lunes, 10 de julio de 2023

El tratamiento de datos personales por redes sociales a la luz de la sentencia Meta Platforms

 

                Las redes sociales constituyen el paradigma de servicios digitales que se ofrecen como gratuitos a sus usuarios privados porque su prestación se financia mediante la publicidad que se les muestra. Se trata de publicidad adaptada al perfil de cada usuario, precisamente para facilitar su eficacia y rentabilidad. La elaboración de tales perfiles presupone el tratamiento por parte del prestador del servicio de red social de un amplio conjunto de datos personales tendentes a conocer las pautas de comportamiento y preferencias de cada usuario, para explotar esa información personal, en particular, al comercializar la publicidad que se le muestra. La sentencia del Tribunal de Justicia del pasado martes en el asunto Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2023:537, supone un hito fundamental en la interpretación de las restricciones que el RGPD impone a esos modelos de negocio tan importantes en la economía digital, al tiempo que contribuye a poner de relieve cómo hasta ahora se han venido prestado con frecuencia en condiciones que menoscaban el estándar de protección del derecho fundamental de protección de datos personales que sobre el papel existe en la Unión Europea. 


         De manera coherente con los fundamentos del RGPD, el Tribunal de Justicia desarrolla su posición valorando los especiales riesgos inherentes al gran volumen de datos personales que trata una red social como Facebook y a la amplitud con la que ese tratamiento tiene lugar. Para apreciar estos condicionantes, cabe poner de relieve que el litigio principal va referido al tratamiento por Meta Platforms Ireland, en tanto que prestadora del servicio de red social Facebook, no solo de los datos que sus usuarios proporcionan directamente al registrarse en la red social o en otros servicios del grupo Meta o al efectuar pedidos en línea sino también de otros datos de los usuarios y los aparatos que emplean en relación con sus actividades dentro y fuera de la red social. En concreto, los datos relativos a las actividades del usuario fuera de la red social tratados incluyen los relativos a la consulta de páginas de Internet y de aplicaciones de terceros, conectadas a Facebook a través de interfaces de programación, así como los datos relativos a su utilización de otros servicios del grupo Meta, como WhatsApp o Instagram. Los datos procedentes de la consulta de sitios y aplicaciones de terceros se recopilan por la red social mediante interfaces integradas, cookies o tecnologías de almacenamiento similares y se ponen en relación con la cuenta de la red social del usuario. El tratamiento de todos esos datos de cada usuario se basa en el contrato de servicio al que se adhiere al registrarse, cuando acepta las condiciones generales de utilización de la red social Facebook (apdos. 27 y 28 de la sentencia). 

        La exposición de las importantes aportaciones de esta sentencia justifica abordar las siguientes cuestiones: Amplitud de los datos tratados e inclusión de datos sensibles (I); Insuficiencia de la ejecución del contrato de prestación del servicio de red social como fundamento de la licitud del tratamiento (II, infra); Inadecuación de otras pretendidas bases de licitud del tratamiento (III, infra); Requisitos y límites del consentimiento del afectado como fundamento del tratamiento (IV, infra); Precisiones sobre la aplicación del RGPD y la coordinación entre las autoridades de control y las de defensa de la competencia (V, infra). Concluiré con unas reflexiones finales (VI, infra).

I. Amplitud de los datos personales tratados por la red social e inclusión de datos sensibles

         Determinadas categorías de datos personales se consideran merecedoras de una protección especial, en la medida en que por la naturaleza de los mismos su tratamiento puede entrañar especiales riesgos para los derechos y libertades fundamentales, de modo que su tratamiento queda en principio prohibido y solo es posible en situaciones específicas previstas en el RGPD. En concreto, al referirse a las categorías especiales de datos personales, el artículo 9 RGPD, prohíbe el tratamiento de datos «que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física». Entre las excepciones a la prohibición general de tratamiento de esas categorías especiales de datos, se encuentra el que el interesado dé su consentimiento explícito, así como que el tratamiento se refiera a datos personales que el interesado ha hecho manifiestamente públicos.

