Restricciones al comercio en línea para proteger la diversidad cultural y libre circulación de mercancías

 

     Con respecto al margen de los Estados miembros para imponer restricciones en el ámbito del comercio electrónico y los servicios de la sociedad de la información, la sentencia del Tribunal de Justicia del pasado jueves en el asunto Amazon EU (Tarifs minimaux de livraison de livres), C-366/24, EU:C:2025:990, tiene, en primer lugar, el interés de aclarar la interpretación del artículo 1.6 de la Directiva 2000/31 sobre el comercio electrónico (DCE). Esa disposición, que se integra en el artículo dedicado al “(o)bjetivo y ámbito de aplicación” de la DCE, y que aparece reproducida mutatis mutandis en el artículo 1.4 de la Directiva 2006/123 relativa a los servicios en el mercado interior, establece que la DCE “no afectará a las medidas adoptadas en el plano comunitario ni nacional, dentro del respeto del Derecho comunitario, para fomentar la diversidad cultural y lingüística y garantizar la defensa del pluralismo”. La nueva sentencia aclara que el inciso “dentro del respeto del Derecho comunitario” supone que las medidas nacionales destinadas a preservar la diversidad cultural, aunque quedan fuera, en virtud de esas disposiciones, del ámbito de aplicación de la DCE y de la Directiva 2006/123, por lo que no cabe exigir su conformidad con esas Directivas, sí están sometidas a la exigencia de ser conformes con el Derecho de la Unión y, en particular, con la libre circulación de mercancías garantizada por el artículo 34 TFUE y la libre prestación de servicios garantizada por el artículo 56 TFUE (apdos. 42-44 de la sentencia). En segundo lugar, la sentencia precisa que medidas como la que es objeto del litigio principal típicamente resultan incompatibles con la libre circulación de mercancías. En concreto, el litigio principal va referido a la imposición por las autoridades francesas de una tarifa mínima para los servicios de entrega a domicilio de libros, con el propósito de proteger a las librerías tradicionales frente a las plataformas de comercio electrónico.

Cláusulas contractuales tipo sobre el acceso a los datos y su utilización (II): elección de foro

 

                La circunstancia de que, como se ha indicado en la entrada precedente, el Reglamento de Datos incluya normas (internacionalmente) imperativas, cuyo ámbito territorial de aplicación delimita expresamente, es uno de los elementos relevantes al valorar las carencias que presenta la formulación de la cláusula sobre solución de controversias que en lo sustancial se reitera en cada uno de los cuatro tipos de contratos relativos al acceso y el uso de datos objeto de las cláusulas contractuales tipo recomendadas ahora por la Comisión. En lo relativo a la determinación de los tribunales competentes las cláusulas tipo, cuyo objetivo básico declarado es proporcionar seguridad jurídica, deberían haber recomendado expresamente que se incluyera un acuerdo de jurisdicción designando con carácter exclusivo los tribunales de una circunscripción de un Estado miembro de la Unión (salvo, en su caso, cuando se trate de contratos con consumidores y las reglas relativas a su protección excluyan la eficacia de ese tipo de cláusulas, de conformidad, en particular, con los artículos 19 y 25.4 del Reglamento Bruselas I bis). No recomendar expresamente la inclusión de un acuerdo de jurisdicción designando los tribunales de una circunscripción de un Estado miembro de la Unión parece cuestionable, ya que designar en alguno de los contratos contemplados un tribunal de un tercer Estado (por ejemplo, el del establecimiento del titular de datos situado en un tercer Estado) facilita que el acuerdo atributivo de competencia pueda no ser eficaz en la Unión. También resulta cuestionable la falta de atención a si ciertas cláusulas de jurisdicción incluso a favor de los tribunales de un Estado miembro pueden llegar a ser considerada abusivas en contratos entre empresas conforme a los artículos 13.4.b) y 13.5.a) del RD (II, infra). En todo caso, fuera de esas situaciones, es importante destacar que no designar ningún tribunal será fuente de incertidumbre acerca de los posibles foros competentes en relación con los litigios que surjan del contrato de acceso a datos y su utilización (III, infra).

