Language of document : ECLI:EU:C:2019:629

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Segunda)

de 29 de julio de 2019 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Artículo 2, letra d) — Concepto de “responsable del tratamiento” — Administrador de un sitio de Internet que incorporó en este un módulo social que permite comunicar los datos personales del visitante de ese sitio al proveedor de dicho módulo — Artículo 7, letra f) — Legitimación de los tratamientos de datos — Toma en consideración del interés del administrador del sitio de Internet o del interés del proveedor del módulo social — Artículos 2, letra h), y 7, letra a) — Consentimiento del interesado — Artículo 10 — Información del interesado — Normativa nacional que permite a las asociaciones de defensa de los intereses de los consumidores ejercitar acciones judiciales»

En el asunto C‑40/17,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania), mediante resolución de 19 de enero de 2017, recibida en el Tribunal de Justicia el 26 de enero de 2017, en el procedimiento entre

Fashion ID GmbH & Co. KG

y

Verbraucherzentrale NRW eV,

con intervención de:

Facebook Ireland Ltd,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,

EL TRIBUNAL DE JUSTICIA (Sala Segunda),

integrado por el Sr. K. Lenaerts, Presidente del Tribunal de Justicia, en funciones de Presidente de la Sala Segunda, y las Sras. A. Prechal y C. Toader y los Sres. A. Rosas (Ponente) y M. Ilešič, Jueces;

Abogado General: Sr. M. Bobek;

Secretario: Sr. D. Dittert, jefe de unidad;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 6 de septiembre de 2018;

consideradas las observaciones presentadas:

–        en nombre de Fashion ID GmbH & Co. KG, por los Sres. C.‑M. Althaus y J. Nebel, Rechtsanwälte;

–        en nombre de Verbraucherzentrale NRW eV, por los Sres. K. Kruse, C. Rempe y S. Meyer, Rechtsanwälte;

–        en nombre de Facebook Ireland Ltd, por los Sres. H.-G. Kamann, C. Schwedler y M. Braun, Rechtsanwälte, y la Sra. I. Perego, avvocatessa;

–        en nombre de Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, por la Sra. U. Merger, en calidad de agente;

–        en nombre del Gobierno alemán, inicialmente por los Sres. T. Henze y J. Möller, y posteriormente por el Sr. Möller, en calidad de agentes;

–        en nombre del Gobierno belga, por el Sr. P. Cottin y la Sra. L. Van den Broeck, en calidad de agentes;

–        en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por el Sr. P. Gentili, avvocato dello Stato;

–        en nombre del Gobierno austriaco, inicialmente por la Sra. C. Pesendorfer, y posteriormente por el Sr. G. Kunnert, en calidad de agentes;

–        en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;

–        en nombre de la Comisión Europea, por los Sres. H. Krämer y H. Kranenborg, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 19 de diciembre de 2018;

dicta la siguiente

Sentencia

1        La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 2, 7, 10 y 22 a 24 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

2        Esta petición se ha presentado en el contexto de un litigio entre Fashion ID GmbH & Co. KG y Verbraucherzentrale NRW eV en relación con la inserción, por Fashion ID, en su sitio de Internet, de un módulo social de Facebook Ireland Ltd.

 Marco jurídico

 Derecho de la Unión

3        La Directiva 95/46 fue derogada y sustituida, con efectos a partir del 25 de mayo de 2018, por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 2016, L 119, p. 1). Sin embargo, dada la fecha en que ocurrieron los hechos del litigio principal, dicha Directiva es aplicable a este.

4        Según el considerando 10 de la Directiva 95/46:

«(10)      Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, [hecho en Roma el 4 de noviembre de 1950,] así como en los principios generales del Derecho [de la Unión]; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la [Unión]».

5        El artículo 1 de la Directiva 95/46 establece lo siguiente:

«1.      Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

2.      Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.»

6        El artículo 2 de dicha Directiva dispone cuanto sigue:

«A efectos de la presente Directiva, se entenderá por:

a)      “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b)      “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

[…]

d)      “responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o [de la Unión], el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o [de la Unión];

[…]

f)      “tercero”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento;

g)      “destinatario”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación específica no serán considerados destinatarios;

h)      “consentimiento del interesado”: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.»

7        El artículo 7 de la citada Directiva establece lo siguiente:

«Los Estados miembros dispondrán que el tratamiento de datos personales solo pueda efectuarse si:

a)      el interesado ha dado su consentimiento de forma inequívoca, o

[…]

f)      es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.»

8        A tenor del artículo 10 de la misma Directiva, que lleva por título «Información en caso de obtención de datos recabados del propio interesado»:

«Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a)      la identidad del responsable del tratamiento y, en su caso, de su representante;

b)      los fines del tratamiento de que van a ser objeto los datos;

c)      cualquier otra información tal como:

–        los destinatarios o las categorías de destinatarios de los datos,

–        el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

–        la existencia de derechos de acceso y rectificación de los datos que la conciernen,

en la medida en que, habida cuenta de las circunstancias específicas en que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.»

9        El artículo 22 de la Directiva 95/46 está redactado como sigue:

«Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante la autoridad de control mencionada en el artículo 28, y antes de acudir a la autoridad judicial, los Estados miembros establecerán que toda persona disponga de un recurso judicial en caso de violación de los derechos que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de que se trate.»

10      Según el artículo 23 de dicha Directiva:

«1.      Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido.

2.      El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño.»

11      El artículo 24 de la citada Directiva establece lo siguiente:

«Los Estados miembros adoptarán las medidas adecuadas para garantizar la plena aplicación de las disposiciones de la presente Directiva y determinarán, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva.»

12      El artículo 28 de la misma Directiva dispone cuanto sigue:

«1.      Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.

[…]

3.      La autoridad de control dispondrá, en particular, de:

[…]

–        capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.

[…]

4.      Toda autoridad de control entenderá de las solicitudes que cualquier persona, o cualquier asociación que la represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud.

[…]»

13      El artículo 5, apartado 3, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (DO 2009, L 337, p. 11) (en lo sucesivo, «Directiva 2002/58»), establece lo siguiente:

«Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva [95/46]. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.»

14      A tenor del artículo 1, apartado 1, de la Directiva 2009/22/CE del Parlamento Europeo y del Consejo, de 23 de abril de 2009, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores (DO 2009, L 110, p. 30), en su versión modificada por el Reglamento (UE) n.º 524/2013 del Parlamento Europeo y del Consejo, de 21 de mayo de 2013 (DO 2013, L 165, p. 1) (en lo sucesivo, «Directiva 2009/22»):

«La presente Directiva tiene por objeto aproximar las disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas a las acciones de cesación a las que se refiere el artículo 2, destinadas a la protección de los intereses colectivos de los consumidores que se contemplan en los actos de la Unión enumerados en el anexo I, con el fin de garantizar el buen funcionamiento del mercado interior.»