            En lo relativo al tratamiento de datos personales por parte de la red social, especialmente en relación con los datos relativos a la consulta por el usuario de páginas de Internet y de aplicaciones, un primer aspecto acerca del que la que la sentencia resulta de interés es la determinación de en qué medida esa actividad de tratamiento de datos personales de sus usuarios afecta a datos sensibles o «categorías especiales de datos personales», objeto de especial protección conforme al artículo 9 RGPD. El Tribunal de Justicia establece que lo determinante a estos efectos es si el tratamiento que el operador de la red social lleva a cabo permite revelar información comprendida en alguna de las categorías contempladas en el artículo 9 RGPD, con independencia de si la información es exacta y de si el tratamiento del responsable tiene la finalidad de obtener ese tipo de información (apdos. 68-69). Si bien la valoración final en el caso concreto corresponde al tribunal nacional, el Tribunal de Justicia afirma que si los datos recogidos por el responsable -incluidos los relativos a las páginas que el usuario visita- por sí solos o mediante su puesta en relación con las cuentas de los usuarios afectados en la red social, permiten revelar información de cualquiera de esas categorías, tanto de un usuario como de cualquier persona física, resultará de aplicación lo dispuesto en el artículo 9. Dando un paso más, que resulta muy relevante para guiar la aplicación futura de esta norma por los tribunales y autoridades de control nacionales, el Tribunal afirma que: “parece que el tratamiento de los datos relativos a la consulta de los sitios de Internet o de las aplicaciones en cuestión puede, en determinados casos, revelar tal información, sin que sea necesario que dichos usuarios introduzcan en ellos información registrándose o efectuando pedidos en línea” (apdo. 72).

            A la luz de esa constatación, para determinar la licitud del tratamiento de datos personales que lleva a cabo el operador de la red social en las situaciones en las que se incluye algún dato sensible -o perteneciente a alguna de las categorías especiales de datos comprendidos en el art. 9 RGPD-, resulta clave valorar el alcance de las excepciones previstas en su apartado 2. En el contexto de las redes sociales, en la medida en que éstas no puedan acreditar que “el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados” (art. 9.2.a RGP), reviste especial interés concretar en qué situaciones cabe entender que el interesado, con base en su actividad relativa a la red social, ha hecho manifiestamente públicos los datos personales en cuestión, lo que resultará determinante de que no opere respecto de ellos la prohibición de tratamiento (art. 9.2.e RGPD).

            El Tribunal de Justicia aporta una serie de pautas para abordar esa cuestión, a partir del criterio general de que esa excepción solo opera en la medida en que se constate que el interesado “ha pretendido, de manera explícita y mediante un acto positivo claro, hacer accesibles al público en general los datos personales en cuestión” (apdo. 77). Una primera apreciación es que la mera consulta por parte del usuario de sitios de Internet o de aplicaciones que pueda resultar indicativa de esa información no permite concluir que haya hecho manifiestamente públicos esos datos, de modo que no basta para que pueda operar la excepción para legitimar el tratamiento de tales datos.

Por el contrario, el desarrollo de otro tipo de actividades por el usuario, en las que interactúa con la red social o con sitios de Internet o aplicaciones de terceros -como la activación de botones de selección como “me gusta” o “compartir”-, puede requerir un análisis casuístico, en el que el tipo de publicación que lleva a cabo de los datos y la configuración de la red social condicionan decisivamente el resultado alcanzado. Efectivamente, la propia configuración de la red social es un elemento determinante, de modo que si su configuración no satisface ciertos estándares en la práctica le resultará al operador de la red social imposible acreditar que el interesado ha hecho manifiestamente públicos los datos a esos efectos, incluso aunque mediante su interacción a través de la red social los haya difundido entre un público potencialmente muy amplio.

