicho operador relativa a la recogida y transmisión de los datos personales.

V.      Conclusión

142. Habida cuenta de las anteriores consideraciones, propongo al Tribunal de Justicia que responda a las cuestiones planteadas por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania) del siguiente modo:

«La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, no se opone a una normativa nacional que reconoce a las asociaciones de utilidad pública legitimación activa para demandar al presunto infractor de la legislación de protección de datos a fin de proteger los intereses de los consumidores.

Una persona que ha insertado un plug-in de un tercero en su página web que genera la recogida y transmisión de datos personales del usuario (habiendo proporcionado dicho tercero el plug-in) debe ser considerada responsable del tratamiento a efectos del artículo 2, letra d), de la Directiva 95/46. No obstante, su responsabilidad (conjunta) se limita a las operaciones respecto de las cuales efectivamente decide conjuntamente sobre los medios y los fines del tratamiento de los datos personales.

A los efectos de valorar la posibilidad de tratar datos personales de conformidad con los requisitos establecidos en el artículo 7, letra f), de la Directiva 95/46, se ha de tener en cuenta el interés legítimo de ambos corresponsables del tratamiento y ponderarse con los derechos de los interesados.

El consentimiento del interesado obtenido con arreglo al artículo 7, letra a), de la Directiva 95/46 debe darse al operador de la página web que ha insertado el contenido de un tercero. El artículo 10 de la Directiva 95/46 debe interpretarse en el sentido de que la obligación de informar que preceptúa dicha disposición se aplica también a ese operador de la página web. El consentimiento del interesado a que se refiere el artículo 7, letra a), de la Directiva 95/46 debe prestarse, y la información que exige el artículo 10 de la misma debe facilitarse, antes de que los datos sean recabados y transferidos. No obstante, el alcance de estas obligaciones se circunscribe a la responsabilidad conjunta de dicho operador relativa a la recogida y transmisión de los datos personales.»


1      Lengua original: inglés.


2      Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).


3      Directiva del Parlamento Europeo y del Consejo, de 23 de abril de 2009 (DO 2009, L 110, p. 30).


4      Obsérvese que en la resolución de remisión se afirma que el plug-in se lo suministraban a la demandada Facebook Ireland o su sociedad matriz, Facebook Inc., constituida en los Estados Unidos de América. Sin embargo, según parece, tanto ante el órgano jurisdiccional remitente como en el procedimiento ante el Tribunal de Justicia es Facebook Ireland quien asume la posible responsabilidad derivada de la Directiva 95/46 a efectos del presente procedimiento. Por lo tanto, no veo motivo para examinar la posible aplicación de la Directiva 95/46 a la sociedad matriz de Facebook Ireland.


5      Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).


6      «Cualquier Estado miembro podrá disponer que cualquier entidad, organización o asociación mencionada en el apartado 1 del presente artículo tenga, con independencia del mandato del interesado, derecho a presentar en ese Estado miembro una reclamación ante la autoridad de control que sea competente en virtud del artículo 77 y a ejercer los derechos contemplados en los artículos 78 y 79, si considera que los derechos del interesado con arreglo al presente Reglamento han sido vulnerados como consecuencia de un tratamiento.»


7      Aunque debo añadir, en aras de la integridad, que, aunque la sentencia de 28 de julio de 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612), trataba de una cuestión de interpretación de la Directiva 95/46 suscitada en un procedimiento nacional iniciado por una asociación, el Tribunal de Justicia no se ocupó en ese asunto del aspecto de la legitimación de la asociación, sencillamente porque esta no le había sido planteada.


8      Según se reitera, por ejemplo, en las sentencias de 23 de mayo de 1985, Comisión/Alemania (C‑29/84, EU:C:1985:229), apartado 22; de 14 de febrero de 2012, Flachglas Torgau (C‑204/09, EU:C:2012:71), apartado 60, y de 19 de abril de 2018, CMR (C‑645/16, EU:C:2018:262), apartado 19.


9      Sentencia de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 53.


10      Véase también la sentencia de 16 de diciembre de 2008, Huber (C‑524/06, EU:C:2008:724), apartado 50.


11      En esto se diferencia el presente asunto de la sentencia de 25 de enero de 2018, Schrems (C‑498/16, EU:C:2018:37), que no versaba sobre atribución de acciones a ninguna persona concreta, y con una aparentemente clara base jurídica en Derecho nacional para lo que parece ser una forma de representación de los intereses colectivos de los consumidores.