15      El artículo 2 de dicha Directiva establece lo siguiente:

«1.      Los Estados miembros designarán las autoridades judiciales o administrativas competentes para resolver en las acciones ejercitadas por las entidades habilitadas en el sentido del artículo 3 a fin de obtener que:

a)      se ordene, con toda la diligencia debida, en su caso mediante procedimiento de urgencia, la cesación o la prohibición de toda infracción;

[…]».

16      Según el artículo 7 de la citada Directiva:

«La presente Directiva no impedirá el mantenimiento o la adopción por los Estados miembros de disposiciones que tengan por objeto garantizar, a escala nacional, una facultad de actuación más amplia a las entidades habilitadas y a cualquier persona afectada.»

17      El artículo 80 del Reglamento 2016/679 está redactado como sigue:

«1.      El interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación, y ejerza en su nombre los derechos contemplados en los artículos 77, 78 y 79, y el derecho a ser indemnizado mencionado en el artículo 82 si así lo establece el Derecho del Estado miembro.

2.      Cualquier Estado miembro [podrá] disponer que cualquier entidad, organización o asociación mencionada en el apartado 1 del presente artículo tenga, con independencia del mandato del interesado, derecho a presentar en ese Estado miembro una reclamación ante la autoridad de control que sea competente en virtud del artículo 77 y a ejercer los derechos contemplados en los artículos 78 y 79, si considera que los derechos del interesado con arreglo al presente Reglamento han sido vulnerados como consecuencia de un tratamiento.»

 Derecho alemán

18      El artículo 3, apartado 1, de la Gesetz gegen den unlauteren Wettbewerb (Ley contra la Competencia Desleal), en su versión aplicable al litigio principal (en lo sucesivo, «UWG») establece lo siguiente:

«Quedan prohibidas las prácticas comerciales desleales.»

19      El artículo 3a de la UWG está redactado como sigue:

«Actúa de forma desleal quien infringe una disposición legal destinada, entre otros extremos, a regular el comportamiento en el mercado en interés de los operadores económicos, siempre que dicha infracción pueda afectar sensiblemente a los intereses de los consumidores, de los demás operadores económicos o de los competidores.»

20      El artículo 8 de la UWG dispone lo siguiente:

«(1)      Podrá ejercitarse una acción de cesación y, en caso de riesgo de reiteración, una acción de prohibición contra quien realice una práctica comercial ilícita con arreglo a los artículos 3 o 7. La acción de prohibición podrá ejercitarse desde el momento en que exista un riesgo de que se produzca tal infracción de los artículos 3 o 7.

[…]

(3)      Las acciones a las que hace referencia el apartado 1 podrán ser ejercitadas:

[…]

3.      Por las entidades habilitadas que demuestren estar incluidas en la lista de entidades habilitadas de conformidad con el artículo 4 de la Unterlassungsklagengesetz [(Ley sobre las Acciones de Cesación)] o en la lista de la Comisión Europea mencionada en el artículo 4, apartado 3, de la Directiva [2009/22];

[…]».

21      El artículo 2 de la Ley sobre las Acciones de Cesación establece lo siguiente:

«(1)      Quien infrinja las normas cuya finalidad sea proteger a los consumidores (leyes sobre protección de los consumidores), excepto al aplicar o recomendar condiciones generales, podrá ser objeto de una acción de cesación y de prohibición en aras de la protección de los consumidores. […]

(2)      A efectos de la presente disposición, se considerarán “leyes sobre protección de los consumidores”, en particular:

[…]

11.      las disposiciones que regulan la licitud:

a)      de la recogida de datos personales de un consumidor por parte de una empresa, o

b)      del tratamiento o uso de datos personales relativos a un consumidor recabados por una empresa,

si los datos se recogen, tratan o utilizan con fines publicitarios, de estudios de mercado y opinión, de explotación de una entidad de información crediticia, de elaboración de perfiles de personalidad y de uso, de tráfico de datos de contacto y de otros tipos de datos o con fines comerciales similares.»

22      El artículo 12, apartado 1, de la Telemediengesetz (Ley relativa a determinados servicios de comunicación e información electrónicos; en lo sucesivo, «TMG») está redactado como sigue:

«El prestador de servicios únicamente podrá recoger y utilizar datos personales para prestar servicios de comunicación e información electrónicos en la medida en que lo permitan la presente Ley u otras normas que se refieran expresamente a los servicios de comunicación e información electrónicos, o en caso de que el usuario lo haya consentido.»

23      Según el artículo 13, apartado 1, de la TMG:

«Al inicio de la operación de uso, el prestador de servicios informará al usuario sobre el carácter, el alcance y los fines de la recogida y utilización de los datos personales y sobre el tratamiento de sus datos en países no comprendidos en el ámbito de aplicación de la Directiva [95/46], en una forma que sea generalmente comprensible, a no ser que ya se le haya informado de ello. En caso de un proceso automatizado que permita una identificación posterior del usuario y preparar la recogida o utilización de datos personales, el usuario deberá ser informado al inicio de dicho proceso. El contenido de esta información debe ser accesible en todo momento para el usuario.»

24      El artículo 15, apartado 1, de la TMG dispone cuanto sigue:

«El prestador de servicios solo podrá recoger y utilizar datos personales de un usuario cuando ello sea necesario para posibilitar el uso y la facturación de los servicios de comunicación e información electrónicos (datos de uso). Se consideran datos de uso, en particular:

1.      los datos de identificación del usuario,

2.      los datos de comienzo y fin de cada uso y de su alcance, y

3.      los datos de los servicios de comunicación e información electrónicos utilizados por el usuario.»

 Litigio principal y cuestiones prejudiciales

25      Fashion ID, empresa de comercio electrónico que se dedica a la venta de prendas de vestir, insertó en su sitio de Internet el módulo social «me gusta» de la red social Facebook (en lo sucesivo, «botón “me gusta” de Facebook»).

26      De la resolución de remisión resulta que una característica propia de Internet consiste en permitir que el navegador del visitante de un sitio de Internet presente contenidos de distintas fuentes. Así, por ejemplo, fotos, vídeos, actualidades y el botón «me gusta» de Facebook de que se trata en el presente caso pueden estar vinculados a un sitio de Internet y figurar en él. Si el administrador de un sitio de Internet pretende insertar esos contenidos externos, coloca en dicho sitio un vínculo que remite al contenido externo. Cuando el navegador del visitante de dicho sitio abre ese vínculo, solicita el contenido externo y lo inserta en el lugar deseado de exposición del sitio. A tal fin, el navegador transmite al servidor del proveedor externo la dirección IP del ordenador de dicho visitante y los datos técnicos del navegador para que el servidor pueda determinar en qué formato se suministra el contenido a esa dirección. El navegador transmite además información sobre el contenido deseado. El administrador de un sitio de Internet que ofrece un contenido externo insertándolo en dicho sitio no tiene capacidad para determinar los datos que el navegador transmite ni lo que el proveedor externo hace de esos datos, en particular, si decide almacenarlos y analizarlos.