Ciertamente, cuando con su actividad el usuario difunde ciertos datos (como sus preferencias, por ejemplo, mediante botones como “me gusta”) entre el público en general, en principio, puede haberlos hecho manifiestamente públicos; ahora bien, el Tribunal considera que eso solo debe ser así cuando la configuración de la red social permite a los usuarios decidir que los datos introducidos en los sitios de Internet o en las aplicaciones en cuestión, incluidos los relativos a la activación de los botones de selección, resulten accesibles al público en general o, por el contrario, a un número más o menos limitado de personas seleccionadas. Solo cuando el operador de la red social ofrece al usuario una configuración individual, mediante la que puede expresar claramente con pleno conocimiento de causa su decisión de que tales datos resulten accesibles a un número ilimitado de personas, cabrá considerar que el usuario en cuestión ha hecho manifiestamente públicos esos datos que le conciernen, a los efectos del artículo 9.2.e) RGPD (apdos. 82-83).

Desde la perspectiva práctica, cabe poner de relieve que en la medida en que no se cumplan esas exigencias, el resultado será normalmente que el tratamiento de datos de esas categorías por parte del operador de la red social solo será posible, conforme a lo dispuesto en el artículo 9 RGPD, en el caso de que el interesado haya dado su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, pues no será frecuente que concurra ninguna de las otras excepciones previstas en el artículo 9.2 RGPD.

II. Insuficiencia de la ejecución del contrato de prestación del servicio de red social como fundamento de la licitud del tratamiento

         El artículo 6.1 RGPD contiene una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito. En relación con el tratamiento de los datos de sus usuarios que lleva a cabo el operador de la red social, reviste especial importancia la interpretación de la base de licitud establecida en el artículo 6.1.b), que considera lícito “el tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.” 

Con carácter cumulativo a la existencia y validez de un contrato en el que el interesado sea parte -a decidir conforme al Derecho contractual (nacional) aplicable-, el primer inciso del artículo 6(1)(b) RGPD requiere que el tratamiento sea «necesario» para la ejecución del contrato. Una interpretación que no permita a la red social ampararse en este fundamento implica que su tratamiento de los datos personales solo será lícito si puede acreditar que el interesado ha dado su consentimiento –en los términos que establece el propio RGPD- para el tratamiento de sus datos personales para uno o varios fines específicos (art. 6.1.a) o que en el caso concreto concurre alguna de los otros fundamentos de licitud establecidos en el artículo 6.1.

            En los últimos años se ha desarrollado una significativa controversia acerca de la interpretación de la base de licitud prevista en el artículo 6.1.b) respecto de los servicios digitales ofrecidos a los usuarios sin una contraprestación económica. Cabe recordar que se trata de una cuestión respecto de la que la autoridad irlandesa de protección de datos pretendió realizar una interpretación en relación con las actividades de Facebook menos estricta que la propuesta por el Comité Europeo de Protección de Datos (también conocido como EDPB). La nueva sentencia viene a avalar la interpretación estricta del EDPB.

          Cabe recordar que ya en sus «Directrices 2/2019 sobre el tratamiento de datos personales en virtud del artículo 6, apartado 1, letra b), del RGPD en el contexto de la prestación de servicios en línea a los interesados» (versión 2.0, 8 de octubre de 2019), el CEPD puso de relieve que el término «necesario» empleado en el artículo 6.1.b) debe ser objeto de una interpretación autónoma a la luz del fundamento y objetivos de la legislación sobre datos personales, destacando que debe imponerse una interpretación restrictiva, de modo que no basta con que el tratamiento resulte útil para la ejecución del contrato y es preciso que no existan alternativas reales menos invasivas (apdos. 23-29 de las Directrices 2/2019). Consideró también el EDPB que cuando la prestación de un servicio en el marco de un contrato se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato no cabe recurrir al artículo 6(1)(b) RGPD sino que típicamente será necesario haber obtenido el consentimiento del interesado para su tratamiento, conforme al artículo 6(1)(a) y 7 RGPD. El que la actividad de tratamiento aparezca mencionada en el contrato no se considera determinante al apreciar su necesidad para la ejecución del mismo, sino que corresponde al responsable acreditar que a la luz de los objetivos del concreto contrato su ejecución no puede tener lugar sin el tratamiento de los datos personales en cuestión. El fundamento, el objeto y los elementos esenciales del contrato son, junto con las expectativas de las partes a la luz de su contenido, circunstancias relevantes a esos efectos, que deben apreciarse antes de llevar a cabo el tratamiento (apdos. 30-35 de las Directrices 2/2019).

