A la espera de que el
Tribunal de Justicia se pronuncie sobre la cuestión, tenía pendiente referirme
a los últimos desarrollos en lo relativo a la (in)suficiencia de la base
jurídica del artículo 6.1.b) RGPD -que el tratamiento sea necesario para la
ejecución de un contrato en el que el interesado sea parte- como fundamento para ciertos tratamientos de datos personales de sus usuarios por prestadores de servicios
de redes sociales y de plataformas. Cabe recordar que es una cuestión de la que
ya trataba esta entrada, acerca de la contradicción entre la
posición de la autoridad irlandesa de protección de datos en su proyecto de
decisión relativa a Facebook -favorable a apreciar que esa base jurídica permitía
legitimar el tratamiento de datos de los usuarios de la red social para mostrarles
publicidad comportamental en tanto que condicionante de la prestación del
servicio sin contraprestación económica- y el criterio mantenido al respecto por
el Comité Europeo de Protección de Datos (EDPB o Comité o EDPB). En
concreto, lo establecido en sus Directrices
2/2019 sobre el tratamiento de datos personales en virtud del artículo 6.1.b)
RGPD en el contexto de la prestación de servicios en línea a los interesados.
Cabe recordar que se trata de una diferencia de criterios de gran trascendencia
práctica, en la medida en que la insuficiencia de la base de licitud prevista
en el artículo 6.1.b) RGPD determinaría que el tratamiento por parte de la red
social solo pudiera ser considerado lícito en caso de estar amparado por otra
de las bases jurídicas previstas en el artículo 6.1, lo que podría no ser el
caso en estos supuestos, en la medida en que la red social a la luz de su
práctica tradicional no parece haber obtenido el consentimiento del interesado
en los términos requeridos por el artículo 6.1.a) ni todos esos tratamiento
parecen reunir los requisitos para ser considerados necesarios para la satisfacción
de intereses legítimos del responsable que deban prevalecer a los efectos de la
base jurídica prevista en el artículo 6.1.f). La pendencia de dos
procedimientos prejudiciales en los que el Tribunal de Justicia está llamado a
pronunciarse sobre esta cuestión, en concreto los asuntos Meta Platforms and Others, C-252/21, y Schrems, C-446/21,
no ha sido obstáculo para que el Comité adoptara decisiones vinculantes
conforme a lo previsto en el artículo 65.a) RGPD, como consecuencia de las
objeciones manifestadas por diversas autoridades de control interesadas a los
proyectos de decisión de la autoridad irlandesa, en tanto que autoridad principal
respecto de las actividades de Meta. En concreto, me refiero a las decisiones
vinculantes 3/2022 respecto de Facebook, 4/2022 relativa a Instagram y 5/2022 sobre Whatsapp, que han conducido a la adopción
por la autoridad irlandesas de sus decisiones definitivas que, al tener que
seguir el criterio fijado por el Comité, imponen sanciones (aquí y aquí) mucho más elevadas que las contempladas en
los proyectos de decisiones elaborados inicialmente por la autoridad irlandesa.
Las decisiones
vinculantes confirman y desarrollan el criterio previamente establecido por el
Comité en sus Directrices 2/2019, sustancialmente avalado por el Abogado General
Rantos en sus conclusiones en el asunto pendiente C-252/21. Las
conclusiones parten de la exigencia de interpretación estricta del requisito de
que el tratamiento para ofrecer publicidad comportamental sea “necesario” para
la ejecución del contrato entre la red social y su usuario, considerando, con
base en la jurisprudencia del Tribunal de Justicia, que la base del artículo
6.1.b) requiere que el tratamiento sea “objetivamente necesario para la
ejecución del contrato, en el sentido de que no deben existir otras soluciones
realistas y menos intrusivas, habida cuenta asimismo de las expectativas
razonables del interesado” (apdo. 54, con referencias). En concreto, rechaza que
el que el tratamiento de datos controvertido sea necesario para la personalización
de contenidos que se presentan al usuario resulte suficiente para considerar
que tal tratamiento -que incluye el análisis de datos potencialmente ilimitados
relativos al comportamiento del usuario incluso fuera de la página o aplicación
de la red social- sea necesario para la prestación del servicio de red social,
a los efectos de que el tratamiento sea lícito con base en el artículo 6.1.b)
RGPD (apdo. 56 de las conclusiones).
La posición de la
autoridad irlandesa, favorable a considerar suficiente en estos casos la base
jurídica del artículo 6.1.b) RGPD, al entender que el tratamiento era necesario
para la ejecución del contrato, se basaba en la idea de que un elemento característico
de estos contratos, y esencial desde la perspectiva comercial, es que los servicios
-en concreto, los de Facebook e Instagram- se financian mediante publicidad dirigida
de manera personalizada a sus usuarios, de lo que estos serían conscientes.
Por su parte, el Comité, que incluso pone en
duda la existencia de un contrato válido entre el prestador del servicio de red
social y sus usuarios que es presupuesto para que pueda operar la base del
artículo 6.1.b) (apdo. 110 de la Decisión 3/2022), destaca que el propósito esencial
de los eventuales contratos relativos al uso de Facebook, Instagram y Whatsapp,
a la luz de las condiciones generales relativas a esos servicios, es facilitar
la comunicación de sus usuarios y no recibir publicidad personalizada, apuntando
la existencia de alternativas menos intrusivas y mostrándose muy crítico con la
falta de transparencia de las condiciones generales con respecto a esta
cuestión. En tales circunstancias, las decisiones vinculantes consideran que el
artículo 6.1.b) RGPD no permite que la existencia de un contrato relativo al
uso de la red social ampare el tratamiento de una gran cantidad de datos para
mostrar publicidad personalizada a los usuarios (en el caso de Facebook e
Instragam) o para la mejora del servicio y su seguridad (en el caso de Whatsapp).
El Comité considera que se trata de una
interpretación imprescindible para que los usuarios no queden privados de sus
derechos, entre otros, a retirar su consentimiento con arreglo al artículo 6.1.a)
y 7 RGPD -lo que podrían hacer en caso de que el tratamiento estuviera basado
en su consentimiento- del RGPD y el artículo 7 del RGPD o a oponerse al
tratamiento de sus datos sobre la base del artículo 6.1.f) RGPD (apdo. 129 de
la Decisión 3/2022). Ciertamente, la posición del Comité implica en la práctica
una exigencia de adaptación que normalmente requerirá la obtención del
consentimiento para tales tratamientos de conformidad con lo dispuesto en el
artículo 6.1.a) RGPD como presupuesto de su licitud, salvo en aquellas
circunstancias en las que la existencia de un interés legítimo del prestador
del servicio pueda prevalecer conforme al artículo 6.1.f) RGPD o el contrato en
cuestión se presente como un contrato cuyo objeto fundamental es mostrar a sus
usuarios contenidos personalizados, con plena transparencia acerca de que tales
usuarios celebran un contrato y de los detalles del tratamiento de datos que
implica.