27      Por lo que se refiere, en concreto, al botón «me gusta» de Facebook, de la resolución de remisión parece que se desprende que, cuando un visitante consulta el sitio de Internet de Fashion ID, se transmiten a Facebook Ireland datos personales de ese visitante, debido a que dicho sitio incorpora el citado botón. Parece ser que esa transmisión se efectúa sin que dicho visitante sea consciente de ello y con independencia de si es miembro de la red social Facebook o de si clicó en el botón «me gusta» de Facebook.

28      Verbraucherzentrale NRW, asociación de utilidad pública de defensa de los intereses de los consumidores, reprocha a Fashion ID haber transmitido a Facebook Ireland datos de carácter personal pertenecientes a los visitantes de su sitio de Internet, por un lado, sin el consentimiento de estos últimos y, por otro, incumpliendo las obligaciones de información establecidas en las disposiciones relativas a la protección de los datos personales.

29      Verbraucherzentrale NRW ejercitó una acción de cesación ante el Landgericht Düsseldorf (Tribunal Regional de lo Civil y Penal de Düsseldorf, Alemania) en contra de Fashion ID con objeto de que esta última pusiera fin a dicha práctica.

30      Mediante resolución de 9 de marzo de 2016, el Landgericht Düsseldorf (Tribunal Regional de lo Civil y Penal de Düsseldorf) estimó parcialmente las pretensiones de Verbraucherzentrale NRW, tras reconocer su legitimación activa con arreglo al artículo 8, apartado 3, punto 3, de la UWG.

31      Fashion ID apeló dicha resolución ante el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania), el órgano jurisdiccional remitente. Facebook Ireland intervino en dicha apelación en apoyo de Fashion ID. Verbraucherzentrale NRW, por su parte, se adhirió a la apelación a fin de que se ampliara la condena de Fashion ID pronunciada en primera instancia.

32      Ante el órgano jurisdiccional remitente, Fashion ID sostiene que la resolución del Landgericht Düsseldorf (Tribunal Regional de lo Civil y Penal de Düsseldorf) no es compatible con la Directiva 95/46.

33      Por un lado, Fashion ID alega que los artículos 22 a 24 de dicha Directiva únicamente contemplan vías de recurso en favor de los afectados por el tratamiento de los datos personales y de las autoridades de control competentes. En consecuencia, considera que la acción judicial ejercitada por Verbraucherzentrale NRW no es admisible debido a que esta asociación no está legitimada para ejercitar acciones judiciales en el marco de la Directiva 95/46.

34      Por otro lado, Fashion ID considera que el Landgericht Düsseldorf (Tribunal Regional de lo Civil y Penal de Düsseldorf) la declaró erróneamente responsable del tratamiento, en el sentido del artículo 2, letra d), de la Directiva 95/46, en la medida en que no tiene influencia alguna en los datos transmitidos por el navegador del visitante de su sitio de Internet ni en el hecho de si Facebook Ireland los va a utilizar y cómo va a hacerlo en su caso.

35      El órgano jurisdiccional remitente alberga dudas, en primer lugar, acerca de si la Directiva 95/46 permite que las asociaciones de utilidad pública ejerciten acciones judiciales para defender los intereses de los perjudicados. En su opinión, el artículo 24 de esa Directiva no niega la capacidad procesal de las asociaciones, toda vez que, a tenor de este artículo, los Estados miembros adoptarán las «medidas adecuadas» para garantizar la plena aplicación de dicha Directiva. Por lo tanto, el órgano jurisdiccional remitente considera que una normativa nacional que permita a las asociaciones ejercitar acciones judiciales en interés de los consumidores puede constituir una medida adecuada de ese tipo.

36      Dicho órgano jurisdiccional señala, a este respecto, que el artículo 80, apartado 2, del Reglamento 2016/679, que derogó y sustituyó la Directiva 95/46, autoriza expresamente el ejercicio de acciones judiciales por este tipo de asociaciones, lo que tiende a confirmar, a su juicio, que esta última Directiva no se oponía a tal ejercicio.

37      Por otra parte, se pregunta si el administrador de un sitio de Internet, como Fashion ID, que inserta en dicho sitio un módulo social que permite la recogida de datos personales, puede ser considerado responsable del tratamiento, en el sentido del artículo 2, letra d), de la Directiva 95/46, siendo así que no tiene influencia alguna en el tratamiento de los datos transmitidos al proveedor de dicho módulo. El órgano jurisdiccional remitente se refiere a este respecto al asunto que dio lugar a la sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), que versaba sobre una cuestión similar.

38      Con carácter subsidiario, en el supuesto de que Fashion ID no deba ser considerada responsable del tratamiento, el órgano jurisdiccional remitente se pregunta si la citada Directiva regula de manera exhaustiva dicho concepto, de modo que se opone a una normativa nacional que establece la responsabilidad civil como consecuencia de la actuación de un tercero en caso de que se vulneren los derechos a la protección de los datos. En efecto, el órgano jurisdiccional remitente afirma que cabe plantearse la responsabilidad de Fashion ID sobre esa base de Derecho nacional, como «perturbador» (Störer).

39      Si se debiera considerar a Fashion ID responsable del tratamiento o respondiera, al menos como «perturbador», de un posible menoscabo de la protección de los datos por Facebook Ireland, el órgano jurisdiccional remitente se pregunta si es lícito el tratamiento de los datos personales de que se trata en el litigio principal y si la obligación de informar al interesado con arreglo al artículo 10 de la Directiva 95/46 recaía sobre Fashion ID o sobre Facebook Ireland.

40      Así pues, por un lado, a la vista de los requisitos de licitud del tratamiento de los datos, tal como se establecen en el artículo 7, letra f), de la Directiva 95/46, el órgano jurisdiccional remitente se pregunta si, en una situación como la del litigio principal, es preciso tener en cuenta el interés legítimo del administrador del sitio de Internet o el del proveedor del módulo social.