12      Dicho de otra manera, los Estados miembros también han de regular otros muchos aspectos, en particular por lo que respecta a la estructura institucional o a los procedimientos, que no se recogen expresamente en la Directiva (por ejemplo, en materia de defensa judicial de un derecho, no solo los aspectos relativos a la legitimación activa, sino también los plazos para ejercitar la acción, las tasas judiciales que pudiera haber, la competencia de los órganos jurisdiccionales, etc.). Así pues, ¿es posible argumentar que, al no mencionar ni el artículo 22 ni el artículo 24 de la Directiva 95/46 ninguno de estos aspectos, los Estados miembros no pueden regularlos en sus Derechos internos?


13      Según la definición del artículo 3 de la Directiva 2009/22.


14      Véanse, por ejemplo, las sentencias de 6 de noviembre de 2003, Lindqvist (C‑101/01, EU:C:2003:596), apartado 96; de 16 de diciembre de 2008, Huber (C‑524/06, EU:C:2008:724), apartado 51; de 24 de noviembre de 2011, ASNEF y Fecemd (C‑468/10 y C‑469/10, EU:C:2011:777), apartado 29, y de 7 de noviembre de 2013, IPI (C‑473/12, EU:C:2013:715), apartado 31.


15      Sentencia de 6 de noviembre de 2003, Lindqvist (C‑101/01, EU:C:2003:596), apartado 97.


16      Véanse mis conclusiones presentadas en el asunto Dzivev y otros (C‑310/16, EU:C:2018:623), puntos 72 y 74.


17      Reproducidas en el punto 8 de las presentes conclusiones.


18      Véanse de nuevo los ejemplos citados en la nota 12 de las presentes conclusiones.


19      Con arreglo al artículo 28 de la Directiva 95/46, corresponde a dichas autoridades vigilar la aplicación de las disposiciones adoptadas en aplicación de la Directiva.


20      Sobre las exigencias del artículo 28, apartado 1, de la Directiva 95/46, véanse las sentencias de 9 de marzo de 2010, Comisión/Alemania (C‑518/07, EU:C:2010:125), apartados 18 a 30, y de 16 de octubre de 2012, Comisión/Austria (C‑614/10, EU:C:2012:631), apartados 41 a 66.


21      Por analogía con otras ramas del Derecho, ¿el ejercicio de la acción privada, por ejemplo, en materia de competencia comprometería también la independencia de las autoridades (nacionales) de competencia? Véanse las sentencias de 20 de septiembre de 2001, Courage y Crehan (C‑453/99, EU:C:2001:465), apartados 26, 27 y 29, y de 13 de julio de 2006, Manfredi y otros (C‑295/04 a C‑298/04, EU:C:2006:461), apartados 59 y 60. Véase también el considerando 5 de la Directiva 2014/104/UE del Parlamento Europeo y del Consejo, de 26 de noviembre de 2014, relativa a determinadas normas por las que se rigen las acciones por daños en virtud del Derecho nacional, por infracciones del Derecho de la competencia de los Estados miembros y de la Unión Europea (DO 2014, L 349, p. 1).


22      En general (y con independencia de la cuestión en concreto del cambio de forma jurídica), ¿qué trascendencia tiene el hecho de que el legislador insertase en un acto normativo posterior una disposición que no se encontraba en las versiones anteriores de este, para la interpretación del último? Perfectamente podría ser que dicho principio antes estaba «inherentemente incluido» en la versión anterior y que ahora simplemente se ha aclarado. Pero también podría significar que, precisamente por no estar incluida la disposición en la versión anterior, la nueva constituye una modificación. Habida cuenta del frecuente y cuestionable uso (o abuso) del argumento «siempre ha estado ahí, solo que ahora es explícito», que en realidad implica una extensión de la nueva norma mucho más allá de su ámbito de aplicación temporal, este tipo de argumento, si se hace uso de él, debe utilizarse con cautela.


23      En relación con las direcciones IP dinámicas, véase la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), apartado 33 y ss. Véase también la sentencia de 24 de noviembre de 2011, Scarlet Extended (C‑70/10, EU:C:2011:771), apartado 51.


24      Sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), apartados 41 a 45.


25      Véase el punto 19 de las presentes conclusiones.


26      La cursiva es mía.


27      Sentencias de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), apartado 29, y de 10 de julio de 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551), apartado 65.