Cláusulas contractuales tipo sobre el acceso a los datos y su utilización (I): ley aplicable

 

Para dar cumplimiento, aunque con retraso, a lo dispuesto en el artículo 41 del Reglamento (UE) 2023/2854 de Datos (RD), recientemente la Comisión Europea ha publicado su Recomendación relativa a las cláusulas contractuales tipo no vinculantes sobre el acceso a los datos y su utilización. Cabe recordar que el Reglamento de Datos regula, entre otras cuestiones, el acceso por los usuarios de un producto conectado o servicio relacionado a los datos generados por su uso, así como la utilización de esos datos, incluso compartiéndolos con terceros -destinatarios de datos- a su elección, por ejemplo, con quienes desean que les presten servicios de mantenimiento o reparación o con quienes pueden estar interesados en usarlos para desarrollar productos innovadores. Las normas sobre esas cuestiones objeto del Capítulo II (arts. 3 a 7 RD) se complementan con las relativas al régimen de puesta a disposición de tales destinarios de los datos por parte de sus titulares, que son objeto del Capítulo III (arts. 8 a 12), así como con las que excluyen la aplicación entre empresas de cláusulas contractuales abusivas sobre el acceso a los datos, su utilización o la responsabilidad y vías de recurso por incumplimiento de obligaciones relativas a datos (Capítulo IV o art. 13). En síntesis, el RD establece los derechos y obligaciones de las partes implicadas en el acceso y la utilización de datos, fija normas para el intercambio obligatorio de datos y permite a las partes determinar mediante contratos el ejercicio práctico de sus derechos y obligaciones en relación con dicho acceso y utilización de datos (cdo. 3 de la Recomendación). Se trata en gran medida de normas jurídico-privadas de Derecho contractual, si bien presentan típicamente carácter imperativo, estando destinadas a hacer posible una utilización equitativa de los datos y evitar la explotación de desequilibrios contractuales por parte de los titulares de datos para obstaculizar el acceso a los datos por los usuarios o terceros destinatarios (cdo. 5 RD). Son disposiciones puntuales destinadas en parte a complementar en las relaciones entre empresas el acervo comunitario sobre contratos de consumo establecido en la Directiva 93/13, sin que, salvo cuando se disponga otra cosa, el Reglamento de Datos afecte a las normas nacionales de Derecho contractual, incluidas las relativas a la celebración, validez o efectos de los contratos (cdo. 9 RD).

Como se destaca en los considerandos de la Recomendación, en el marco del RD, que establece un sistema en el que la utilización de los datos se basa en contratos, está previsto que las cláusulas contractuales sobre el acceso a los datos y su utilización ahora publicadas desempeñen un papel muy relevante. Se trata de un instrumento no vinculante o modelo para los participantes en tales contratos, destinado a aportar seguridad jurídica respecto de los derechos y obligaciones entre las partes, facilitando la conclusión de estos contos contratos y promoviendo de esta manera el intercambio de datos. Teniendo en cuenta el entorno digital en los que estos contratos están llamados a operar, con frecuencia serán internacionales, e incluso no será raro que alguna de las partes implicadas -por ejemplo, el titular de datos- sea una persona o entidad de un tercer país. De hecho, el carácter típicamente internacional de muchos de estos contratos tiene su reflejo en la inclusión en los diversos modelos contractuales ahora presentados de cláusulas de elección de la ley estatal aplicable y de elección de foro. No obstante, a la luz del contenido de tales cláusulas, cabe lamentar que las cuestiones de Derecho internacional privado no hayan recibido una mayor atención en las cláusulas contractuales tipo no vinculantes sobre el acceso a los datos y su utilización. Tras una breve panorámica de los diversos tipos de contratos objeto de las varias categorías de cláusulas tipo (I, infra) y de la naturaleza y ámbito de aplicación de las normas del RD relevantes desde la perspectiva de la contratación internacional (II, infra), me centraré en esta entrada en sus cláusulas sobre ley aplicable (III, infra), para hacer referencia en la siguiente entrada a las cláusulas relativas a la competencia judicial.

Responsabilidad de plataformas en línea por la difusión por sus usuarios de datos personales

 

       Que la difusión de datos personales de terceros a través de Internet, por ejemplo, cuando alguien publica en una plataforma en línea un falso anuncio con datos de contacto de un tercero que supuestamente oferta servicios sexuales, constituye un tratamiento de datos personales de ese tercero por parte del usuario que publica el anuncio, no resulta algo controvertido. La sentencia del pasado martes del Tribunal de Justicia (Gran Sala) en el asunto Russmedia Digital and Inform Media Press, C-492/23, EU:C:2025:935, reviste singular interés en relación con las obligaciones de ciertas plataformas en línea en tanto que corresponsables junto al anunciante del tratamiento de los datos personales de terceros incluidos en el anuncio en situaciones de ese tipo (I, infra). Se trata de obligaciones que se traducen, entre otros, en deberes específicos de supervisión de los contenidos difundidos por terceros que puedan incluir datos personales, en particular, datos personales sensibles, y, en su caso, requerir recabar la identidad del usuario anunciante y verificar si es la persona cuyos datos sensibles figuran en dicho anuncio o incluso denegar la difusión del anuncio en cuestión, así como aplicar medidas de seguridad que restrinjan la difusión ulterior de los anuncios (II y III, infra). La sentencia aclara, además, que las normas sobre la exención de responsabilidad de las plataformas respecto de los contenidos difundidos por terceros a través de sus servicios y sobre la inexistencia de obligaciones generales de monitorización o de búsqueda activa de hechos indicativos de actividades ilícitas, de las que pueden beneficiarse las plataformas en línea en tanto que intermediarias, no resultan de aplicación a las cuestiones relativas a la protección de los datos personales. A ese respecto la sentencia se presta también a la reflexión acerca de la eventual interacción entre, de una parte, las circunstancias relevantes para calificar a la plataforma como responsable del tratamiento de datos personales respecto de los incluidos en sus contenidos por los usuarios de sus servicios y, de otra, las que determinan que un prestador de servicios digitales no sea considerado como mero intermediario neutral a los efectos de beneficiarse de la exención de responsabilidad del artículo 6 del Reglamento (UE) 2022/2065 de Servicios Digitales (RSD)  con respecto a reclamaciones por la ilicitud de tales contenidos en sectores distintos a la protección de datos personales (IV, infra).

