Las redes sociales constituyen el paradigma de servicios digitales que se ofrecen como gratuitos a sus usuarios privados porque su prestación se financia mediante la publicidad que se les muestra. Se trata de publicidad adaptada al perfil de cada usuario, precisamente para facilitar su eficacia y rentabilidad. La elaboración de tales perfiles presupone el tratamiento por parte del prestador del servicio de red social de un amplio conjunto de datos personales tendentes a conocer las pautas de comportamiento y preferencias de cada usuario, para explotar esa información personal, en particular, al comercializar la publicidad que se le muestra. La sentencia del Tribunal de Justicia del pasado martes en el asunto Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2023:537, supone un hito fundamental en la interpretación de las restricciones que el RGPD impone a esos modelos de negocio tan importantes en la economía digital, al tiempo que contribuye a poner de relieve cómo hasta ahora se han venido prestado con frecuencia en condiciones que menoscaban el estándar de protección del derecho fundamental de protección de datos personales que sobre el papel existe en la Unión Europea.
De manera coherente con los fundamentos del RGPD, el Tribunal de Justicia desarrolla su posición valorando los especiales riesgos inherentes al gran volumen de datos personales que trata una red social como Facebook y a la amplitud con la que ese tratamiento tiene lugar. Para apreciar estos condicionantes, cabe poner de relieve que el litigio principal va referido al tratamiento por Meta Platforms Ireland, en tanto que prestadora del servicio de red social Facebook, no solo de los datos que sus usuarios proporcionan directamente al registrarse en la red social o en otros servicios del grupo Meta o al efectuar pedidos en línea sino también de otros datos de los usuarios y los aparatos que emplean en relación con sus actividades dentro y fuera de la red social. En concreto, los datos relativos a las actividades del usuario fuera de la red social tratados incluyen los relativos a la consulta de páginas de Internet y de aplicaciones de terceros, conectadas a Facebook a través de interfaces de programación, así como los datos relativos a su utilización de otros servicios del grupo Meta, como WhatsApp o Instagram. Los datos procedentes de la consulta de sitios y aplicaciones de terceros se recopilan por la red social mediante interfaces integradas, cookies o tecnologías de almacenamiento similares y se ponen en relación con la cuenta de la red social del usuario. El tratamiento de todos esos datos de cada usuario se basa en el contrato de servicio al que se adhiere al registrarse, cuando acepta las condiciones generales de utilización de la red social Facebook (apdos. 27 y 28 de la sentencia).
La exposición de las importantes aportaciones de esta sentencia justifica abordar las siguientes cuestiones: Amplitud de los datos tratados e inclusión de datos sensibles (I); Insuficiencia de la ejecución del contrato de prestación del servicio de red social como fundamento de la licitud del tratamiento (II, infra); Inadecuación de otras pretendidas bases de licitud del tratamiento (III, infra); Requisitos y límites del consentimiento del afectado como fundamento del tratamiento (IV, infra); Precisiones sobre la aplicación del RGPD y la coordinación entre las autoridades de control y las de defensa de la competencia (V, infra). Concluiré con unas reflexiones finales (VI, infra).
I. Amplitud de los datos personales tratados por la red social e
inclusión de datos sensibles
Determinadas
categorías de datos personales se consideran merecedoras de una protección
especial, en la medida en que por la naturaleza de los mismos su tratamiento
puede entrañar especiales riesgos para los derechos y libertades fundamentales,
de modo que su tratamiento queda en principio prohibido y solo es posible en
situaciones específicas previstas en el RGPD. En concreto, al referirse a las
categorías especiales de datos personales, el artículo 9 RGPD, prohíbe el
tratamiento de datos «que revelen el origen étnico o racial, las opiniones
políticas, las convicciones religiosas o filosóficas, o la afiliación sindical,
y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar
de manera unívoca a una persona física, datos relativos a la salud o datos
relativos a la vida sexual o la orientación sexual de una persona física».
Entre las excepciones a la prohibición general de tratamiento de esas
categorías especiales de datos, se encuentra el que el interesado dé su
consentimiento explícito, así como que el tratamiento se refiera a datos
personales que el interesado ha hecho manifiestamente públicos.
En lo relativo al
tratamiento de datos personales por parte de la red social, especialmente en
relación con los datos relativos a la consulta por el usuario de páginas de
Internet y de aplicaciones, un primer aspecto acerca del que la que la
sentencia resulta de interés es la determinación de en qué medida esa actividad
de tratamiento de datos personales de sus usuarios afecta a datos sensibles o «categorías especiales de datos personales», objeto de especial protección conforme al artículo 9 RGPD. El Tribunal
de Justicia establece que lo determinante a estos efectos es si el tratamiento
que el operador de la red social lleva a cabo permite revelar información
comprendida en alguna de las categorías contempladas en el artículo 9 RGPD, con
independencia de si la información es exacta y de si el tratamiento del
responsable tiene la finalidad de obtener ese tipo de información (apdos.
