El administrador de una página de Facebook es responsable conjuntamente con Facebook del tratamiento de los datos de sus visitantes

El administrador de una página de Facebook es responsable conjuntamente con Facebook del tratamiento de los datos de sus visitantes

Protección de datos personales. Responsable del tratamiento de datos personales.  Facebook. El administrador de una página de Facebook es responsable conjuntamente con Facebook del tratamiento de los datos de sus visitantes.

El artículo 2, d), de la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (actual art. 4.7 del Reglamento 2016/679), debe interpretarse en el sentido de que el concepto de «responsable del tratamiento», en el sentido de esa disposición, comprende al administrador de una página de fans alojada en una red social. Por su parte, los artículos 4 y 28 de la Directiva (actual arts. 3 y 51 respectivamente del Reglamento 2016/679) deben interpretarse en el sentido de que, cuando una empresa establecida fuera de la Unión dispone de varios establecimientos en diversos Estados miembros, la autoridad de control de un Estado miembro está facultada para ejercer los poderes que le confiere el artículo 28.3 de la mencionada Directiva respecto a un establecimiento de esa empresa situado en el territorio de ese Estado miembro, aun cuando, en virtud del reparto de funciones dentro del grupo, por un lado, este establecimiento únicamente se encarga de la venta de espacios publicitarios y de otras actividades de marketing en el territorio de dicho Estado miembro y, por otro lado, la responsabilidad exclusiva de la recogida y del tratamiento de los datos personales incumbe, para todo el territorio de la Unión, a un establecimiento situado en otro Estado miembro.

El artículo 4.1 a), y el artículo 28.3 y 6, de la Directiva deben interpretarse en el sentido de que, cuando la autoridad de control de un Estado miembro pretende ejercer frente a una entidad establecida en el territorio de ese Estado miembro los poderes de intervención contemplados en el artículo 28.3, de la referida Directiva debido a infracciones de las normas relativas a la protección de datos personales cometidas por un tercero responsable del tratamiento de esos datos que tiene su domicilio en otro Estado miembro, dicha autoridad de control es competente para apreciar, de manera autónoma respecto de la autoridad de control de este último Estado miembro, la legalidad del referido tratamiento de datos y puede ejercer sus poderes de intervención frente a la entidad establecida en su territorio sin instar previamente la intervención de la autoridad de control del otro Estado miembro.

(Sentencia del Tribunal de Justicia de la Unión Europea (Gran Sala),  de 5 de junio de 2018, Asunto C-210/16)