    Se trata, por lo tanto, de una sentencia potencialmente de gran impacto en relación, entre otros aspectos, con el eventual ejercicio por los terceros cuyos datos, especialmente sensibles, han sido difundidos a través de ciertas plataformas sin su consentimiento, de acciones frente a la propia plataforma por vulneración de sus derechos de la personalidad y, en particular, tendentes a la indemnización de los daños y perjuicios materiales o inmateriales sufridos como consecuencia de la eventual infracción del RGPD por la plataforma a través de la cual el usuario difundió esa información. De hecho, a un supuesto de ese tipo va referido el litigio principal ante los tribunales rumanos que se encuentra en el origen de esta sentencia.  

Competencia territorial e ilícitos en línea: novedades en la jurisprudencia del Tribunal de Justicia

 

En su sentencia de hoy en el asunto Stichting Right to Consumer Justice y Stichting App Stores Claims, C-34/24, EU:C:2025:936, el Tribunal de Justicia (Gran Sala) precisa cómo debe concretarse qué órganos judiciales del Estado miembro donde se localiza el lugar de manifestación del daño en virtud del artículo 7.2 del Reglamento 1215/2012 (RBIbis) tienen competencia territorial en ciertas situaciones relativas a ilícitos cometidos en línea que generan daños dispersos en el conjunto del territorio del Estado en cuestión. Los litigios principales tienen su origen en el ejercicio ante los tribunales neerlandeses de acciones de representación interpuestas por fundaciones destinadas a la defensa de los intereses de víctimas de conductas contrarias a la competencia, quienes solicitan que se declare que sociedades del grupo Apple han actuado ilegalmente en perjuicio de usuarios de aplicaciones para iOS y que se condene a esas sociedades a reparar el daño causado. Las demandantes sostienen que Apple ha abusado de su posición de dominio en el mercado de distribución de aplicaciones para sus dispositivos al percibir una comisión del 30 % del precio pagado por los usuarios al adquirir las aplicaciones a través de la App Store. Según las demandantes, con ese proceder Apple no sólo infringe el artículo 102 TFUE, sino que, además, al llevar a cabo una fijación vertical de los precios, también infringe el artículo 101 TFUE. Para cuestionar la competencia del tribunal ante el que se habían presentado las demandas en los litigios principales, Apple sostenía que el tribunal de Ámsterdam no es competente o lo sería competente, a lo sumo, para conocer de las demandas respecto de los usuarios que hubieran realizado la compra, a través de la App Store dirigida al público neerlandés (App Store NL), en Ámsterdam, pero no de los usuarios que hubieran realizado la compra en otros lugares de los Países Bajos.

Pese a que entre las cuestiones prejudiciales relativas a la interpretación del artículo 7.2 RBIbis planteadas en este asunto al Tribunal de Justicia se incluía alguna relativa a la determinación del lugar de origen del daño, la sentencia aborda únicamente la determinación del lugar de manifestación del daño y lo hace en relación con el contexto específico de las acciones de representación ejercitadas en los litigios principales. La sentencia alcanza un resultado que parece distanciarse de pronunciamientos anteriores del Tribunal, pero lo cierto es que las características de situaciones en las que los daños derivados de actividades en línea son difusos como en los litigio principales en este asunto -relativos a los daños derivados de compras efectuadas a través de una plataforma en línea de aplicaciones que pueden descargarse desde cualquier lugar- se alejan de las que habían sido objeto de las resoluciones anteriores del Tribunal de Justicia en las que había abordado la determinación de la competencia territorial en relación con el lugar de manifestación del daño. El contenido resulta de especial interés en relación con ese tipo de reclamaciones de daños derivados de la eventual vulneración de las normas sobre libre competencia (I y II, infra). Ello, además, en un contexto en el que los desarrollos normativos favorecen la proliferación de esas reclamaciones u otras similares, por ejemplo, si tenemos en cuenta de cara al futuro el potencial relativo a la aplicación privada del Reglamento (UE) 2022/1925 de Mercados Digitales. Como complemento de lo anterior, la sentencia se presta también a la reflexión acerca de en qué medida el criterio adoptado ahora por el Tribunal de Justicia puede resultar de utilidad para guiar la determinación de la competencia territorial respecto de otras situaciones relativas a ilícitos cometidos en línea que generan daños dispersos en el territorio de un Estado miembro (III, infra).