68-69). Si bien la valoración final en el caso concreto corresponde al tribunal
nacional, el Tribunal de Justicia afirma que si los datos recogidos por el
responsable -incluidos los relativos a las páginas que el usuario visita- por
sí solos o mediante su puesta en relación con las cuentas de los usuarios
afectados en la red social, permiten revelar información de cualquiera de esas
categorías, tanto de un usuario como de cualquier persona física, resultará de
aplicación lo dispuesto en el artículo 9. Dando un paso más, que resulta muy
relevante para guiar la aplicación futura de esta norma por los tribunales y
autoridades de control nacionales, el Tribunal afirma que: “parece que el
tratamiento de los datos relativos a la consulta de los sitios de Internet o de
las aplicaciones en cuestión puede, en determinados casos, revelar tal
información, sin que sea necesario que dichos usuarios introduzcan en ellos
información registrándose o efectuando pedidos en línea” (apdo. 72).
A la luz de esa
constatación, para determinar la licitud del tratamiento de datos personales
que lleva a cabo el operador de la red social en las situaciones en las que se
incluye algún dato sensible -o perteneciente a alguna de las categorías
especiales de datos comprendidos en el art. 9 RGPD-, resulta clave valorar el
alcance de las excepciones previstas en su apartado 2. En el contexto de las
redes sociales, en la medida en que éstas no puedan acreditar que “el
interesado dio su consentimiento explícito para el tratamiento de dichos datos
personales con uno o más de los fines especificados” (art. 9.2.a RGP), reviste
especial interés concretar en qué situaciones cabe entender que el interesado, con
base en su actividad relativa a la red social, ha hecho manifiestamente
públicos los datos personales en cuestión, lo que resultará determinante de que
no opere respecto de ellos la prohibición de tratamiento (art. 9.2.e RGPD).
El Tribunal de
Justicia aporta una serie de pautas para abordar esa cuestión, a partir del
criterio general de que esa excepción solo opera en la medida en que se
constate que el interesado “ha pretendido, de manera explícita y mediante un
acto positivo claro, hacer accesibles al público en general los datos
personales en cuestión” (apdo. 77). Una primera apreciación es que la mera
consulta por parte del usuario de sitios de Internet o de aplicaciones que
pueda resultar indicativa de esa información no permite concluir que haya hecho
manifiestamente públicos esos datos, de modo que no basta para que pueda operar
la excepción para legitimar el tratamiento de tales datos.
Por el contrario, el desarrollo de otro tipo
de actividades por el usuario, en las que interactúa con la red social o con
sitios de Internet o aplicaciones de terceros -como la activación de botones de
selección como “me gusta” o “compartir”-, puede requerir un análisis casuístico,
en el que el tipo de publicación que lleva a cabo de los datos y la
configuración de la red social condicionan decisivamente el resultado alcanzado.
Efectivamente, la propia configuración de la red social es un elemento
determinante, de modo que si su configuración no satisface ciertos estándares
en la práctica le resultará al operador de la red social imposible acreditar
que el interesado ha hecho manifiestamente públicos los datos a esos efectos,
incluso aunque mediante su interacción a través de la red social los haya
difundido entre un público potencialmente muy amplio.
Ciertamente, cuando con su actividad el
usuario difunde ciertos datos (como sus preferencias, por ejemplo, mediante
botones como “me gusta”) entre el público en general, en principio, puede haberlos
hecho manifiestamente públicos; ahora bien, el Tribunal considera que eso solo
debe ser así cuando la configuración de la red social permite a los usuarios
decidir que los datos introducidos en los sitios de Internet o en las
aplicaciones en cuestión, incluidos los relativos a la activación de los
botones de selección, resulten accesibles al público en general o, por el
contrario, a un número más o menos limitado de personas seleccionadas. Solo
cuando el operador de la red social ofrece al usuario una configuración
individual, mediante la que puede expresar claramente con pleno conocimiento de
causa su decisión de que tales datos resulten accesibles a un número ilimitado
de personas, cabrá considerar que el usuario en cuestión ha hecho manifiestamente
públicos esos datos que le conciernen, a los efectos del artículo 9.2.e) RGPD (apdos.
82-83).