          Además, entre los ejemplos incluidos en las mencionadas Directrices 2/2019 especialmente relevantes en relación con los servicios de red social figura como paradigma de situación que no queda comprendida en el artículo 6.1.b) RGPD, la referencia al tratamiento de datos personales con fines de facilitar publicidad comportamental en línea, incluso si dicha publicidad resulta determinante para financiar la prestación del servicio objeto del contrato con el interesado (apdos. 51-56 de las Directrices). En la medida en que el tratamiento de los datos personales con esa finalidad publicitaria no se consideraba necesaria para la ejecución del contrato, del criterio del Comité resultaba que su tratamiento únicamente será lícito si se ampara en otra base jurídica, como la obtención del consentimiento del afectado conforme al artículo 6.1.a) RGPD. Con respecto al tratamiento de datos para la personalización de los servicios prestados al interesado a través del contrato en cuestión, las Directrices 2/2019 admiten que pueda subsumirse en el artículo 6.1.b), pero únicamente en la medida en que la personalización del servicio sea objetivamente necesaria a la luz de la función del contrato de que se trate, pero no si tiene lugar simplemente a los efectos de realizar sugerencias o recomendaciones de contenido al interesado de cara a incrementar su interacción con el servicio (apdo. 57 de las Directrices 2/2019).

             La nueva sentencia avala ese planteamiento del EDPB, frente al criterio mantenido inicialmente por la autoridad irlandesa, que había considerado que en el caso de la red social Facebook, habida cuenta de los términos específicos del contrato y de la naturaleza del servicio prestado y acordado por las partes, el operador de la red social sí podía invocar el artículo 6.1.b) RGPD, como base jurídica del tratamiento de los datos de los usuarios al ser necesario para la prestación de su servicio, en la medida en que consideraba que la publicidad basada en el comportamiento del usuario constituía una parte esencial de dicho servicio ofrecido a los usuarios sin contraprestación económica y aceptado por éstos.

              El planteamiento restrictivo del Tribunal de Justicia en la sentencia Meta Platforms se funda en que el empleo del término “necesario para la ejecución de un contrato” en el artículo 6.1.b) RGPD supone que el tratamiento de datos en cuestión “debe ser objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual destinada al interesado”, lo que implica que el responsable debe poder demostrar “por qué el objeto principal del contrato no podría alcanzarse sin el tratamiento en cuestión” (apdo. 98). El tratamiento de datos debe ser “esencial para permitir la correcta ejecución del contrato” celebrado entre el responsable y el interesado, sin que “existan otras soluciones practicables y menos intrusivas” (apdo. 99). Además, cuando el contrato va referido a la prestación de varios servicios o de elementos separados de un servicio, esa circunstancia debe evaluarse en el contexto de cada uno de esos servicios por separado (apdo. 100).

              Seguidamente, desmonta el Tribunal de Justicia las justificaciones alegadas para sostener que el tratamiento de datos personales que lleva a cabo el operador de la red social resulta necesario para la ejecución del contrato con los usuarios de Facebook. A estos efectos, el Tribunal se limita a considerar como justificaciones, de una parte, la personalización de los contenidos y, de otra, el uso homogéneo y fluido de los servicios propios del grupo Meta. Pese a que resulta determinante del ofrecimiento sin contraprestación económica del servicio de red social, lo relativo a la necesidad del tratamiento como presupuesto del ofrecimiento de publicidad comportamental es objeto de análisis en relación con la base de licitud del tratamiento relativa a la satisfacción de intereses legítimos del responsable -art. 6.1.f) RGPD-, como se analizará más adelante.