Propuesta de Reglamento Ómnibus Digital (III): Datos personales

 

Las modificaciones en materia de datos personales aparecen recogidas en los artículos 3 a 5 de la Propuesta. El artículo 3 recoge los cambios que se pretenden introducir en el RGPD. Entre ellos se incluye la revisión de la definición misma de dato personal, mediante la un añadido que se presenta como una mera clarificación para facilitar la determinación de cuando los datos resultantes de la seudonimización no constituyen datos personales. Otras modificaciones previstas del RGPD afectan a cuestiones como las siguientes. La introducción de una definición amplia de “investigación científica” en el artículo 4.38 RGPD, que concurre con otros cambios para facilitar el tratamiento de datos personales con tales fines, incluyendo la precisión de que el tratamiento posterior con fines de investigación científicos es compatible con el fin para el cual se recogieron inicialmente los datos personales a los efectos del artículo 6.4 RGPD. La previsión de dos excepciones adicionales a la prohibición del tratamiento de categorías especiales de datos personales en el artículo 9.2 RGPD, con respecto al tratamiento de datos biométricos para confirmar la identidad del interesado cuando los datos y los medios de verificación estén bajo su control exclusivo, así como respecto del tratamiento residual de datos personales para el desarrollo y funcionamiento de un sistema de IA o un modelo de IA, cuando se respeten determinadas condiciones conforme a un nuevo artículo 9.5. Los considerandos del Reglamento propuesto incluyen precisiones acerca de la posibilidad de que ese tipo de tratamiento de datos personales puedan tenerse como base para su licitud el ser necesarios para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, de conformidad con lo dispuesto en el artículo 6.1.f) RGPD, que, como es conocido, exige la ponderación entre, de una parte tales intereses legítimos y, de otra intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales (cdos. 30 y 31 de la Propuesta de Reglamento). También se contempla la flexibilización de la información que debe facilitarse en virtud del artículo 13 RGPD cuando los datos personales se obtienen del interesado en virtud, eliminando esta obligación en situaciones en las que cabe suponer que el interesado ya dispone de la información. Con respecto al artículo 22 RGPD, en materia de decisiones individuales automatizadas, se contempla la modificación de la letra a) de su apartado 1, para precisar que la concurrencia del requisito de necesidad para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento, como presupuesto para la admisibilidad de tales decisiones, es independiente de si la decisión puede tomarse por medios distintos de los exclusivamente automatizados. También destaca la introducción de un nuevo artículo 88 bis en el RGPD, que se vincula con la integración en este instrumento del régimen contenido ahora en el artículo 5.3 de la Directiva 2002/58 en relación con el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario.

Por su parte, el artículo 4 de la Propuesta contempla la proyección de los cambios relevantes en el RGPD establecidos en el artículo 3 en el régimen paralelo del Reglamento (UE) 2018/1725 relativo al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión. Por último, el artículo 5 incluye las modificaciones en la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas, entre las que merece especial atención la modificación de su artículo 5.3 relativo al almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, determinante, entre otras cuestiones del régimen aplicable en relación con las cookies y herramientas similares. Por su especial interés e impacto, me detendré en dos aspectos: la definición de dato personal en el artículo 4.1 del RGPD (I, infra) y la modificación del artículo 5.3 de la Directiva 2002/58 e integración de su contenido, con cambios relevantes, en el RGPD (II, infra).

Propuesta de Reglamento Ómnibus Digital (II): Datos (y contratos inteligentes)

 

Dejando de momento de lado los aspectos relativos a datos personales, en concreto las controvertidas modificaciones del RGPD (y de la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas) que se pretenden introducir, un aspecto central de la Propuesta de Reglamento Ómnibus Digital es la refundición del marco regulatorio referido a los datos en general (personales y no personales) en un único instrumento. En síntesis, la refundición se lleva a cabo mediante la integración en el Reglamento (UE) 2023/2854 de Datos de las normas relevantes del Reglamento (UE) 2022/868 de Gobernanza de Datos, el Reglamento (UE) 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea, y de la Directiva 2019/1024 relativa a los datos abiertos y la reutilización de la información del sector público. Los instrumentos cuyas normas se integran en el Reglamento de Datos quedarán derogados por el Reglamento Ómnibus Digital.