Desde la perspectiva práctica, cabe poner de
relieve que en la medida en que no se cumplan esas exigencias, el resultado
será normalmente que el tratamiento de datos de esas categorías por parte del
operador de la red social solo será posible, conforme a lo dispuesto en el
artículo 9 RGPD, en el caso de que el interesado haya dado su consentimiento
explícito para el tratamiento de dichos datos personales con uno o más de los
fines especificados, pues no será frecuente que concurra ninguna de las otras
excepciones previstas en el artículo 9.2 RGPD.
II. Insuficiencia de la ejecución del contrato de prestación del
servicio de red social como fundamento de la licitud del tratamiento
El artículo 6.1 RGPD contiene una lista
exhaustiva y taxativa de los casos en los que un tratamiento de datos
personales puede considerarse lícito. En relación con el tratamiento de los
datos de sus usuarios que lleva a cabo el operador de la red social, reviste
especial importancia la interpretación de la base de licitud establecida en el
artículo 6.1.b), que considera lícito “el tratamiento necesario para la
ejecución de un contrato en el que el interesado es parte o para la aplicación
a petición de este de medidas precontractuales.”
Con carácter cumulativo a la existencia y
validez de un contrato en el que el interesado sea parte -a decidir conforme al
Derecho contractual (nacional) aplicable-, el primer inciso del artículo
6(1)(b) RGPD requiere que el tratamiento sea «necesario» para la ejecución del
contrato. Una interpretación que no permita a la red social ampararse en este
fundamento implica que su tratamiento de los datos personales solo será lícito
si puede acreditar que el interesado ha dado su consentimiento –en los términos
que establece el propio RGPD- para el tratamiento de sus datos personales para
uno o varios fines específicos (art. 6.1.a) o que en el caso concreto concurre
alguna de los otros fundamentos de licitud establecidos en el artículo 6.1.
En los últimos años
se ha desarrollado una significativa controversia acerca de la interpretación
de la base de licitud prevista en el artículo 6.1.b) respecto de los servicios
digitales ofrecidos a los usuarios sin una contraprestación económica. Cabe
recordar que se trata de una cuestión respecto de la que la autoridad irlandesa
de protección de datos pretendió realizar una interpretación en relación con
las actividades de Facebook menos estricta que la propuesta por el Comité
Europeo de Protección de Datos (también conocido como EDPB). La nueva sentencia
viene a avalar la interpretación estricta del EDPB.
Cabe recordar que ya
en sus «Directrices 2/2019 sobre el tratamiento de datos personales en virtud
del artículo 6, apartado 1, letra b), del RGPD en el contexto de la prestación
de servicios en línea a los interesados» (versión 2.0, 8 de octubre de 2019),
el CEPD puso de relieve que el término «necesario» empleado en el artículo
6.1.b) debe ser objeto de una interpretación autónoma a la luz del fundamento y
objetivos de la legislación sobre datos personales, destacando que debe
imponerse una interpretación restrictiva, de modo que no basta con que el
tratamiento resulte útil para la ejecución del contrato y es preciso que no
existan alternativas reales menos invasivas (apdos. 23-29 de las Directrices
2/2019). Consideró también el EDPB que cuando la prestación de un servicio en
el marco de un contrato se supedita al consentimiento al tratamiento de datos
personales que no son necesarios para la ejecución de dicho contrato no cabe
recurrir al artículo 6(1)(b) RGPD sino que típicamente será necesario haber
obtenido el consentimiento del interesado para su tratamiento, conforme al
artículo 6(1)(a) y 7 RGPD. El que la actividad de tratamiento aparezca
mencionada en el contrato no se considera determinante al apreciar su necesidad
para la ejecución del mismo, sino que corresponde al responsable acreditar que
a la luz de los objetivos del concreto contrato su ejecución no puede tener
lugar sin el tratamiento de los datos personales en cuestión. El fundamento, el
objeto y los elementos esenciales del contrato son, junto con las expectativas
de las partes a la luz de su contenido, circunstancias relevantes a esos
efectos, que deben apreciarse antes de llevar a cabo el tratamiento (apdos.
30-35 de las Directrices 2/2019).