            Con respecto a la insuficiencia de la justificación basada en la personalización de los contenidos, a los efectos del artículo 6.1.b) RGPD, el Tribunal de Justicia concluye que si bien esa personalización puede ser útil para el usuario, al que se facilita el acceso a contenido que responde a sus intereses, no es un elemento que resulte necesario para ofrecer al usuario los servicios de la red social en línea. La personalización no se considera objetivamente indispensable para una finalidad que forme parte integrante de los servicios de red social (apdo. 102). Por otra parte, la insuficiencia de la justificación basada en “la utilización homogénea y fluida de los servicios propios del grupo Meta” se vincula con la posibilidad de suscribir por separado esos diferentes servicios (apdo. 103).

III. Insuficiencia de la satisfacción de intereses legítimos del operador de la red social como base de licitud del tratamiento

El artículo 6.1.f) RGPD considera lícito el tratamiento si es necesario para la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero, pero esta base legal aparece subordinada a una ponderación entre los intereses legítimos del responsable o de un tercero, de una parte, y los intereses y derechos fundamentales del interesado. Esta base solo determina la licitud del tratamiento cuando los intereses o los derechos y libertades fundamentales del interesado no prevalezcan en el caso concreto sobre los intereses legítimos del responsable para cuya satisfacción el tratamiento resulta necesario. A estos efectos, en la ponderación debe prestarse especial atención a la protección de los intereses y los derechos de los niños, así como a que el tratamiento no tenga lugar en circunstancias en las que el interesado no espera razonablemente que se realice el tratamiento (apdos. 111-112). Además, el Tribunal de Justicia destaca que el requisito relativo a que el tratamiento sea “necesario” para la satisfacción de esos intereses legítimos debe vincularse con el principio de minimización de datos (apdo. 109), lo que resulta muy significativo, habida cuenta del gran volumen de datos tratados por el operador de la red social.

Como posibles “intereses legítimos” del operador de la red social que podrían fundar su tratamiento si concurrieran los requisitos del artículo 6.1.f) RGPD, se analizan en la sentencia la personalización de la publicidad, la seguridad de la red, la mejora del producto y la información a las autoridades competentes para el ejercicio de acciones penales.

           En la medida en que el Tribunal lo vincula con la gratuidad del servicio de red social prestado por Facebook, el rechazo de la personalización de la publicidad como posible justificación del tratamiento de datos personales por la red social a los efectos del artículo 6.1.f) RGPD resulta de especial importancia. Pese a que el tratamiento de datos personales con fines de mercadotecnia directa pueda constituir un interés legítimo del responsable a los efectos de esa norma, el Tribunal de Justicia rechaza que ese sea el caso cuando la ponderación se proyecta sobre el tratamiento de datos personales que la red social lleva a cabo para personalizar la publicidad a cambio de ofrecer los servicios de manera gratuita. Elementos muy relevantes para apreciar que ese interés del responsable no puede prevalecer sobre los derechos e intereses del afectado son el alcance del tratamiento y su impacto sobre el interesado –destacando el Tribunal el alcance particularmente amplio del tratamiento controvertido que se proyecta sobre datos potencialmente ilimitados (apdo. 118)-, así como las expectativas razonables de este último. En concreto, el Tribunal afirma que “pese a la gratuidad de los servicios de una red social en línea como Facebook, el usuario de esta no debería esperar razonablemente que, sin su consentimiento, el operador de esa red social trate los datos personales de ese usuario con fines de personalización de la publicidad”, lo que lleva a excluir que el interés del prestador de servicio en la personalización de la publicidad para financiar su actividad pueda prevalecer a los efectos de que el artículo 6.1.f) RGPD proporciona una base para la licitud de ese tratamiento (apdo. 117).