41      Por otro lado, dicho órgano jurisdiccional se pregunta a quién incumben las obligaciones de obtención del consentimiento y de información de los interesados por el tratamiento de los datos personales en una situación como la del litigio principal. El órgano jurisdiccional remitente estima que la cuestión de sobre quién recae la obligación de informar a los interesados, establecida en el artículo 10 de la Directiva 95/46, reviste especial importancia porque toda inserción de contenidos externos en un sitio de Internet da lugar, en principio, a un tratamiento de datos personales, cuyo alcance y finalidad resultan sin embargo desconocidos para quien efectúa la inserción de dichos contenidos, a saber, el administrador del sitio de Internet de que se trate. Considera que este no puede, por ello, dar la información debida, aunque esté obligado a hacerlo, de modo que hacer recaer sobre ese administrador la obligación de informar al interesado llevaría en la práctica a prohibir la inserción de contenidos externos.

42      En estas circunstancias, el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)      ¿Se oponen las disposiciones de los artículos 22, 23 y 24 de la Directiva [95/46] a una normativa nacional que, además de las facultades de intervención de las autoridades de protección de datos y de las posibilidades de recurso que asisten al interesado, reconoce a las asociaciones de utilidad pública para la protección de los intereses de los consumidores la facultad de actuar contra el infractor en caso de incumplimiento?

En caso de respuesta negativa a la primera cuestión:

2)      En un caso como el presente, en que alguien inserta en su página web un código de programación que hace que el navegador del usuario solicite contenidos de un tercero, transmitiendo para ello datos personales a ese tercero, ¿quien inserta el código es “responsable del tratamiento”, en el sentido del artículo 2, letra d), de la Directiva [95/46], aunque él mismo no pueda influir en dicha operación de tratamiento de datos?

3)      En caso de respuesta negativa a la segunda cuestión: ¿debe interpretarse el artículo 2, letra d), de la Directiva [95/46] en el sentido de que regula taxativamente la responsabilidad de manera que se opone a que se actúe por la vía civil contra un tercero que, pese a no ser “responsable del tratamiento”, es el causante de la operación de tratamiento, sin influir en la misma?

4)      ¿A qué “interés legítimo” se ha de atender en una situación como la presente en la ponderación que debe realizarse conforme al artículo 7, letra f), de la Directiva [95/46]? ¿Al interés en la inserción de contenidos de terceros o al interés del tercero?

5)      ¿A quién debe darse el consentimiento con arreglo a los artículos 7, letra a), y 2, letra h), de dicha Directiva [95/46] en una situación como la presente?

6)      ¿Ha de cumplir la obligación de información que establece el artículo 10 de la Directiva [95/46] en una situación como la presente también el operador de la página web que ha insertado el contenido de un tercero, dando lugar así al tratamiento de los datos personales por el tercero?»

 Sobre las cuestiones prejudiciales

 Sobre la primera cuestión prejudicial

43      Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 22 a 24 de la Directiva 95/46 deben interpretarse en el sentido de que se oponen a una normativa nacional que permite a las asociaciones de defensa de los intereses de los consumidores ejercitar acciones judiciales contra el presunto infractor de la protección de datos personales.

44      Con carácter preliminar, es preciso recordar que, conforme al artículo 22 de la Directiva 95/46, los Estados miembros establecerán que toda persona disponga de un recurso judicial en caso de violación de los derechos que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de que se trate.

45      El artículo 28, apartado 3, párrafo tercero, de la Directiva 95/46 dispone que una autoridad de control encargada, conforme al artículo 28, apartado 1, de esta Directiva, de vigilar la aplicación, en el territorio del Estado de que se trate, de las disposiciones adoptadas por él en aplicación de dicha Directiva dispone, entre otras cosas, de capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la misma Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.

46      En cuanto al artículo 28, apartado 4, de la Directiva 95/46, establece que toda autoridad de control entenderá de las solicitudes que cualquier asociación que represente a un interesado, en el sentido del artículo 2, letra a), de dicha Directiva, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales.

47      Sin embargo, ninguna disposición de la citada Directiva obliga a los Estados miembros a establecer —ni les faculta expresamente a establecer—, en sus Derechos nacionales, la posibilidad de que una asociación represente judicialmente a tal interesado o ejercite por iniciativa propia una acción judicial contra el presunto infractor de la protección de datos personales.

48      De lo anterior no se desprende, sin embargo, que la Directiva 95/46 se oponga a una normativa nacional que permite que las asociaciones de defensa de los intereses de los consumidores ejerciten acciones judiciales contra el presunto autor de una infracción de ese tipo.

49      En efecto, en virtud del artículo 288 TFUE, párrafo tercero, los Estados miembros, al transponer una directiva, están obligados a garantizar su plena eficacia, y disponen de un amplio margen de apreciación respecto de la selección de los procedimientos y los medios destinados a garantizar su aplicación. Esta libertad no menoscaba la obligación de cada Estado miembro destinatario de adoptar todas las medidas necesarias para garantizar la plena eficacia de la directiva de que se trate, conforme al objetivo de esta (véanse, en este sentido, las sentencias de 6 de octubre de 2010, Base y otros, C‑389/08, EU:C:2010:584, apartados 24 y 25, y de 22 de febrero de 2018, Porras Guisado, C‑103/16, EU:C:2018:99, apartado 57).

50      A este respecto, es preciso recordar que uno de los objetivos subyacentes de la Directiva 95/46 es el de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales (véanse, en este sentido, las sentencias de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 53, y de 27 de septiembre de 2017, Puškár, C‑73/16, EU:C:2017:725, apartado 38). Según su considerando 10, la aproximación de las legislaciones nacionales aplicables en esta materia no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Unión (sentencias de 6 de noviembre de 2003, Lindqvist, C‑101/01, EU:C:2003:596, apartado 95; de 16 de diciembre de 2008, Huber, C‑524/06, EU:C:2008:724, apartado 50, y de 24 de noviembre de 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 y C‑469/10, EU:C:2011:777, apartado 28).

51      Pues bien, el hecho de que un Estado miembro establezca en su normativa nacional la posibilidad de que una asociación de defensa de los intereses de los consumidores ejercite acciones judiciales contra el presunto infractor de la protección de datos personales no menoscaba en absoluto los objetivos de esta, sino que contribuye, por el contrario, a la consecución de dichos objetivos.

52      Sin embargo, Fashion ID y Facebook Ireland sostienen que, en la medida en que la Directiva 95/46 llevó a cabo una armonización completa de las disposiciones nacionales relativas a la protección de datos, queda excluida cualquier acción judicial no prevista expresamente en aquella. Así pues, consideran que los artículos 22, 23 y 28 de la Directiva 95/46 se limitan a establecer el ejercicio de acciones por los interesados y por las autoridades de control de la protección de datos.