Además, entre los
ejemplos incluidos en las mencionadas Directrices 2/2019 especialmente
relevantes en relación con los servicios de red social figura como paradigma de
situación que no queda comprendida en el artículo 6.1.b) RGPD, la referencia al
tratamiento de datos personales con fines de facilitar publicidad
comportamental en línea, incluso si dicha publicidad resulta determinante para
financiar la prestación del servicio objeto del contrato con el interesado
(apdos. 51-56 de las Directrices). En la medida en que el tratamiento de los
datos personales con esa finalidad publicitaria no se consideraba necesaria
para la ejecución del contrato, del criterio del Comité resultaba que su
tratamiento únicamente será lícito si se ampara en otra base jurídica, como la
obtención del consentimiento del afectado conforme al artículo 6.1.a) RGPD. Con
respecto al tratamiento de datos para la personalización de los servicios
prestados al interesado a través del contrato en cuestión, las Directrices
2/2019 admiten que pueda subsumirse en el artículo 6.1.b), pero únicamente en
la medida en que la personalización del servicio sea objetivamente necesaria a
la luz de la función del contrato de que se trate, pero no si tiene lugar
simplemente a los efectos de realizar sugerencias o recomendaciones de
contenido al interesado de cara a incrementar su interacción con el servicio
(apdo. 57 de las Directrices 2/2019).
La nueva sentencia
avala ese planteamiento del EDPB, frente al criterio mantenido inicialmente por
la autoridad irlandesa, que había considerado que en el caso de la red social
Facebook, habida cuenta de los términos específicos del contrato y de la
naturaleza del servicio prestado y acordado por las partes, el operador de la
red social sí podía invocar el artículo 6.1.b) RGPD, como base jurídica del
tratamiento de los datos de los usuarios al ser necesario para la prestación de
su servicio, en la medida en que consideraba que la publicidad basada en el
comportamiento del usuario constituía una parte esencial de dicho servicio
ofrecido a los usuarios sin contraprestación económica y aceptado por éstos.
El planteamiento
restrictivo del Tribunal de Justicia en la sentencia Meta Platforms se
funda en que el empleo del término “necesario para la ejecución de un contrato”
en el artículo 6.1.b) RGPD supone que el tratamiento de datos en cuestión “debe
ser objetivamente indispensable para conseguir un fin que forme parte
integrante de la prestación contractual destinada al interesado”, lo que
implica que el responsable debe poder demostrar “por qué el objeto principal
del contrato no podría alcanzarse sin el tratamiento en cuestión” (apdo. 98).
El tratamiento de datos debe ser “esencial para permitir la correcta ejecución
del contrato” celebrado entre el responsable y el interesado, sin que “existan
otras soluciones practicables y menos intrusivas” (apdo. 99). Además, cuando el
contrato va referido a la prestación de varios servicios o de elementos
separados de un servicio, esa circunstancia debe evaluarse en el contexto de
cada uno de esos servicios por separado (apdo. 100).
Seguidamente,
desmonta el Tribunal de Justicia las justificaciones alegadas para sostener que
el tratamiento de datos personales que lleva a cabo el operador de la red
social resulta necesario para la ejecución del contrato con los usuarios de
Facebook. A estos efectos, el Tribunal se limita a considerar como
justificaciones, de una parte, la personalización de los contenidos y, de otra,
el uso homogéneo y fluido de los servicios propios del grupo Meta. Pese a que
resulta determinante del ofrecimiento sin contraprestación económica del
servicio de red social, lo relativo a la necesidad del tratamiento como
presupuesto del ofrecimiento de publicidad comportamental es objeto de análisis
en relación con la base de licitud del tratamiento relativa a la satisfacción
de intereses legítimos del responsable -art. 6.1.f) RGPD-, como se analizará
más adelante.
Con respecto a la
insuficiencia de la justificación basada en la personalización de los
contenidos, a los efectos del artículo 6.1.b) RGPD, el Tribunal de Justicia
concluye que si bien esa personalización puede ser útil para el usuario, al que
se facilita el acceso a contenido que responde a sus intereses, no es un
elemento que resulte necesario para ofrecer al usuario los servicios de la red
social en línea. La personalización no se considera objetivamente indispensable
para una finalidad que forme parte integrante de los servicios de red social
(apdo. 102). Por otra parte, la insuficiencia de la justificación basada en “la
utilización homogénea y fluida de los servicios propios del grupo Meta” se
vincula con la posibilidad de suscribir por separado esos diferentes servicios (apdo.
103).
III. Insuficiencia de la satisfacción de intereses legítimos del operador
de la red social como base de
licitud del tratamiento
El artículo 6.1.f) RGPD considera lícito el
tratamiento si es necesario para la satisfacción de intereses legítimos
perseguidos por el responsable o por un tercero, pero esta base legal aparece subordinada a una ponderación entre los
intereses legítimos del responsable o de un tercero, de una parte, y los
intereses y derechos fundamentales del interesado. Esta base solo determina la
licitud del tratamiento cuando los intereses o los derechos y libertades
fundamentales del interesado no prevalezcan en el caso concreto sobre los
intereses legítimos del responsable para cuya satisfacción el tratamiento
resulta necesario. A estos efectos, en la ponderación debe prestarse especial
atención a la protección de los intereses y los derechos de los niños, así como
a que el tratamiento no tenga lugar en circunstancias en las que el interesado
no espera razonablemente que se realice el tratamiento (apdos. 111-112).