       Tampoco se muestra el Tribunal proclive a que otros intereses legítimos del responsable del tratamiento puedan prevalecer a los efectos de justificar el tratamiento de datos controvertido en el marco del artículo 6.1.f) RGPD. El objetivo de garantizar la seguridad de la red solo podría serlo si el tratamiento de datos personales recogidos a partir de fuentes externas a la red social resulta efectivamente necesario para garantizar que no se pone en riesgo su seguridad interna, cuando además ese objetivo no puede alcanzarse razonablemente de manera tan eficaz por otros medios menos atentatorios de los derechos al respeto de la vida privada y de protección de los datos personales de los interesados y si se respeta el principio de «minimización de datos» del artículo 5.1.c) RGPD (apdos. 120-121).

Con respecto al objetivo de mejora del producto como interés legítimo del responsable, el Tribunal destaca que, habida cuenta del alcance del tratamiento de datos personales por la red social y su impacto sobre el usuario quien no puede esperar razonablemente el tratamiento, “parece dudoso” que tal interés pueda prevalecer en el caso concreto sobre los intereses y derechos fundamentales del usuario a los efectos del artículo 6.1.f) RGPD (apdo. 123). Por su parte, el Tribunal rechaza que el interés legítimo en informar a las autoridades competentes para el ejercicio de acciones penales y para evitar y perseguir infracción pueda ser invocado por un operador privado como Meta Platforms Ireland dedicado a otras actividades comerciales, salvo que sea objetivamente necesario para el cumplimiento de una obligación legal a la que esté sujeto (apdo. 124).

IV. Requisitos y límites del consentimiento del afectado como fundamento del tratamiento

           La eventual imposibilidad por parte del operador de la red social de fundar el tratamiento de datos controvertido en las bases de licitud relativas a la necesidad para la ejecución del contrato (art. 6.1.b RGPD) y a la satisfacción de intereses legítimos del responsable (art. 6.1.f RGPD), atribuye especial relevancia al consentimiento por parte del interesado (art. 6.1.a y, con respecto al consentimiento explícito cuando se trata de categorías especiales de datos, art. 9.2.a RGPD). En todo caso, la interpretación que al respecto proporciona el Tribunal de Justicia parece útil especialmente de cara al futuro, en la medida en que con respecto a su actividad precedente el operador de la red social no parece haber cumplido con los requisitos para obtener el consentimiento de los usuarios en los términos requeridos por esas disposiciones para que pueda ser la base jurídica del tratamiento de datos controvertido.

             En todo caso, la sentencia no va referida a la interpretación del consentimiento en general a los efectos del RGPD, término objeto de definición en su artículo 4.11, sino a un aspecto particular que se suscita en relación con la obtención del consentimiento de los usuarios por el operador de una red social como Facebook. Como es conocido, el artículo 4.11 RGPD define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. La cuestión planteada en este asunto al Tribunal de Justicia va referida únicamente a la interpretación del requisito de que el consentimiento se preste libremente, cuando se presta ante un operador que ocupa una posición dominante en el mercado de las redes sociales en línea.

Las dudas al respecto se vinculan con que el RGPD establece que el consentimiento no se presta libremente “cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno” (cdo. 42) ni cuando existe un desequilibrio claro entre el interesado y el responsable (cdo. 43). Además, conforme al artículo 7.4 RGPD, al evaluar si el consentimiento es libre debe tenerse en cuenta si la ejecución de un contrato -y en este caso la prestación del servicio de red social- “se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato”, circunstancia que, como ha quedado reseñado con anterioridad, parece estar presente con respecto al tratamiento controvertido por parte de Facebook (apdo. 149 de la sentencia).

