jueves, 7 de diciembre de 2023

La interpretación amplia del concepto de “decisión automatizada” del artículo 22 RGPD y sus implicaciones en el uso de herramientas de inteligencia artificial

 

       En su sentencia de hoy en el asunto SCHUFA Holding (Scoring), C-634/21, EU:C:2023:957, el Tribunal de Justicia aborda la interpretación del artículo 22 del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD). Cabe recordar que conforme al artículo 22.1 RGPD, todo interesado tiene “derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”, sin perjuicio de ciertas excepciones previstas en su apartado 2. Pese a su formulación como un derecho del interesado, la sentencia pone de relieve que el artículo 22.1 RGPD establece una prohibición de principio de los tratamientos automatizados incluidos en su ámbito de aplicación cuya inobservancia no necesita ser invocada proactivamente por el interesado (apdo. 52 de la sentencia con remisión a las conclusiones del Abogado General). Esa prohibición, junto a las restricciones resultantes de las normas concordantes del RGPD, presenta singular relevancia en relación con el empleo de herramientas de inteligencia artificial (IA), en la medida en que éstas típicamente facilitan resultados basados en el tratamiento automatizado de datos sin que medie intervención humana. La nueva sentencia establece que el concepto de decisión automatizada que afecta al interesado del artículo 22 RGPD debe interpretarse en sentido amplio. Indicativo de la relevancia de esta interpretación amplia del alcance del artículo 22 RGPD en relación con los riesgos asociados a la expansión de herramientas de IA es que el Tribunal de Justicia destaca que la prohibición y restricciones específicas que establece esa norma pretenden hacer frente a los riesgos específicos que las decisiones automatizadas generan en relación con potenciales efectos discriminatorios en las personas físicas (apdo. 59). En concreto, esa interpretación amplia se considera imprescindible para evitar lagunas jurídicas en situaciones en las que están implicados varios actores, como es habitual, por ejemplo, cuando la herramienta de IA se utiliza por el prestador de un servicio para generar cierta información o valoración y comunicarla a quien posteriormente toma la decisión de contratar o no con el interesado. La nueva sentencia aclara que no solo esa última decisión puede quedar dentro del ámbito de aplicación del artículo 22 RGPD sino también la valoración previa en la que se basa.

viernes, 1 de diciembre de 2023

Novedades en la regulación de los contratos en línea en la Directiva (UE) 2023/2673

 

Como resulta de su denominación, la Directiva (UE) 2023/2673, de 22 de noviembre de 2023, por la que se modifica la Directiva 2011/83/UE en lo relativo a los contratos de servicios financieros celebrados a distancia y se deroga la Directiva 2002/65/CE, con el propósito de simplificar el marco legislativo previo, suprime el instrumento específico en materia de contratos a distancia de servicios financieros con consumidores, optando por integrar su régimen en el instrumento que contiene el marco general sobre contratación a distancia de consumo, es decir, la Directiva 2011/83. El término "servicio financiero" se define en estos dos instrumentos como “todo servicio bancario, de crédito, de seguros, de jubilación personal, de inversión o de pago” (art. 2.b) de la Directiva 2002/65/CE y art. 2.12 de la Directiva 2011/83). Cabe recordar que la Directiva 2002/65/CE fue traspuesta en nuestro ordenamiento mediante la Ley 22/2007 sobre comercialización a distancia de servicios financieros destinados a los consumidores, mientras que el régimen de la Directiva 2011/83 se encuentra recogido básicamente en el Título III del Libro Segundo del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios (TRLGDCU). La transposición de la nueva Directiva debería llevar a la derogación de la Ley 22/2007 y la integración de su régimen junto con las novedades ahora introducidas en el TRLGDCU. Las disposiciones de transposición de la nueva Directiva deben ser adoptadas por los Estados miembros a más tardar el 19 de diciembre de 2025, resultando aplicables a partir del 19 de junio de 2026, fecha también a partir de la que quedará derogada la Directiva 2002/65/CE (arts. 2. y 3 de la nueva Directiva). Más allá del aludido objetivo de racionalización, la Directiva (UE) 2023/2673 lleva a cabo una importante modernización del régimen específico de los contratos a distancia de servicios financieros adaptándolo a la transformación tecnológica y de los modelos de negocio que ha tenido lugar en las dos últimas décadas, de modo que en la actualidad tales contratos se celebran principalmente por vía electrónica. Ese régimen específico se encuentra recogido en el nuevo Capítulo III bis de la Directiva 2011/83/UE modificada (arts. 16 bis a 16 sexies), referido específicamente a esos contratos. Además, como novedad significativa incluso con respecto al texto de la Propuesta inicial de la Comisión -COM(2022) 204 final-, la Directiva (UE) 2023/2673 introduce, mediante la incorporación de un artículo 11 bis a la Directiva 2011/83/UE, nuevas obligaciones para los comerciantes tendentes a facilitar el ejercicio del derecho de desistimiento por los consumidores en los contratos celebrados mediante una interfaz en línea. Estas obligaciones no resultan de aplicación solo a los contratos a distancia de servicios financieros, sino también a todos los contratos a distancia sujetos al derecho de desistimiento con arreglo a la Directiva 2011/83/UE celebrados mediante una interfaz en línea. En consecuencia, en una primera aproximación al nuevo instrumento cabe abordar las siguientes cuestiones: desistimiento en los contratos a distancia celebrados mediante una interfaz en línea (I, infra); aplicación de la Directiva 2011/83/UE a los contratos de servicios financieros (II, infra); y régimen específico de los contratos a distancia de servicios financieros (III, infra).