Además, el Tribunal de Justicia destaca que el requisito relativo a que el
tratamiento sea “necesario” para la satisfacción de esos intereses legítimos
debe vincularse con el principio de minimización de datos (apdo. 109), lo que resulta
muy significativo, habida cuenta del gran volumen de datos tratados por el
operador de la red social.
Como posibles “intereses legítimos” del
operador de la red social que podrían fundar su tratamiento si concurrieran los
requisitos del artículo 6.1.f) RGPD, se analizan en la sentencia la
personalización de la publicidad, la seguridad de la red, la mejora del
producto y la información a las autoridades competentes para el ejercicio de
acciones penales.
En la medida en que
el Tribunal lo vincula con la gratuidad del servicio de red social prestado por
Facebook, el rechazo de la personalización de la publicidad como posible
justificación del tratamiento de datos personales por la red social a los
efectos del artículo 6.1.f) RGPD resulta de especial importancia. Pese a que el
tratamiento de datos personales con fines de mercadotecnia directa pueda
constituir un interés legítimo del responsable a los efectos de esa norma, el
Tribunal de Justicia rechaza que ese sea el caso cuando la ponderación se
proyecta sobre el tratamiento de datos personales que la red social lleva a
cabo para personalizar la publicidad a cambio de ofrecer los servicios de
manera gratuita. Elementos muy relevantes para apreciar que ese interés del
responsable no puede prevalecer sobre los derechos e intereses del afectado son
el alcance del tratamiento y su impacto sobre el interesado –destacando el
Tribunal el alcance particularmente amplio del tratamiento controvertido que se
proyecta sobre datos potencialmente ilimitados (apdo. 118)-, así como las
expectativas razonables de este último. En concreto, el Tribunal afirma que
“pese a la gratuidad de los servicios de una red social en línea como Facebook,
el usuario de esta no debería esperar razonablemente que, sin su consentimiento,
el operador de esa red social trate los datos personales de ese usuario con
fines de personalización de la publicidad”, lo que lleva a excluir que el
interés del prestador de servicio en la personalización de la publicidad para
financiar su actividad pueda prevalecer a los efectos de que el artículo 6.1.f)
RGPD proporciona una base para la licitud de ese tratamiento (apdo. 117).
Tampoco se muestra
el Tribunal proclive a que otros intereses legítimos del responsable del
tratamiento puedan prevalecer a los efectos de justificar el tratamiento de
datos controvertido en el marco del artículo 6.1.f) RGPD. El objetivo de
garantizar la seguridad de la red solo podría serlo si el tratamiento de datos
personales recogidos a partir de fuentes externas a la red social resulta
efectivamente necesario para garantizar que no se pone en riesgo su seguridad
interna, cuando además ese objetivo no puede alcanzarse razonablemente de
manera tan eficaz por otros medios menos atentatorios de los derechos al
respeto de la vida privada y de protección de los datos personales de los
interesados y si se respeta el principio de «minimización de datos» del
artículo 5.1.c) RGPD (apdos. 120-121).
Con respecto al objetivo de mejora del
producto como interés legítimo del responsable, el Tribunal destaca que, habida
cuenta del alcance del tratamiento de datos personales por la red social y su
impacto sobre el usuario quien no puede esperar razonablemente el tratamiento,
“parece dudoso” que tal interés pueda prevalecer en el caso concreto sobre los
intereses y derechos fundamentales del usuario a los efectos del artículo
6.1.f) RGPD (apdo. 123). Por su parte, el Tribunal rechaza que el interés
legítimo en informar a las autoridades competentes para el ejercicio de
acciones penales y para evitar y perseguir infracción pueda ser invocado por un
operador privado como Meta Platforms Ireland dedicado a otras
actividades comerciales, salvo que sea objetivamente necesario para el
cumplimiento de una obligación legal a la que esté sujeto (apdo. 124).
