jueves, 21 de octubre de 2021

Servicios de red social a cambio de datos personales: base jurídica del tratamiento

 

           Aunque concluya con la propuesta de una significativa sanción –entre 28 y 36 millones de euros- a Facebook por incumplir básicamente obligaciones en materia de transparencia y una orden de modificación de su Política de Protección de Datos y sus Condiciones de Servicio para adaptarlas a esas obligaciones, cabe considerar que el aspecto más relevante del Proyecto de Decisión en el marco del mecanismo de cooperación del artículo 60 RGPD de la autoridad irlandesa de protección de datos (Data Protection Commission) fechado el pasado día 6 de octubre, en el asunto LB (through NOYB) v Facebook Ireland Limited, es la interpretación que lleva a cabo acerca de la suficiencia del artículo 6.1.b) RGPD como base jurídica para el tratamiento de datos personales por parte de Facebook con respecto a los usuarios de la red social. Se trata de un planteamiento de gran trascendencia con respecto a los llamados contratos que implican ofrecimiento de contenidos o servicios –en este caso de red social- a cambio de datos personales de los usuarios y no de una contrapartida económica.


               Es sabido que el artículo 6.1 RGPD contiene una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito. De esas bases jurídicas interesa ahora referirse a dos. La primera base jurídica consiste en que el interesado dé su consentimiento –en los términos que establece el propio RGPD- para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a). La segunda va referida a que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales (art. 6.1.b). 

        En la medida en que la autoridad irlandesa constata que Facebook parte de que no ha obtenido el consentimiento a esos efectos de los usuarios de la red social y no invoca el artículo 6.1.a) RGPD como base legal para el tratamiento de sus datos personales, resulta determinante apreciar si el mismo puede fundarse en el artículo 6.1.b). Ahora bien, a partir en buena medida del contenido –no vinculante- de las Directrices 2/2019 del Comité Europeo de Protección de Datos (EDPB) relativas a la aplicación del artículo 6(1)(b) RGPD («Directrices 2/2019 sobre el tratamiento de datos personales en virtud del artículo 6, apartado 1, letra b), del RGPD en el contexto de la prestación de servicios en línea a los interesados», versión 2.0, 8 de octubre de 2019), se ha venido cuestionando que esa base legal pueda amparar el tratamiento en tales situaciones. 

           Con carácter cumulativo a la existencia y validez de un contrato en el que el interesado sea parte -a decidir conforme al Derecho contractual (nacional) aplicable-, el primer inciso del artículo 6(1)(b) requiere que el tratamiento sea «necesario» para la ejecución del contrato. El término «necesario» a estos efectos debe ser objeto de una interpretación autónoma a la luz del fundamento y objetivos de la legislación sobre datos personales, habiendo destacado el Comité en las Directrices que debe imponerse una interpretación restrictiva, de modo que no basta con que el tratamiento resulte útil para la ejecución del contrato y es preciso que no existan alternativas reales menos invasivas (apdos. 23-29 de las Directrices 2/2019). Cuando la prestación de un servicio en el marco de un contrato se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato no cabe recurrir al artículo 6(1)(b) RGPD sino que típicamente será necesario haber obtenido el consentimiento del interesado para su tratamiento, conforme al artículo 6(1)(a) y 7 RGPD. El que la actividad de tratamiento aparezca mencionada en el contrato no se considera determinante al apreciar su necesidad para la ejecución del mismo. Corresponde al responsable acreditar que a la luz de los objetivos del concreto contrato la ejecución del mismo no puede tener lugar sin el tratamiento de los datos personales en cuestión. El fundamento, el objeto y los elementos esenciales del contrato son, junto con las expectativas de las partes a la luz de su contenido, circunstancias relevantes a esos efectos, que deben apreciarse antes de llevar a cabo el tratamiento (apdos. 30-35 de las Directrices 2/2019).

Además, entre los ejemplos incluidos en las mencionadas Directrices 2/2019 que podrían resultar especialmente relevantes en relación con los servicios de red social, cabe reseñar el que en ellas se considera paradigma de situación que no quedaría comprendida en el artículo 6.1.b) RGPD, la del tratamiento de datos con fines de facilitar publicidad comportamental en línea, incluso si dicha publicidad resulta determinante para financiar la prestación del servicio objeto del contrato con el interesado (apdos. 51-56 de las Directrices). En la medida en que el tratamiento de los datos personales con esa finalidad publicitaria no se considere necesaria para la ejecución del contrato, del criterio del Comité resulta que su tratamiento únicamente será lícito si se ampara en otra base jurídica, como la obtención del consentimiento del afectado conforme al artículo 6(1)(a) RGPD. Con respecto al tratamiento de datos para la personalización de los servicios prestados al interesado a través del contrato en cuestión, las Directrices 2/2019 admiten que pueda subsumirse en el artículo 6(1)(b), pero únicamente en la medida en que la personalización del servicio sea objetivamente necesaria a la luz de la función del contrato de que se trate, pero no si tiene lugar simplemente a los efectos de realizar sugerencias o recomendaciones de contenido al interesado de cara a incrementar su interacción con el servicio (apdo. 57 de las Directrices 2/2019).

El Proyecto de Decisión reseñado de la autoridad irlandesa opta por un criterio más flexible con respecto al alcance del artículo 6(1)(b) del RGPD como base legitimadora del tratamiento de datos personales a cambio de la prestación de servicios de red social. El resultado al que conduce su planteamiento aparece sintetizado en su apartado 4.53, en el que cabe leer:

While I accept that, as a general rule, the EDPB considers that processing for online behavioural advertising would not be necessary for the performance of a contract for online services, in this particular case, having regard to the specific terms of the contract and the nature of the service provided and agreed upon by the parties, I conclude that Facebook may in principle rely on Article 6(1)(b) as a legal basis of the processing of users’ data necessary for the provision of its service, including through the provision of behavioural advertising insofar as this forms a core part of that service offered to and accepted by users.

En todo caso, más allá de la eventual formulación de objeciones frente a ese Proyecto de Decisión en el marco del mecanismo de cooperación del artículo 60 RGPD y el eventual recurso al mecanismo de coherencia del artículo 63 en relación con este asunto, resulta de interés reseñar en relación con la futura fijación de criterios interpretativos sólidos en este ámbito que la primera de las cuestiones contenidas en la petición de decisión prejudicial planteada por el Oberster Gerichtshof (Austria) el pasado 20 de julio al Tribunal de Justicia en el asunto Maximilian Schrems / Facebook Ireland Ltd,  C-446/21, es precisamente:

¿Deben interpretarse las disposiciones del artículo 6, apartado 1, letras a) y b), del Reglamento General de Protección de Datos (en lo sucesivo, «RGPD») en el sentido de que la licitud de las disposiciones contractuales incluidas en las condiciones generales de uso relativas a contratos de plataformas como el controvertido en el litigio principal (en particular, disposiciones contractuales como: «En lugar de pagar por usar Facebook […], al usar los Productos de Facebook que se incluyen en estas Condiciones, aceptas que podamos mostrarte anuncios […]. Usamos tus datos personales […] para mostrarte aquella publicidad que pueda resultarte más relevante.»), contratos que incluyen el tratamiento de datos personales para la agregación y el análisis de datos con fines de publicidad personalizada, debe evaluarse a la luz de los requisitos del artículo 6, apartado 1, letra a), en relación con el artículo 7 del RGPD, que no pueden ser sustituidos por la invocación del artículo 6, apartado 1, letra b), del RGPD?