jueves, 23 de noviembre de 2023

Acceso a datos: concepto de dato personal y requisitos para la licitud de su tratamiento con base en una obligación legal

 

Es un criterio común a las normas de la Unión sobre acceso a datos -las ya existentes y las más importantes que están por llegar- que sus disposiciones, que típicamente abarcan conjuntos de datos entre los que se incluyen datos personales y no personales, se entienden sin perjuicio del Derecho de la Unión en materia de protección de datos personales (vid., v.gr., art. 1.3 de la Propuesta de Reglamento de Datos, COM(2022) 68 final). Por consiguiente, en la medida en que esté implicado el tratamiento de datos personales, los instrumentos en materia de acceso a datos no pueden menoscabar lo dispuesto en el Reglamento (UE) 2016/679 General de Protección de Datos o RGPD (e instrumentos conexos, como la Directiva 2002/58/CE). En el contexto de la recurrente litigación entre fabricantes de vehículos y operadores independientes dedicados a su reparación y mantenimiento en relación con el acceso por éstos a información sobre los vehículos en poder de los fabricantes, la reciente sentencia del TJUE en el asunto Gesamtverband Autoteile-Handel (Accès aux informations sur les véhicules), C-319/22, EU:C:2023:837, confirma su jurisprudencia previa sobre la delimitación del concepto de dato personal, como presupuesto de la eventual aplicación del RGPD en ese tipo de situaciones, e interpreta los requisitos que deben cumplirse para que un tratamiento de datos personales se considere lícito por ser necesario para el cumplimiento de una obligación legal aplicable al responsable, precisamente en relación con obligaciones establecidas en instrumentos que imponen deberes de facilitar el acceso a datos.

viernes, 17 de noviembre de 2023

Cesiones temporales del uso de viviendas: límites de la competencia exclusiva sobre arrendamientos de inmuebles del Reglamento Bruselas Ibis

 

En virtud del artículo 24.1 del Reglamento (UE) 1215/2012 o Reglamento Bruselas Ibis (RBIbis), en materia de contratos de arrendamiento de bienes inmuebles se atribuye competencia exclusiva a los tribunales del Estado miembro donde el inmueble se halle sito, sin perjuicio de la competencia alternativa de los tribunales del domicilio del demandado respecto de ciertos contratos en los que propietario y arrendatario estén domiciliados en el mismo Estado miembro. Por consiguiente, la eventual caracterización de un contrato como de arrendamiento de bien inmueble a estos efectos resulta determinante de que lo dispuesto en el artículo 24.1, que tiene carácter excepcional, desplace al resto de reglas de competencia que pudieran ser aplicables, incluidas las relativas a litigios sobre contratos de consumo (art. 17 a 19 RBIbis), la posibilidad de que las partes elijan el tribunal competente con base en los artículos 25 y 26, y el fuero especial en materia contractual del artículo 7.1. En el contexto de la economía digital, que ha facilitado la expansión de las operaciones transfronterizas relativas a cesiones temporales del uso de viviendas de vacaciones, el tratamiento de este tipo de contratos a los efectos del artículo 24.1 resulta de singular interés. En la sentencia de ayer en el asunto Roompot Service, C-497/22, EU:C:2023:873, el Tribunal de Justicia proporciona precisiones adicionales sobre esta cuestión.