IV. Requisitos y límites del consentimiento del afectado como
fundamento del tratamiento
La eventual
imposibilidad por parte del operador de la red social de fundar el tratamiento
de datos controvertido en las bases de licitud relativas a la necesidad para la
ejecución del contrato (art. 6.1.b RGPD) y a la satisfacción de intereses
legítimos del responsable (art. 6.1.f RGPD), atribuye especial relevancia al
consentimiento por parte del interesado (art. 6.1.a y, con respecto al
consentimiento explícito cuando se trata de categorías especiales de datos,
art. 9.2.a RGPD). En todo caso, la interpretación que al respecto proporciona
el Tribunal de Justicia parece útil especialmente de cara al futuro, en la
medida en que con respecto a su actividad precedente el operador de la red
social no parece haber cumplido con los requisitos para obtener el
consentimiento de los usuarios en los términos requeridos por esas
disposiciones para que pueda ser la base jurídica del tratamiento de datos
controvertido.
En todo caso, la
sentencia no va referida a la interpretación del consentimiento en general a
los efectos del RGPD, término objeto de definición en su artículo 4.11, sino a
un aspecto particular que se suscita en relación con la obtención del
consentimiento de los usuarios por el operador de una red social como Facebook.
Como es conocido, el artículo 4.11 RGPD define el consentimiento como “toda
manifestación de voluntad libre, específica, informada e inequívoca por la que
el interesado acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen”. La cuestión
planteada en este asunto al Tribunal de Justicia va referida únicamente a la
interpretación del requisito de que el consentimiento se preste libremente,
cuando se presta ante un operador que ocupa una posición dominante en el
mercado de las redes sociales en línea.
Las dudas al respecto se vinculan con que el
RGPD establece que el consentimiento no se presta libremente “cuando el
interesado no goza de verdadera o libre elección o no puede denegar o retirar
su consentimiento sin sufrir perjuicio alguno” (cdo. 42) ni cuando existe un
desequilibrio claro entre el interesado y el responsable (cdo. 43). Además,
conforme al artículo 7.4 RGPD, al evaluar si el consentimiento es libre debe
tenerse en cuenta si la ejecución de un contrato -y en este caso la prestación
del servicio de red social- “se supedita al consentimiento al tratamiento de
datos personales que no son necesarios para la ejecución de dicho contrato”,
circunstancia que, como ha quedado reseñado con anterioridad, parece estar
presente con respecto al tratamiento controvertido por parte de Facebook (apdo.
149 de la sentencia).
El Tribunal de Justicia considera que la
peculiar situación del operador de una red social que ocupa una posición de
dominio en el mercado no excluye que el interesado pueda dar su consentimiento y
que el mismo sea la base jurídica del, pero sí exige la imposición de requisitos
específicos para poder establecer que los usuarios han prestado libremente su
consentimiento a un tratamiento de datos personales como el controvertido. En
primer lugar, se exige que en el marco del proceso contractual los usuarios
tengan “la libertad de negarse individualmente a prestar su consentimiento a
operaciones particulares de tratamiento de datos que no sean necesarias para la
ejecución del contrato, sin verse por ello obligados a renunciar íntegramente a
la utilización del servicio ofrecido por el operador de la red social en línea,
lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una
remuneración adecuada, una alternativa equivalente no acompañada de tales
operaciones de tratamiento de datos” (apdo. 150). En segundo lugar, con
carácter adicional, se exige que se permita a los usuarios dar su
consentimiento por separado, por una parte, con respecto al tratamiento de los
datos relativos a su comportamiento dentro de la red social, y, por otra, con
respecto al resto de los datos. Sin esta posibilidad debe presumirse que su
consentimiento con respecto a los datos que no van referidos a su
comportamiento en la red social no es libre.
Cabe constatar que se trata de condicionantes
de gran relevancia con respecto al modelo de negocio y la configuración del
servicio de red social por parte del prestador que ocupa una posición de
dominio. Para que pueda utilizar el consentimiento como fundamento de un tratamiento
como el controvertido en el marco del artículo 6.1.a) y 9.2.a) RGPD será
necesario que ofrezca una alternativa en la que, para quienes lo prefieran, se
preste el servicio sin un tratamiento de los datos que no sean necesarios para
tal prestación, mediante la fijación, en su caso, de una contraprestación
económica.