53      No obstante, no puede acogerse este argumento.

54      Es cierto que la Directiva 95/46 conduce, en principio, a una armonización completa de las legislaciones nacionales relativas a la protección de los datos personales (véanse, en este sentido, las sentencias de 24 de noviembre de 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 y C‑469/10, EU:C:2011:777, apartado 29, y de 7 de noviembre de 2013, IPI, C‑473/12, EU:C:2013:715, apartado 31).

55      De este modo, el Tribunal de Justicia ha considerado que el artículo 7 de dicha Directiva establece una lista exhaustiva y taxativa de los casos en que un tratamiento de datos personales puede considerarse lícito y que los Estados miembros no pueden ni añadir a dicho artículo nuevos principios relativos a la legitimación de los tratamientos de datos personales ni imponer exigencias adicionales que vendrían a modificar el alcance de alguno de los seis principios establecidos en ese artículo (sentencias de 24 de noviembre de 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 y C‑469/10, EU:C:2011:777, apartados 30 y 32, y de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 57).

56      Sin embargo, el Tribunal de Justicia también ha precisado que la Directiva 95/46 contiene normas que son relativamente generales, dado que debe aplicarse a un gran número de situaciones muy distintas. Dichas normas se caracterizan por una cierta flexibilidad y dejan en muchos casos en manos de los Estados miembros la tarea de regular los detalles o de elegir entre varias opciones, de modo que los Estados miembros disponen en muchos aspectos de un margen de apreciación para transponer dicha Directiva (véanse, en este sentido, las sentencias de 6 de noviembre de 2003, Lindqvist, C‑101/01, EU:C:2003:596, apartados 83, 84 y 97, y de 24 de noviembre de 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 y C‑469/10, EU:C:2011:777, apartado 35).

57      Así ocurre con los artículos 22 a 24 de la Directiva 95/46, que, como señaló el Abogado General en el punto 42 de sus conclusiones, están redactados en términos generales y no llevan a cabo una armonización exhaustiva de las disposiciones nacionales relativas a los recursos judiciales que pueden entablarse contra el presunto infractor de la protección de datos personales (véase, por analogía, la sentencia de 26 de octubre de 2017, I, C‑195/16, EU:C:2017:815, apartados 57 y 58).

58      En particular, si bien el artículo 22 de la citada Directiva obliga a los Estados miembros a establecer que toda persona disponga de un recurso judicial en caso de violación de los derechos que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de datos personales de que se trate, dicha Directiva no recoge sin embargo ninguna disposición que regule específicamente los requisitos de ejercicio del recurso judicial mencionado (véase, en este sentido, la sentencia de 27 de septiembre de 2017, Puškár, C‑73/16, EU:C:2017:725, apartados 54 y 55).

59      Además, el artículo 24 de la Directiva 95/46 dispone que los Estados miembros adoptarán las «medidas adecuadas» para garantizar la plena aplicación de las disposiciones de esta Directiva, sin definir tales medidas. Pues bien, el hecho de establecer la posibilidad de que una asociación de defensa de los intereses de los consumidores ejercite una acción judicial contra el presunto infractor de la protección de los datos personales parece que puede constituir una medida adecuada, en el sentido de esta disposición, que contribuye, como se ha señalado en el apartado 51 de la presente sentencia, a la consecución de los objetivos de dicha Directiva, conforme a la jurisprudencia del Tribunal de Justicia (véase, a este respecto, la sentencia de 6 de noviembre de 2003, Lindqvist, C‑101/01, EU:C:2003:596, apartado 97).

60      Por otra parte, en contra de lo que alega Fashion ID, el hecho de que un Estado miembro establezca tal posibilidad en su normativa nacional no parece que pueda menoscabar la independencia con la que las autoridades de control deben ejercer las funciones que se les atribuye conforme a lo requerido en el artículo 28 de la Directiva 95/46, en la medida en que dicha posibilidad no afecta a la libertad de decisión de esas autoridades de control ni a su libertad de acción.

61      Además, si bien es cierto que la Directiva 95/46 no se encuentra entre los actos enumerados en el anexo I de la Directiva 2009/22, no es menos cierto que, según el artículo 7 de esta última Directiva, no llevó a cabo una armonización exhaustiva a este respecto.

62      Por último, el hecho de que el Reglamento 2016/679, que derogó y sustituyó la Directiva 95/46 y que se aplica desde el 25 de mayo de 2018, autorice expresamente, en su artículo 80, apartado 2, a los Estados miembros a permitir que las asociaciones de defensa de los intereses de los consumidores ejerciten acciones judiciales contra el presunto infractor de la protección de los datos personales no implica en absoluto que los Estados miembros no pudieran conferirles ese derecho durante la vigencia de la Directiva 95/46, sino que confirma, por el contrario, que la interpretación que de esta se ofrece en la presente sentencia refleja la voluntad del legislador de la Unión.

63      Habida cuenta de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial que los artículos 22 a 24 de la Directiva 95/46 deben interpretarse en el sentido de que no se oponen a una normativa nacional que permita a las asociaciones de defensa de los intereses de los consumidores ejercitar acciones judiciales contra el presunto infractor de la protección de los datos personales.

 Sobre la segunda cuestión prejudicial

64      Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el administrador de un sitio de Internet, como Fashion ID, que inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales del visitante puede ser considerado responsable del tratamiento, en el sentido del artículo 2, letra d), de la Directiva 95/46, siendo así que dicho administrador no tiene influencia alguna en el tratamiento de los datos transmitidos de ese modo al referido proveedor.

65      Sobre este particular, es preciso recordar que, conforme al objetivo perseguido por la Directiva 95/46 de asegurar un alto nivel de protección de las libertades y los derechos fundamentales de las personas físicas, en particular del derecho a la intimidad, en lo que respecta al tratamiento de datos personales, el artículo 2, letra d), de dicha Directiva define de manera amplia el concepto de «responsable del tratamiento», refiriéndose a la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales (véase, en este sentido, la sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, apartados 26 y 27).

66      En efecto, como ya ha declarado el Tribunal de Justicia, el objetivo de dicha disposición consiste en garantizar, mediante una definición amplia del concepto de «responsable», una protección eficaz y completa de los interesados (sentencias de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 34, y de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, apartado 28).

67      Además, toda vez que, como establece expresamente el artículo 2, letra d), de la Directiva 95/46, el concepto de «responsable del tratamiento» se refiere al organismo que, «solo o conjuntamente con otros», determine los fines y los medios del tratamiento de datos personales, dicho concepto no se refiere necesariamente a un único organismo, sino que puede aludir a varios agentes que participen en ese tratamiento, cada uno de los cuales estará sujeto, por lo tanto, a las disposiciones aplicables en materia de protección de datos (véanse, en este sentido, las sentencias de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, apartado 29, y de 10 de julio de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, apartado 65).