viernes, 10 de noviembre de 2023

El criterio de origen en la Directiva sobre el Comercio Electrónico y su interacción con el Reglamento de Servicios Digitales

 

                La sentencia de ayer del TJUE en el asunto Google Ireland y otros, C-376/22, confirma que, como se desprende del texto literal del artículo 3 de la Directiva 2000/31 sobre el Comercio Electrónico (DCE) y del significado del criterio de origen o mercado interior en ese instrumento, la posibilidad prevista en su apartado 4 de que los Estados miembros tomen medidas “respecto de un determinado servicio de la sociedad de la información” establecido en otro Estado miembro no incluye “medidas generales y abstractas que se refieren a una categoría de determinados servicios de la sociedad de la información descrita genéricamente y que son aplicables indistintamente a cualquier prestador de esa categoría de servicios” (apdo. 60 y fallo de la sentencia). Es decir, la excepción al criterio de origen del artículo 3.4 DCE no ampara la aplicación frente a prestadores de servicios de la sociedad de la información establecidos en otros Estados miembros de normas nacionales que imponen a determinadas categorías de esos prestadores obligaciones para hacer frente a la presencia de contenidos ilícitos en sus servicios, como en el marco del litigio principal pretendían hacer las autoridades austriacas con respecto a las sociedades establecidas en Irlanda Google Ireland, Meta Platforms Ireland y Tik Tok Technology.

lunes, 30 de octubre de 2023

La interacción entre reglamentos de la Unión y convenios internacionales sobre derecho aplicable tras la STJUE en el asunto OP, C-21/22

 

               Es habitual que los instrumentos de la Unión en materia de Derecho internacional privado incorporen una previsión -en coherencia con lo establecido en el art. 351 TFUE y con las exigencias internacionales- de no afectación a la aplicación de los convenios internacionales previos en que sean parte uno o más Estados miembros y uno o más terceros Estados. Aunque con diferencias puntuales, resultan ilustrativos a este respecto los artículos 71 del Reglamento 1215/2012 (RBIbis) (coincidente con el art. 71 de su antecedente el Reglamento 44/2001), 25.1 del Reglamento Roma I sobre la ley aplicable a las obligaciones contractuales, 28.1 del Reglamento Roma II sobre la ley aplicable a las obligaciones no contractuales, 19 del Reglamento Roma III sobre la ley aplicable a la separación y el divorcio, 75.1 del Reglamento 650/2012 sobre sucesiones o 62.1 del Reglamento 2016/1103 sobre regímenes económicos matrimoniales. Entre esas disposiciones, hasta ahora, había sido objeto de especial atención en la jurisprudencia del Tribunal de Justicia el artículo 71 RBIbis y su interacción con el Convenio relativo al Contrato de Transporte Internacional de Mercancías por Carretera (C. M. R.), en particular, en las sentencias de 4 de mayo de 2010, TNT Express Nederland, C-533/08, EU:C:2010:243; 19 de diciembre de 2013, Nipponka Insurance Co. (Europe), C-452/12, EU:C:2013:858; 4 de septiembre de 2014, Nickel & Goeldner Spedition, C-157/13, EU:C:2014:2145) [estando en la actualidad pendiente el asunto Gjensidige, C-90/22, acerca también de la interacción entre esos instrumentos]. Al interpretar el artículo 71 RBIbis, esa jurisprudencia ha puesto de relieve que no puede tener un alcance que pugne con los principios que inspiran la normativa de la que forma parte, en línea con la jurisprudencia según la cual los convenios celebrados por Estados miembros con Estados terceros no pueden invocarse en las relaciones entre los Estados miembros en detrimento de los objetivos del Derecho de la Unión (apdos. 51-52 de la sentencia TNT Express Nederland, apdo. 47 de la sentencia Nipponka Insurance Co. (Europe) y apdo. 41 de la sentencia Nickel & Goeldner Spedition). La reciente sentencia del Tribunal de Justicia en el asunto, OP (Choix du droit d’un État tiers pour la succession), C-21/22, EU:C:2023:766 extiende ese planteamiento a la norma sobre no afectación del artículo 75.1 del Reglamento 650/2012 sobre sucesiones en un supuesto de concurso de normas sobre ley aplicable entre ese Reglamento y un Convenio bilateral entre un Estado miembro y un Estado tercero.