V. Aplicación del RGPD y coordinación entre las autoridades de control
y las de defensa de la competencia
Al margen de lo
analizado en los apartados precedentes, el contexto en el que surge el litigio
principal en este asunto determina que esta sentencia aborde por primera vez un
aspecto de gran interés con respecto a la aplicación de las normas sobre
protección de datos personales de la Unión. El litigio principal no va referido
a la eventual infracción de las normas sobre protección de datos personales en
el marco de la tutela jurídico-pública por las autoridades de control (ni en el
marco de la tutela jurídico-privada) prevista en el RGPD. El litigio principal va
referido a la imposición por la Autoridad Federal de Defensa de la Competencia
(Alemania) de una serie de medidas a Meta Platforms Ireland -que las impugnó- en
relación con el tratamiento de datos personales de los usuarios de la red
social Facebook, con base en que, tal como estaba previsto en las condiciones
generales de prestación del servicio, el tratamiento constituía una explotación
abusiva de la posición dominante de Meta Platforms Ireland con arreglo al
artículo 102 TFUE, al tratarse de condiciones abusivas que infringían el RGPD
En ese marco el Tribunal
de Justicia es llamado a pronunciarse acerca de la interacción entre la tutela
jurídico-pública específica en materia de protección de datos, objeto de
regulación en el RGPD, y la tutela de las normas sobre libre competencia en
relación con el abuso de una posición de dominio. En concreto, la cuestión
controvertida versa sobre si resulta compatible con los mecanismos de aplicación
del RGPD -en especial, sus normas sobre las autoridades de control
independientes como entidades responsables de supervisa la aplicación del RGPD
conforme a sus arts. 51 y ss, incluyendo el mecanismo de la ventanilla única en
los tratamientos transfronterizos- que una autoridad nacional de defensa de la
competencia puede establecer la vulneración del RGPD a los efectos de apreciar
la explotación abusiva de una posición dominante.
Partiendo de que las
autoridades de control en materia de protección de datos y las autoridades
nacionales de defensa de la competencia persiguen objetivos diferentes, el
Tribunal de Justicia establece que al examinar un abuso de posición dominante puede
resultar necesario que una autoridad de defensa de la competencia de un Estado
miembro examine también la conformidad de las actividades de dicha empresa con
normas incluidas en el RGPD, sin que ello suponga que suplanta a las
autoridades de control en materia de protección de datos (apdos. 44 a 49).
Además, la nueva sentencia pone de relieve como ese análisis por las autoridades
de defensa de la competencia puede ser oportuno en el marco de la economía
digital, por la importancia para ciertos modelos de negocio del acceso a los
datos personales y su explotación como parámetro de competencia (apdos. 50-51).
La principal
aportación de la sentencia en este ámbito resulta de que, tras afirmar que cuando
una autoridad nacional de defensa de la competencia considera necesario
pronunciarse acerca de la conformidad con el RGPD de un tratamiento de datos personales
debe cooperar con las autoridades de control implicadas en materia de protección
de datos, proporciona pautas sobre esa cooperación que no ha sido objeto de
regulación en ningún instrumento de la Unión. Ciertamente, el RGPD se limita a
regular en relación con los tratamientos transfronterizos la cooperación entre
la autoridad de control principal y las demás autoridades de control
interesadas, así como la cooperación de dichas autoridades con el EDPB y la
Comisión. Se trata de una cooperación cuya aplicación práctica no ha estado
exenta de dificultades, como refleja de manera especial la experiencia precisamente
en relación con ciertos procedimientos en los que la autoridad irlandesa ha
sido autoridad de control principal, incluidos algunos relativos a Meta Platforms
Ireland. Esas dificultades se encuentran en el origen de la presentación también
el pasado martes de una Propuesta de Reglamento por el que se establecen normas
de procedimiento adicionales relativas a la aplicación del RGPD, COM(2023) 348 final.
El interés de la
sentencia es que aporta pautas para colmar la falta de disposiciones legales
cuando la aplicación del RGPD requiere la cooperación entre las autoridades de control
en materia protección de datos y las autoridades de defensa de la competencia.
Con base en el principio de cooperación leal del artículo 4.3 TUE, el Tribunal
de Justicia afirma la exigencia de que cuando deban aplicar el RGPD las
autoridades nacionales de defensa de la competencia deben cooperar lealmente
con las autoridades de control nacionales interesadas o con la autoridad de
control principal, estando todas ellas obligadas “a respetar sus respectivos
poderes y competencias, de modo que se observen las obligaciones derivadas del
RGPD y los objetivos de este y quede preservado su efecto útil” (apdo. 54),
especialmente para evitar divergencias en la interpretación del RGPD (apdo. 55).
Al hilo de la
situación en el litigio principal, la sentencia proporciona una serie de pautas
concretas de comportamiento en aquellas situaciones en las que una autoridad
nacional de defensa de la competencia deba examinar la conformidad de la
actividad de una empresa con el RGPD. En primer lugar, debe comprobar si tal
tipo de actividad ya ha sido objeto de una decisión por parte de la autoridad
de control nacional competente o por parte de la autoridad de control
principal, o por el Tribunal de Justicia. En caso de que ya lo haya sido, no
podrá apartarse de esa decisión (“aunque conserva su libertad para deducir sus
propias conclusiones desde el punto de vista de la aplicación del Derecho de la
competencia”) (apdo. 56). Además cuando la autoridad nacional de defensa de la
competencia dude sobre el alcance de la apreciación de la autoridad de control
sobre protección de datos, o ese tipo de actividad esté siendo objeto de examen
por ésta, o en ausencia de investigación por tales autoridades cuando considere
que la actividad de la empresa no es conforme con el RGPD, “la autoridad
nacional de defensa de la competencia debe consultar a esas autoridades y
solicitar su cooperación, con el fin de disipar sus dudas o de determinar si,
antes de iniciar su propia apreciación, no procede esperar a la adopción de una
decisión por parte de la autoridad de control interesada” (apdo. 57).