68      Asimismo, el Tribunal de Justicia ha considerado que una persona física o jurídica que, atendiendo a sus propios objetivos, influye en el tratamiento de datos personales y participa, por ello, en la determinación de los fines y los medios de dicho tratamiento puede ser considerada responsable del tratamiento en el sentido del artículo 2, letra d), de la Directiva 95/46 (sentencia de 10 de julio de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, apartado 68).

69      Por otra parte, la responsabilidad conjunta de varios agentes respecto a un mismo tratamiento, en virtud de dicho precepto, no supone que cada uno de ellos tenga acceso a los datos personales en cuestión (véanse, en este sentido, las sentencias de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, apartado 38, y de 10 de julio de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, apartado 69).

70      Así las cosas, dado que el objetivo del artículo 2, letra d), de la Directiva 95/46 consiste en garantizar, mediante una definición amplia del concepto de «responsable», una protección eficaz y completa de los interesados, la responsabilidad conjunta no supone necesariamente que, con respecto a un mismo tratamiento de datos personales, los diversos agentes tengan una responsabilidad equivalente. Bien al contrario, los agentes pueden estar implicados en distintas etapas del tratamiento y en distintos grados, de modo que el nivel de responsabilidad de cada uno de ellos debe evaluarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto (véase, en este sentido, la sentencia de 10 de julio de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, apartado 66).

71      A este respecto, es preciso señalar, por un lado, que el artículo 2, letra b), de la Directiva 95/46 define el «tratamiento de datos personales» como «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción».

72      De esta definición resulta que un tratamiento de datos personales puede estar constituido por una o varias operaciones, cada una de ellas referida a una de las distintas fases que puede contener un tratamiento de datos personales.

73      Por otro lado, de la definición del concepto de «responsable del tratamiento», recogida en el artículo 2, letra d), de la Directiva 95/46, y recordada en el apartado 65 de la presente sentencia, se deriva que, cuando varios agentes determinan conjuntamente los fines y los medios de un tratamiento de datos personales, participan, como responsables, en dicho tratamiento.

74      De lo anterior se desprende, como señaló, en esencia, el Abogado General en el punto 101 de sus conclusiones, que una persona física o jurídica únicamente puede ser responsable, en el sentido del artículo 2, letra d), de la Directiva 95/46, conjuntamente con otros, de las operaciones de tratamiento de datos personales cuyos fines y medios determine conjuntamente. En cambio, y sin perjuicio de una eventual responsabilidad civil prevista en el Derecho nacional al respecto, dicha persona física o jurídica no puede ser considerada responsable, en el sentido de dicha disposición, de las operaciones anteriores o posteriores de la cadena de tratamiento respecto de las que no determine los fines ni los medios.

75      En el caso de autos, sin perjuicio de las comprobaciones que corresponde efectuar al órgano jurisdiccional remitente, de los autos que obran en poder del Tribunal de Justicia resulta que, al haber insertado en su sitio de Internet el botón «me gusta» de Facebook, Fashion ID parece haber ofrecido a Facebook Ireland la posibilidad de obtener datos personales de los visitantes de su sitio de Internet, posibilidad que se genera desde el momento en que se consulta tal sitio, y ello con independencia de que dichos visitantes sean miembros de la red social Facebook o de que hayan clicado en el botón «me gusta» de Facebook o incluso de que tengan conocimiento de tal operación.

76      Habida cuenta de esa información, es preciso señalar que las operaciones de tratamiento de datos personales cuyos fines y medios puede determinar Fashion ID, conjuntamente con Facebook Ireland, son, a la luz de la definición del concepto de «tratamiento de datos personales» que figura en el artículo 2, letra b), de la Directiva 95/46, la recogida y la comunicación por transmisión de datos personales de los visitantes de su sitio de Internet. En cambio, a la vista de dicha información, queda excluido, de primeras, que Fashion ID determine los fines y los medios de las operaciones ulteriores de tratamiento de datos personales, efectuadas por Facebook Ireland tras su transmisión a esta última, de modo que Fashion ID no puede ser considerada responsable de esas operaciones, en el sentido de dicho artículo 2, letra d).

77      Por lo que respecta a los medios utilizados a efectos de la recogida y de la comunicación por transmisión de determinados datos personales de los visitantes de su sitio de Internet, del apartado 75 de la presente sentencia se deprende que Fashion ID parece haber insertado en su sitio de Internet el botón «me gusta» de Facebook, puesto a disposición de los administradores de sitios de Internet por Facebook Ireland, siendo consciente de que sirve de herramienta de recogida y de transmisión de datos personales de los visitantes de dicho sitio, ya sean miembros o no de la red social Facebook.

78      Por otra parte, al insertar tal módulo social en su sitio de Internet, Fashion ID influye de manera decisiva en la recogida y transmisión de datos personales de los visitantes de ese sitio a favor del proveedor de dicho módulo —en el caso de autos, Facebook Ireland— que, de no haberse insertado ese módulo, no habrían tenido lugar.

79      En estas circunstancias, y sin perjuicio de las comprobaciones que corresponde efectuar a este respecto al órgano jurisdiccional remitente, debe considerarse que Facebook Ireland y Fashion ID determinan conjuntamente los medios que originan las operaciones de recogida y de comunicación por transmisión de datos personales de los visitantes del sitio de Internet de Fashion ID.

80      En cuanto a los fines de dichas operaciones de tratamiento de datos personales, parece que la inserción por Fashion ID del botón «me gusta» de Facebook en su sitio de Internet le permite optimizar la publicidad para sus productos al hacerlos más visibles en la red social Facebook cuando un visitante de su sitio de Internet clica en dicho botón. Es para poder beneficiarse de esta ventaja comercial consistente en una mayor publicidad para sus productos por lo que Fashion ID, al insertar tal botón en su sitio de Internet, parece haber consentido, al menos implícitamente, la recogida y la comunicación por transmisión de datos personales de los visitantes de su sitio, ya que esas operaciones de tratamiento se efectúan en interés económico tanto de Fashion ID como de Facebook Ireland, para quien el hecho de poder disponer de esos datos para sus propios fines comerciales constituye la contrapartida de la ventaja ofrecida a Fashion ID.

81      En estas circunstancias, puede considerarse, sin perjuicio de las comprobaciones que incumbe efectuar al órgano jurisdiccional remitente, que Fashion ID y Facebook Ireland determinan, conjuntamente, los fines de las operaciones de recogida y de comunicación por transmisión de datos personales de que se trata en el litigio principal.