28      Véanse las sentencias de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 34, y de 10 de julio de 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551), apartado 66.


29      Sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388).


30      Sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), apartado 39.


31      Sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), apartado 35.


32      Sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), apartado 36.


33      Sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), apartados 34 y 38.


34      Sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), apartados 39 y 41.


35      Sentencia de 10 de julio de 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551), apartados 68 a 72.


36      Según sugiere el Abogado General Bot en sus conclusiones presentadas en el asunto Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796), puntos 66 a 72.


37      En aparente analogía con la protección de los consumidores, en el sentido de que, en las negociaciones, la parte «no profesional» ha de tener el mismo poder real en la negociación de las condiciones, no parece que pueda aplicarse en el presente contexto. Así pues, queda abierta la cuestión de en qué medida puede el administrador de una página de fanes «determinar la configuración» (y en qué medida se trata de clicar mecánicamente y elegir entre opciones predefinidas, como sucede con cualquier otro «consumidor»).


38      Sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), apartado 35.


39      Hoy en día son muchos los programas y aplicaciones que, con el consentimiento del usuario (unas veces expreso, otras quizá no tanto), transmiten información analítica, que puede incluir datos personales, al desarrollador o al proveedor del software.


40      Sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), apartado 38.


41      Una vez más, puede quedar abierto a debate en qué condiciones precisas y con qué poder de negociación (véase también la nota 37 de las presentes conclusiones).


42      O, como lo expresó Sir Humphrey Appleby en términos más crudos (según parece, basándose en una cita anterior anónima): «La responsabilidad sin poder — siempre ha sido esta la prerrogativa de los parias de la Tierra» (en Yes, Prime Minister, segunda temporada, episodio 7, «The National Education Service», emitido por primera vez el 21 de enero de 1988).


43      También en el sentido expuesto previamente, en el punto 73 y las notas 38 y 42 de las presentes conclusiones.


44      Sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), apartado 43.


45      Véanse los puntos 87 y 88 de las presentes conclusiones.


46      Véase también el dictamen 4/2007 del Grupo de Trabajo del Artículo 29 (órgano consultivo establecido por el artículo 29 de la Directiva 95/46, actualmente sustituido por el Comité Europeo de Protección de Datos, constituido con arreglo al artículo 68 del RGPD) sobre el concepto de «datos personales», 01248/07/EN WP 136, de 20 de junio de 2007, p. 4.


47      Habida cuenta, también, del simple hecho de que el tratamiento rara vez será un proceso lineal, que pase una por una por todas las operaciones enumeradas en el artículo 2, letra b), sucesivamente, y por una sola persona. Antes bien, la vida de los datos personales tiende a ser cíclica, a describir bucles, con bifurcaciones aquí y allá, con grupos de datos recabados en diferentes extremos, consultados luego por distintas personas, después mezclados y consultados, luego quizás recombinados y transmitidos a otras personas, etc.


48      El Grupo de Trabajo del Artículo 29 propuso que el «control conjunto se plantea cuando distintas personas determinan, con respecto a operaciones de tratamiento concretas, bien el fin, bien los elementos esenciales de los medios». Véase el dictamen 1/2010, sobre los conceptos de «responsable del tratamiento» y de «encargado del tratamiento», de 16 de febrero de 2010, del Grupo de Trabajo del Artículo 29, doc. 00264/10/EN WP 169, p. 19.


49      A diferencia de la situación analizada al tratar la primera cuestión prejudicial, puntos 39 a 42 de las presentes conclusiones.


50      Al leer la versión original alemana de la cuarta cuestión, se entiende que el alcance de la cuestión planteada por el órgano jurisdiccional remitente se limita a la identificación de los intereses que se deben tener en cuenta y no, como da a entender la traducción al inglés, son decisivos (en el eventual sentido de tener una importancia mayor) en dicha ponderación de intereses. Por lo tanto, la cuestión parece referirse a los elementos que han de incluirse en la ponderación, no a cuál deba ser el resultado.


51      Directiva del Parlamento Europeo y del Consejo, de 12 de julio de 2002 (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37).