El Tribunal de
Justicia proporciona además pautas de comportamiento en estos casos a las autoridades
de control en materia de protección de datos, que están obligadas a responder a
esas solicitudes de información o de cooperación en un plazo razonable (apdo.
58), previendo que de no hacerlo “la autoridad nacional de defensa de la
competencia podrá proseguir su propia investigación”, al igual que cuando las
autoridades de control en materia de protección de datos no formulen objeciones
a que tal investigación prosiga, sin esperar a la adopción de una decisión por su
parte (apdo. 59).
VI. Reflexiones finales
La interpretación del Tribunal de Justicia
acerca de las restricciones que el RGPD impone a un modelo de negocio como el
de la red social Facebook especialmente cuando es prestado por un operador de
las dimensiones de Meta es coherente con los riesgos que un tratamiento tan
masivo de datos personales implica para los usuarios. Se corresponde también
con la tendencia característica de otros instrumentos recientes de la Unión,
como el Reglamento de Servicios Digitales y el Reglamento de Mercados
Digitales, en el sentido de imponer un régimen de obligaciones más estrictas a
operadores que por su volumen de actividad disponen de mayores medios y generan
especiales riesgos. La exigencia de que un operador de ese tipo, salvo en
situaciones excepcionales, solo pueda llevar a cabo un tratamiento de datos
personales tan amplísimo como el controvertido en relación con la prestación de
un servicio cuando haya obtenido el consentimiento previo de los interesados,
sometido, además a restricciones específicas que eventualmente pueden afectar a
la configuración de su modelo de negocio -por ejemplo, forzándole a ofrecer con
carácter alternativo un servicio de pago mucho menos intrusivo- resulta
plenamente coherente con los fundamentos del sistema de protección de datos
personales de la UE. No obstante, cabe lamentar que esta sentencia constituya
un nuevo ejemplo de lo generalizada que durante lustros ha resultado la
prestación de estos servicios en condiciones que menoscaban el estándar de
protección del derecho fundamental de protección de datos personales que sobre
el papel (principalmente ahora en el RGPD y antes en la Directiva 95/46/CE) existe
en la Unión Europea.
Con respecto a la
aplicación del RGPD, la sentencia pone de relieve y colma en parte las
insuficiencias del Derecho de la Unión en lo que tiene que ver con la
coordinación entre la aplicación de las normas del RGPD por las autoridades de
control en la materia y el examen de la conformidad con el RGPD de ciertas
actividades por las autoridades de defensa de la competencia. Se trata de un
progreso que se une a los esfuerzos legislativos para desarrollar el RGPD
mejorando la cooperación entre la cooperación entre la autoridad de control
principal y las demás autoridades de control interesadas, así como la
cooperación de dichas autoridades con el EDPB en relación con los
procedimientos transfronterizos, en los que tiene su origen la Propuesta de Reglamento
presentada por la Comisión el 4 de julio tendente a establecer normas de procedimiento
adicionales relativas a la aplicación del RGPD, COM(2023) 348 final. No
obstante, el avance que la nueva sentencia supone en lo relativo a la
cooperación entre las autoridades de protección de datos y de defensa de la
competencia para evitar divergencias en la interpretación del RGPD, contrasta
con la mera remisión a las legislaciones nacionales en otras situaciones en las
que la coordinación también es importante. Así sucede, en particular, cuando el
riesgo de descoordinación deriva de la coexistencia en el RGPD de dos vías
independientes de tutela, en la medida en que, junto a la tutela
jurídico-público, atribuida a las autoridades de control en materia de
protección de datos, coexiste como vía independiente la aplicación privada
resultante del artículo 79 RGPD (constatando las limitaciones del RGPD en lo
relativo a la coordinación entre estas dos vías de aplicación del RGPD y reforzando
la importancia a este respecto de la legislación nacional como complemento
necesario para la aplicación efectiva del RGPD, vid. STJUE de 12 de
enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,
C-132/21, EU:C:2023:2.
