Aunque concluya con la propuesta
de una significativa sanción –entre 28 y 36 millones de euros- a Facebook por
incumplir básicamente obligaciones en materia de transparencia y una orden de
modificación de su Política de Protección de Datos y sus Condiciones de
Servicio para adaptarlas a esas obligaciones, cabe considerar que el aspecto
más relevante del Proyecto de Decisión
en el marco del mecanismo de cooperación del artículo 60 RGPD de la autoridad
irlandesa de protección de datos (Data
Protection Commission) fechado el pasado día 6 de octubre, en el asunto LB (through NOYB) v Facebook Ireland Limited, es la interpretación que lleva a cabo acerca de la suficiencia del artículo
6.1.b) RGPD como base jurídica para el tratamiento de datos personales por
parte de Facebook con respecto a los usuarios de la red social. Se trata de un
planteamiento de gran trascendencia con respecto a los llamados contratos que
implican ofrecimiento de contenidos o servicios –en este caso de red social- a
cambio de datos personales de los usuarios y no de una contrapartida económica.
Es sabido que el artículo 6.1 RGPD contiene una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito. De esas bases jurídicas interesa ahora referirse a dos. La primera base jurídica consiste en que el interesado dé su consentimiento –en los términos que establece el propio RGPD- para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a). La segunda va referida a que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales (art. 6.1.b).
En la medida en que la autoridad irlandesa constata que Facebook parte de que no ha obtenido el consentimiento a esos efectos de los usuarios de la red social y no invoca el artículo 6.1.a) RGPD como base legal para el tratamiento de sus datos personales, resulta determinante apreciar si el mismo puede fundarse en el artículo 6.1.b). Ahora bien, a partir en buena medida del contenido –no vinculante- de las Directrices 2/2019 del Comité Europeo de Protección de Datos (EDPB) relativas a la aplicación del artículo 6(1)(b) RGPD («Directrices 2/2019 sobre el tratamiento de datos personales en virtud del artículo 6, apartado 1, letra b), del RGPD en el contexto de la prestación de servicios en línea a los interesados», versión 2.0, 8 de octubre de 2019), se ha venido cuestionando que esa base legal pueda amparar el tratamiento en tales situaciones.
Con carácter cumulativo a la existencia y validez de un contrato en el que el interesado sea parte -a decidir conforme al Derecho contractual (nacional) aplicable-, el primer inciso del artículo 6(1)(b) requiere que el tratamiento sea «necesario» para la ejecución del contrato. El término «necesario» a estos efectos debe ser objeto de una interpretación autónoma a la luz del fundamento y objetivos de la legislación sobre datos personales, habiendo destacado el Comité en las Directrices que debe imponerse una interpretación restrictiva, de modo que no basta con que el tratamiento resulte útil para la ejecución del contrato y es preciso que no existan alternativas reales menos invasivas (apdos. 23-29 de las Directrices 2/2019). Cuando la prestación de un servicio en el marco de un contrato se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato no cabe recurrir al artículo 6(1)(b) RGPD sino que típicamente será necesario haber obtenido el consentimiento del interesado para su tratamiento, conforme al artículo 6(1)(a) y 7 RGPD. El que la actividad de tratamiento aparezca mencionada en el contrato no se considera determinante al apreciar su necesidad para la ejecución del mismo. Corresponde al responsable acreditar que a la luz de los objetivos del concreto contrato la ejecución del mismo no puede tener lugar sin el tratamiento de los datos personales en cuestión. El fundamento, el objeto y los elementos esenciales del contrato son, junto con las expectativas de las partes a la luz de su contenido, circunstancias relevantes a esos efectos, que deben apreciarse antes de llevar a cabo el tratamiento (apdos. 30-35 de las Directrices 2/2019).
Además,
entre los ejemplos incluidos en las mencionadas Directrices 2/2019 que podrían resultar
especialmente relevantes en relación con los servicios de red social, cabe
reseñar el que en ellas se considera paradigma de situación que no quedaría
comprendida en el artículo 6.1.b) RGPD, la del tratamiento de datos con fines
de facilitar publicidad comportamental en línea, incluso si dicha publicidad
resulta determinante para financiar la prestación del servicio objeto del
contrato con el interesado (apdos. 51-56 de las Directrices). En la medida en
que el tratamiento de los datos personales con esa finalidad publicitaria no se
considere necesaria para la ejecución del contrato, del criterio del Comité
resulta que su tratamiento únicamente será lícito si se ampara en otra base
jurídica, como la obtención del consentimiento del afectado conforme al
artículo 6(1)(a) RGPD. Con respecto al tratamiento de
datos para la personalización de los servicios prestados al interesado a través
del contrato en cuestión, las Directrices 2/2019 admiten que pueda subsumirse
en el artículo 6(1)(b), pero únicamente en la medida en que la personalización
del servicio sea objetivamente necesaria a la luz de la función del contrato de
que se trate, pero no si tiene lugar simplemente a los efectos de realizar
sugerencias o recomendaciones de contenido al interesado de cara a incrementar
su interacción con el servicio (apdo. 57 de las Directrices 2/2019).
El Proyecto de Decisión reseñado de la
autoridad irlandesa opta por un criterio más flexible con respecto al alcance
del artículo 6(1)(b) del RGPD como base legitimadora del tratamiento de datos personales
a cambio de la prestación de servicios de red social. El resultado al que conduce su planteamiento aparece
sintetizado en su apartado 4.53, en el que cabe leer:
“While
I accept that, as a general rule, the EDPB considers that processing for online
behavioural advertising would not be necessary for the performance of a
contract for online services, in this particular case, having regard to the
specific terms of the contract and the nature of the service provided and
agreed upon by the parties, I conclude that Facebook may in principle rely on
Article 6(1)(b) as a legal basis of the processing of users’ data necessary for
the provision of its service, including through the provision of behavioural
advertising insofar as this forms a core part of that service offered to and
accepted by users.”
En todo caso,
más allá de la eventual formulación de objeciones frente a ese Proyecto de
Decisión en el marco del mecanismo de cooperación del artículo 60 RGPD y el
eventual recurso al mecanismo de coherencia del artículo 63 en relación con
este asunto, resulta de interés reseñar en relación con la futura fijación de criterios interpretativos sólidos en este ámbito que la primera de las cuestiones
contenidas en la petición de decisión prejudicial planteada por el Oberster
Gerichtshof (Austria) el pasado 20 de julio al Tribunal de Justicia
en el asunto Maximilian Schrems / Facebook Ireland Ltd, C-446/21, es precisamente:
“¿Deben interpretarse las disposiciones del
artículo 6, apartado 1, letras a) y b), del Reglamento General de Protección de
Datos (en lo sucesivo, «RGPD») en el sentido de que la licitud de las
disposiciones contractuales incluidas en las condiciones generales de uso
relativas a contratos de plataformas como el controvertido en el litigio
principal (en particular, disposiciones contractuales como: «En lugar de pagar
por usar Facebook […], al usar los Productos de Facebook que se incluyen en
estas Condiciones, aceptas que podamos mostrarte anuncios […]. Usamos tus datos
personales […] para mostrarte aquella publicidad que pueda resultarte más
relevante.»), contratos que incluyen el tratamiento de datos personales para la
agregación y el análisis de datos con fines de publicidad personalizada, debe
evaluarse a la luz de los requisitos del artículo 6, apartado 1, letra a), en
relación con el artículo 7 del RGPD, que no pueden ser sustituidos por la
invocación del artículo 6, apartado 1, letra b), del RGPD?”