82      Además, como se desprende de la jurisprudencia recordada en el apartado 69 de la presente sentencia, el hecho de que el propio administrador de un sitio de Internet, como Fashion ID, no tenga acceso a los datos personales recogidos y transmitidos al proveedor del módulo social con el que determina, conjuntamente, los medios y los fines del tratamiento de datos personales, no impide que pueda presentar la condición de «responsable del tratamiento», en el sentido del artículo 2, letra d), de la Directiva 95/46.

83      Por lo demás, es preciso subrayar que un sitio de Internet, como el de Fashion ID, lo visitan tanto personas que son miembros de la red social Facebook y que disponen, por lo tanto, de una cuenta en dicha red social como quienes no disponen de ella. En este último caso, la responsabilidad del administrador de un sitio de Internet, como Fashion ID, respecto del tratamiento de datos personales de esas personas resulta aún mayor, pues la mera consulta de tal sitio, que contiene el botón «me gusta» de Facebook, parece desencadenar el tratamiento de sus datos personales por Facebook Ireland (véase, en este sentido, la sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, apartado 41).

84      En consecuencia, resulta que Fashion ID puede ser considerada responsable, en el sentido del artículo 2, letra d), de la Directiva 95/46, conjuntamente con Facebook Ireland, de las operaciones de recogida y de comunicación por transmisión de datos personales de los visitantes de su sitio de Internet.

85      Habida cuenta de todas las consideraciones anteriores, procede responder a la segunda cuestión prejudicial que el administrador de un sitio de Internet, como Fashion ID, que inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales del visitante puede ser considerado responsable del tratamiento, en el sentido del artículo 2, letra d), de la Directiva 95/46. Sin embargo, esa responsabilidad se limita a la operación o al conjunto de las operaciones de tratamiento de datos personales cuyos fines y medios determina efectivamente, a saber, la recogida y la comunicación por transmisión de datos en cuestión.

 Sobre la tercera cuestión prejudicial

86      Habida cuenta de la respuesta dada a la segunda cuestión prejudicial, no procede responder a la tercera cuestión prejudicial.

 Sobre la cuarta cuestión prejudicial

87      Mediante su cuarta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si, en una situación como la del litigio principal, en la que el administrador de un sitio de Internet inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales del visitante, es preciso tener en cuenta, a efectos de la aplicación del artículo 7, letra f), de la Directiva 95/46, el interés legítimo perseguido por dicho administrador o el interés legítimo perseguido por el proveedor.

88      Con carácter preliminar, es preciso señalar que, según la Comisión, esta cuestión no es pertinente para la resolución del litigio principal, en la medida en que no se solicitó el consentimiento de los interesados, exigido en el artículo 5, apartado 3, de la Directiva 2002/58.

89      Sobre este particular, es preciso señalar que el artículo 5, apartado 3, de esta última Directiva establece que los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46.

90      Corresponde al órgano jurisdiccional remitente comprobar si, en una situación como la del litigio principal, el proveedor de un módulo social, como Facebook Ireland, accede, como sostiene la Comisión, a información almacenada en el equipo terminal, en el sentido del artículo 5, apartado 3, de la Directiva 2002/58, del visitante del sitio de Internet del administrador de dicho sitio.

91      En estas circunstancias, y dado que el órgano jurisdiccional remitente parece considerar que, en el caso de autos, los datos transmitidos a Facebook Ireland constituyen datos personales, en el sentido de la Directiva 95/46, que, por otra parte, no se limitan necesariamente a la información almacenada en el equipo terminal, extremo que le corresponde confirmar, las consideraciones de la Comisión no ponen en entredicho la pertinencia, para la resolución del litigio principal, de la cuarta cuestión prejudicial, que se refiere a la naturaleza eventualmente lícita del tratamiento de los datos de que se trata en el litigio principal, como también señaló el Abogado General en el punto 115 de sus conclusiones.

92      En consecuencia, procede examinar qué interés legítimo debe tenerse en cuenta, a efectos de la aplicación del artículo 7, letra f), de dicha Directiva al tratamiento de esos datos.

93      A este respecto, es preciso recordar de entrada que, según lo dispuesto en el capítulo II de la Directiva 95/46, que lleva por título «Condiciones generales para la licitud del tratamiento de datos personales», sin perjuicio de las excepciones admitidas al amparo del artículo 13 de dicha Directiva, todo tratamiento de datos personales debe ser conforme, en particular, con alguno de los principios relativos a la legitimación del tratamiento de datos enumerados en el artículo 7 de la citada Directiva (véanse, en este sentido, las sentencias de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 71, y de 1 de octubre de 2015, Bara y otros, C‑201/14, EU:C:2015:638, apartado 30).

94      Conforme al artículo 7, letra f), de la Directiva 95/46, cuya interpretación solicita el órgano jurisdiccional remitente, el tratamiento de datos personales es lícito si es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al artículo 1, apartado 1, de la Directiva 95/46.

95      Por lo tanto, dicho artículo 7, letra f), establece tres requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, en primer lugar, que el responsable del tratamiento o el tercero o terceros a los que se comuniquen los datos persigan un interés legítimo; en segundo lugar, la necesidad del tratamiento de datos personales para la satisfacción del interés legítimo perseguido, y, en tercer lugar, el requisito de que no prevalezcan los derechos y libertades fundamentales del interesado (sentencia de 4 de mayo de 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, apartado 28).

96      En la medida en que, a la vista de la respuesta dada a la segunda cuestión prejudicial, resulta que, en una situación como la del litigio principal, el administrador de un sitio de Internet que inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a dicho proveedor datos personales del visitante puede ser considerado responsable, conjuntamente con ese proveedor, de las operaciones de tratamiento de datos personales de los visitantes de su sitio de Internet que son la recogida y la comunicación por transmisión, es necesario que cada uno de esos responsables persiga, con tales operaciones de tratamiento, un interés legítimo, en el sentido del artículo 7, letra f), de la Directiva 95/46, para que estas queden justificadas.

97      Habida cuenta de las consideraciones anteriores, procede responder a la cuarta cuestión prejudicial que, en una situación como la del litigio principal, en la que el administrador de un sitio de Internet inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a dicho proveedor datos personales del visitante, es necesario que el administrador y el proveedor persigan, cada uno de ellos, con esas operaciones de tratamiento, un interés legítimo, en el sentido del artículo 7, letra f), de la Directiva 95/46, para que estas queden justificadas.

 Sobre las cuestiones prejudiciales quinta y sexta

98      Mediante sus cuestiones prejudiciales quinta y sexta, que procede examinar conjuntamente, el órgano jurisdiccional remitente desea saber esencialmente, por un lado, si los artículos 2, letra h), y 7, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, en una situación como la del litigio principal, en la que el administrador de un sitio de Internet inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales de dicho visitante, el consentimiento mencionado en tales disposiciones debe ser solicitado por el administrador o por el proveedor y, por otro lado, si el artículo 10 de la citada Directiva debe interpretarse en el sentido de que, en tal situación, la obligación de información establecida en esa disposición recae sobre dicho administrador.

