La Agencia Danesa de Protección de Datos ha criticado duramente a Boligportal por no poder demostrar que su tratamiento de la información sobre las personas que visitan su sitio web se ajusta al GDPR. La autoridad de control también ha emitido una orden a Boligportal para que ajuste el tratamiento a la normativa.
A finales de 2020, la Agencia Danesa de Protección de Datos recibió una de un total de 101 denuncias que la organización «None of Your Business» (NOYB) había enviado a varias autoridades europeas de protección de datos. Las reclamaciones se referían al uso por parte de varios responsables del tratamiento de datos de Google Analytics o de las llamadas Facebook Business Tools en sus sitios web. En el caso de la Agencia Danesa de Protección de Datos, la denuncia se refería al tratamiento por Boligportal de los datos personales del denunciante (representado por NOYB) mediante el uso por parte de la empresa de Facebook Business Tools en su sitio web.
¿Qué es Facebook Business Tools?
Las herramientas de empresa de Facebook son herramientas ofrecidas por Meta que pueden incrustarse en un sitio web. Cuando una persona visita el sitio web, las herramientas recopilan información sobre, entre otras cosas, la dirección IP de la persona, que la persona ha visitado el sitio web, la hora de la visita, otra información sobre, entre otras cosas, el navegador y el sistema operativo, así como información sobre otros identificadores en línea que se han recopilado a través de cookies.
El portal de la vivienda no pudo demostrar el cumplimiento del GDPR
La Agencia Danesa de Protección de Datos consideró que, basándose en la información recopilada, no podía tomar una decisión sobre la posible transferencia de datos personales a EE.UU., ya que ha habido desacuerdo entre las partes sobre si los datos personales del denunciante se han transferido realmente a EE.UU..
Sin embargo, esto dio a la Agencia Danesa de Protección de Datos motivos para investigar si Boligportal había cumplido sus obligaciones en virtud del Reglamento General de Protección de Datos, en particular la obligación de la empresa de poder demostrar el cumplimiento.
La Agencia Danesa de Protección de Datos concluyó que las partes debían considerarse corresponsables del tratamiento de los datos personales del demandante. A este respecto, la Agencia Danesa de Protección de Datos encontró motivos para expresar serias críticas por el hecho de que Boligportal no haya podido demostrar un reparto suficiente de funciones y responsabilidades entre Boligportal y Meta Ireland Limited (Meta Ireland) a la luz del tratamiento de datos personales que tuvo lugar, es decir, por el hecho de que no existiera un acuerdo sobre el reparto de funciones y responsabilidades en el momento de la visita del denunciante al sitio web de Boligportal, lo que por lo demás se requiere para la responsabilidad conjunta de los datos.
Además, el acuerdo actual entre Boligportal y Meta Ireland como responsables conjuntos del tratamiento de datos no establece si los datos personales de los visitantes del sitio web se tratan utilizando herramientas o procesadores de datos situados fuera de la UE/EEE y, en caso afirmativo, quién es responsable de garantizar el cumplimiento de las normas sobre transferencias a terceros países no seguros.
Orden de ajustar el tratamiento al RGPD
Basándose en lo anterior, la Agencia Danesa de Protección de Datos encontró motivos para ordenar a Boligportal que ajustara el tratamiento de datos personales al RGPD. En opinión de la Agencia Danesa de Protección de Datos, esto puede hacerse, entre otras cosas, aclarando la división de funciones y responsabilidades entre Boligportal y Meta Ireland, de modo que quede claro en el acuerdo entre las partes si los datos personales sobre los visitantes del sitio web se procesan utilizando ayudas o procesadores de datos ubicados fuera de la UE / EEE. Además, debe indicarse cómo se observan las normas sobre transferencias a terceros países en relación con el tratamiento del que las partes son corresponsables, y qué parte debe garantizar en la práctica el cumplimiento de dichas normas. Alternativamente, esto puede hacerse interrumpiendo la actividad de tratamiento en cuestión.
Sin embargo, las soluciones anteriores son sólo sugerencias y no las únicas opciones para cumplir la orden de la Agencia Danesa de Protección de Datos. Como responsable del tratamiento, Boligportal tiene plena libertad de elección para demostrar que cumple las normas de protección de datos.
El caso se ha tratado en cooperación con las demás autoridades europeas de protección de datos en el denominado Grupo Operativo 101.