La sentencia ha alcanzado cierta notoriedad en la medida en que constata que el artículo 22 del Reglamento 650/2012 permite que un nacional de un tercer Estado que reside en un Estado miembro de la UE pueda designar como ley aplicable a su sucesión la ley de ese tercer Estado, si bien concluye que un convenio bilateral previo con un tercer Estado que no prevea la posibilidad de elegir la ley aplicable puede prevalecer respecto de esta cuestión sobre el Reglamento. En esta breve reseña, sin embargo, interesa detenerse en que el Tribunal llega a esa última conclusión respetuosa con el criterio de no afectación de los convenios internacionales previos, pese a que matiza ese criterio, al extender con respecto al art. 75.1 del Reglamento 650/2012 y un supuesto relativo a las relaciones entre un Estado miembro y un Estado tercero su jurisprudencia previa relativa al artículo 71 RBIbis. En este marco se suscitan cuestiones de interés desde la perspectiva española (y de otros Estados miembros), en la medida en que en otras materias en las que la ley aplicable ha sido objeto de unificación en el seno de la UE, España es parte de convenios internacionales que la vinculan con terceros Estados e incorporan criterios parcialmente diferentes a los de la normativa de la Unión. Tal es el caso, en particular, de la interacción entre el Reglamento Roma II en materia de ley aplicable a las obligaciones extracontractuales y los Convenios de La Haya sobre ley aplicable a la responsabilidad por productos y los accidentes de circulación por carretera, de los que España es parte.

martes, 17 de octubre de 2023

Contratos transfronterizos de consumo y límites del derecho de desistimiento

 

      La reciente sentencia del Tribunal de Justicia en el asunto Verein für Konsumenteninformation, C-565/22, EU:C:2023:735, va referida a un litigio derivado de la demanda interpuesta por una asociación de consumidores austriaca frente a una sociedad alemana en relación con los contratos de enseñanza en línea que ésta celebra con base en sus condiciones generales con consumidores residentes en Austria (apdos. 2 y 15 de la sentencia). En síntesis, la asociación austriaca pretendía que la empresa alemana respetara que, de acuerdo con la interpretación de la legislación austriaca, el consumidor dispone de un derecho de desistimiento no solo por la suscripción de prueba gratuita de treinta días, sino también por la transformación de esa suscripción en una suscripción estándar de pago y por la prórroga de esta última (apdo. 19). Como reconoce el propio Tribunal Supremo austriaco (Oberster Gerichtshof) -órgano que plantea la cuestión prejudicial-, esa demanda de la Asociación sería coherente con el amplio alcance atribuido al derecho de desistimiento en el marco de la legislación austriaca, que no se limita a la primera celebración de un contrato entre un comerciante y un consumidor, sino que incluye la prórroga de una relación contractual existente (apdo. 24). Ahora bien, la eventual diversidad entre los Estados miembros en relación con el alcance de derecho de desistimiento resultaría incompatible con el nivel de armonización total que establece en este ámbito la Directiva 2011/83/UE sobre los derechos de los consumidores, conforme a su artículo 4 (apdo. 38 de la sentencia). Por consiguiente, tal armonización plena determina que en este ámbito, incluso cuando se trata de contratos transfronterizos de consumo celebrados en el marco de actividades que el comerciante dirige al país de la residencia habitual del consumidor, la eventual existencia en el país en el que el consumidor tiene su residencia habitual de un régimen que otorga mayor protección no pueda resultar relevante en el marco del artículo 6 del Reglamento Roma I, pues no pueden existir diferencias en el nivel de protección entre los Estados miembros. Por lo tanto, lo determinante es el alcance que, con base en la Directiva 2011/83/UE, debe tener el derecho de desistimiento en las legislaciones de transposición de todos los Estados miembros. El Tribunal de Justicia establece que el planteamiento hasta ahora prevalente en la aplicación de la legislación austriaca no es compatible con la Directiva 2011/83/UE, optando por una interpretación comedida del alcance de derecho de desistimiento, respetuosa con su fundamento, con el precedente de la sentencia de 18 de junio de 2020 en el asunto C-639/18, Sparkasse Südholstein, EU:C:2020:477 (reseñada aquí), y con la importancia de alcanzar un adecuado equilibrio entre el nivel de protección de la legislación europea de consumo y otros intereses relevantes (también de los propios consumidores, quienes en último extremo tienen que asumir en el precio de los productos y servicios los costes derivados de esa protección).