52      Véase también la sentencia de 5 de mayo de 2011, Deutsche Telekom (C‑543/09, EU:C:2011:279), apartado 50. A tenor del considerando 10 de la Directiva sobre la privacidad y las comunicaciones electrónicas, «en el sector de las comunicaciones electrónicas es de aplicación la Directiva [95/46], en particular para todas las cuestiones relativas a la protección de los derechos y las libertades fundamentales que no están cubiertas de forma específica por las disposiciones de la presente Directiva, incluidas las obligaciones del responsable del tratamiento de los datos y los derechos de las personas. La Directiva [95/46] se aplica a los servicios de comunicaciones electrónicas que no sean de carácter público».


53      Véase, en este contexto, el artículo 5, apartado 3, de la Directiva sobre la privacidad y las comunicaciones electrónicas, con arreglo al cual «los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva [95/46] [...]».


54      A este respecto, de nuevo haciendo una referencia cruzada a la sección introductoria B.1 (puntos 55 a 58 de las presentes conclusiones), así como la necesidad de comprobar, en cuanto a los hechos, qué se transmite exactamente y si esa información constituye realmente datos personales.


55      Véase también el Documento 02/2013 del Grupo de Trabajo del Artículo 29, con orientaciones sobre la obtención del consentimiento para las cookies, 1676/13/EN WP 208, de 2 de octubre de 2013, pp. 5 y 6, donde se señala que, «dado que el almacenamiento o la obtención de información ya almacenada en los terminales de los usuarios mediante las cookies puede implicar el tratamiento de datos personales, es evidente que en este caso procede aplicar la normativa sobre protección de datos».


56      Véanse, en este sentido, las sentencias de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 71 y jurisprudencia citada, y de 4 de mayo de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336), apartado 25.


57      Sentencia de 4 de mayo de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336), apartado 28. Véase también la sentencia de 24 de noviembre de 2011, ASNEF y Fecemd (C‑468/10 y C‑469/10, EU:C:2011:777), apartado 38.


58      Véanse mis conclusiones presentadas en el asunto Rīgas satiksme (C‑13/16, EU:C:2017:43), puntos 64 y 65. Como señalé allí, el Tribunal de Justicia ya ha reconocido como tales la transparencia (sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert, C‑92/09 y C‑93/09, EU:C:2010:662, apartado 77) y la protección de la propiedad, la salud y la vida familiar (sentencia de 11 de diciembre de 2014, Ryneš, C‑212/13, EU:C:2014:2428, apartado 34). Véanse también las sentencias de 29 de enero de 2008, Promusicae (C‑275/06, EU:C:2008:54), apartado 53, y de 4 de mayo de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336), apartado 29.


59      Véanse los puntos 104 y 105 de las presentes conclusiones.


60      Véase también el dictamen 06/2014 del Grupo de Trabajo del Artículo 29, sobre el concepto de intereses legítimos del responsable del tratamiento en virtud del artículo 7 de la Directiva 95/46/CE (844/14/EN WP 217), p. 25.


61      Como ya he señalado en otra ocasión, «además de establecerse la competencia entre intereses legítimos, deben prevalecer los intereses o derechos y libertades de los interesados» derivados de los artículos 7 y 8 de la Carta. Véanse mis conclusiones presentadas en el asunto Rīgas satiksme (C‑13/16, EU:C:2017:43), puntos 56 y 66 a 69 y jurisprudencia citada.


62      Sentencia de 4 de mayo de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336), apartado 31 y jurisprudencia citada.


63      Por lo tanto, ha de existir una relación adecuada entre los fines (el interés legítimo invocado) y los medios elegidos (los datos personales tratados). Véanse, en este sentido, la sentencia de 4 de mayo de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336), apartado 30 y jurisprudencia citada.


64      Véanse los puntos 76 a 82 de las presentes conclusiones.


65      Puntos 84 a 88 de las presentes conclusiones.


66      Esto, obviamente, no excluye que a otros o ulteriores eventuales responsables del tratamiento les incumba tal obligación en relación con sus respectivas operaciones de tratamiento.


67      Véase el punto 132 de las presentes conclusiones. Véase el documento 02/2013 del Grupo de Trabajo del Artículo 29, con orientaciones sobre la obtención del consentimiento para las cookies, 1676/13/EN WP 208, de 2 de octubre de 2013, p. 4. Véase también el dictamen 15/2011 del Grupo de Trabajo del Artículo 29, sobre el concepto de «consentimiento», 1197/11/EN WP 187, de 13 de julio de 2011, p. 9.