99      Como se desprende de la respuesta dada a la segunda cuestión prejudicial, el administrador de un sitio de Internet que inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales de dicho visitante puede ser considerado responsable del tratamiento, en el sentido del artículo 2, letra d), de la Directiva 95/46, responsabilidad que se limita, sin embargo, a la operación o al conjunto de las operaciones de tratamiento de datos personales cuyos fines y medios determina efectivamente.

100    Así pues, resulta que las obligaciones que pueden incumbir, conforme a la Directiva 95/46, a ese responsable del tratamiento, como la obligación de solicitar el consentimiento del interesado mencionado en los artículos 2, letra h), y 7, letra a), de dicha Directiva, y la obligación de información establecida en el artículo 10 de esta, deben referirse a la operación o al conjunto de las operaciones de tratamiento de datos personales cuyos fines y medios determina efectivamente.

101    En el caso de autos, si bien el administrador de un sitio de Internet que inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a dicho proveedor datos personales del visitante puede ser considerado responsable, conjuntamente con ese proveedor, de las operaciones de recogida y de comunicación por transmisión de datos personales de dicho visitante, su obligación de solicitar el consentimiento del interesado, mencionado en los artículos 2, letra h), y 7, letra a), de la Directiva 95/46, y su obligación de información establecida en el artículo 10 de esta se refieren únicamente a esas operaciones. En cambio, dichas obligaciones no se extienden a las operaciones de tratamiento de datos personales relativas a las demás fases, anteriores o posteriores a dichas operaciones, que implique, en su caso, el tratamiento de datos personales en cuestión.

102    Por lo que respecta al consentimiento mencionado en los artículos 2, letra h), y 7, letra a), de la Directiva 95/46, resulta que este debe darse con anterioridad a la recogida y a la comunicación por transmisión de datos del interesado. En estas circunstancias, incumbe al administrador del sitio de Internet, y no al proveedor del módulo social, solicitar dicho consentimiento, en la medida en que es el hecho de que un visitante consulte ese sitio de Internet lo que desencadena el proceso de tratamiento de datos personales. En efecto, como señaló el Abogado General en el punto 132 de sus conclusiones, no sería coherente con una protección eficaz y oportuna de los derechos del interesado que el consentimiento solamente se diera al corresponsable del tratamiento que interviene posteriormente, a saber, al proveedor de dicho módulo. No obstante, el consentimiento que debe prestarse al administrador se refiere únicamente a la operación o al conjunto de las operaciones de tratamiento de datos personales cuyos fines y medios determina efectivamente dicho administrador.

103    Lo mismo cabe decir respecto de la obligación de información establecida en el artículo 10 de la Directiva 95/46.

104    De la redacción de dicha disposición se desprende, a este respecto, que el responsable del tratamiento o su representante deben comunicar a la persona de quien se recaben los datos por lo menos la información mencionada en la citada disposición. Por lo tanto, resulta que el responsable del tratamiento debe dar dicha información inmediatamente, a saber, en el momento en el que se recaban los datos (véanse, en este sentido, las sentencias de 7 de mayo de 2009, Rijkeboer, C‑553/07, EU:C:2009:293, apartado 68, y de 7 de noviembre de 2013, IPI, C‑473/12, EU:C:2013:715, apartado 23).

105    De lo anterior se deduce que, en una situación como la del litigio principal, la obligación de información establecida en el artículo 10 de la Directiva 95/46 recae también sobre el administrador del sitio de Internet; no obstante, la información que este último debe comunicar al interesado debe referirse únicamente a la operación o al conjunto de las operaciones de tratamiento de datos personales cuyos fines y medios determina efectivamente dicho administrador.

106    Habida cuenta de las consideraciones anteriores, procede responder a las cuestiones prejudiciales quinta y sexta que los artículos 2, letra h), y 7, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, en una situación como la del litigio principal, en la que el administrador de un sitio de Internet inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales del visitante, el consentimiento mencionado en tales disposiciones debe ser solicitado por dicho administrador únicamente por lo que se refiere a la operación o al conjunto de las operaciones de tratamiento de datos personales cuyos fines y medios determina ese administrador. Además, el artículo 10 de la citada Directiva debe interpretarse en el sentido de que, en tal situación, la obligación de información establecida en esta disposición recae también sobre dicho administrador; no obstante, la información que este último debe comunicar al interesado debe referirse únicamente a la operación o al conjunto de las operaciones de tratamiento de datos personales cuyos fines y medios determina.

 Costas

107    Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Segunda) declara:

1)      Los artículos 22 a 24 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, deben interpretarse en el sentido de que no se oponen a una normativa nacional que permita a las asociaciones de defensa de los intereses de los consumidores ejercitar acciones judiciales contra el presunto infractor de la protección de los datos personales.

2)      El administrador de un sitio de Internet, como Fashion ID GmbH & Co. KG, que inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales del visitante puede ser considerado responsable del tratamiento, en el sentido del artículo 2, letra d), de la Directiva 95/46. Sin embargo, esa responsabilidad se limita a la operación o al conjunto de las operaciones de tratamiento de datos personales cuyos fines y medios determina efectivamente, a saber, la recogida y la comunicación por transmisión de datos en cuestión.

3)      En una situación como la del litigio principal, en la que el administrador de un sitio de Internet inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a dicho proveedor datos personales del visitante, es necesario que el administrador y el proveedor persigan, cada uno de ellos, con esas operaciones de tratamiento, un interés legítimo, en el sentido del artículo 7, letra f), de la Directiva 95/46, para que estas queden justificadas.

4)      Los artículos 2, letra h), y 7, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, en una situación como la del litigio principal, en la que el administrador de un sitio de Internet inserta en dicho sitio un módulo social que permite que el navegador del visitante de ese sitio solicite contenidos del proveedor de dicho módulo y transmita para ello a ese proveedor datos personales del visitante, el consentimiento mencionado en tales disposiciones debe ser solicitado por dicho administrador únicamente por lo que se refiere a la operación o al conjunto de las operaciones de tratamiento de datos personales cuyos fines y medios determina ese administrador. Además, el artículo 10 de la citada Directiva debe interpretarse en el sentido de que, en tal situación, la obligación de información establecida en esta disposición recae también sobre dicho administrador; no obstante, la información que este último debe comunicar al interesado debe referirse únicamente a la operación o al conjunto de las operaciones de tratamiento de datos personales cuyos fines y medios determina.

Firmas


*      Lengua de procedimiento: alemán.