El Tribunal de Justicia considera que la peculiar situación del operador de una red social que ocupa una posición de dominio en el mercado no excluye que el interesado pueda dar su consentimiento y que el mismo sea la base jurídica del, pero sí exige la imposición de requisitos específicos para poder establecer que los usuarios han prestado libremente su consentimiento a un tratamiento de datos personales como el controvertido. En primer lugar, se exige que en el marco del proceso contractual los usuarios tengan “la libertad de negarse individualmente a prestar su consentimiento a operaciones particulares de tratamiento de datos que no sean necesarias para la ejecución del contrato, sin verse por ello obligados a renunciar íntegramente a la utilización del servicio ofrecido por el operador de la red social en línea, lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente no acompañada de tales operaciones de tratamiento de datos” (apdo. 150). En segundo lugar, con carácter adicional, se exige que se permita a los usuarios dar su consentimiento por separado, por una parte, con respecto al tratamiento de los datos relativos a su comportamiento dentro de la red social, y, por otra, con respecto al resto de los datos. Sin esta posibilidad debe presumirse que su consentimiento con respecto a los datos que no van referidos a su comportamiento en la red social no es libre.

Cabe constatar que se trata de condicionantes de gran relevancia con respecto al modelo de negocio y la configuración del servicio de red social por parte del prestador que ocupa una posición de dominio. Para que pueda utilizar el consentimiento como fundamento de un tratamiento como el controvertido en el marco del artículo 6.1.a) y 9.2.a) RGPD será necesario que ofrezca una alternativa en la que, para quienes lo prefieran, se preste el servicio sin un tratamiento de los datos que no sean necesarios para tal prestación, mediante la fijación, en su caso, de una contraprestación económica.

V. Aplicación del RGPD y coordinación entre las autoridades de control y las de defensa de la competencia

            Al margen de lo analizado en los apartados precedentes, el contexto en el que surge el litigio principal en este asunto determina que esta sentencia aborde por primera vez un aspecto de gran interés con respecto a la aplicación de las normas sobre protección de datos personales de la Unión. El litigio principal no va referido a la eventual infracción de las normas sobre protección de datos personales en el marco de la tutela jurídico-pública por las autoridades de control (ni en el marco de la tutela jurídico-privada) prevista en el RGPD. El litigio principal va referido a la imposición por la Autoridad Federal de Defensa de la Competencia (Alemania) de una serie de medidas a Meta Platforms Ireland -que las impugnó- en relación con el tratamiento de datos personales de los usuarios de la red social Facebook, con base en que, tal como estaba previsto en las condiciones generales de prestación del servicio, el tratamiento constituía una explotación abusiva de la posición dominante de Meta Platforms Ireland con arreglo al artículo 102 TFUE, al tratarse de condiciones abusivas que infringían el RGPD

            En ese marco el Tribunal de Justicia es llamado a pronunciarse acerca de la interacción entre la tutela jurídico-pública específica en materia de protección de datos, objeto de regulación en el RGPD, y la tutela de las normas sobre libre competencia en relación con el abuso de una posición de dominio. En concreto, la cuestión controvertida versa sobre si resulta compatible con los mecanismos de aplicación del RGPD -en especial, sus normas sobre las autoridades de control independientes como entidades responsables de supervisa la aplicación del RGPD conforme a sus arts. 51 y ss, incluyendo el mecanismo de la ventanilla única en los tratamientos transfronterizos- que una autoridad nacional de defensa de la competencia puede establecer la vulneración del RGPD a los efectos de apreciar la explotación abusiva de una posición dominante.

            Partiendo de que las autoridades de control en materia de protección de datos y las autoridades nacionales de defensa de la competencia persiguen objetivos diferentes, el Tribunal de Justicia establece que al examinar un abuso de posición dominante puede resultar necesario que una autoridad de defensa de la competencia de un Estado miembro examine también la conformidad de las actividades de dicha empresa con normas incluidas en el RGPD, sin que ello suponga que suplanta a las autoridades de control en materia de protección de datos (apdos. 44 a 49). Además, la nueva sentencia pone de relieve como ese análisis por las autoridades de defensa de la competencia puede ser oportuno en el marco de la economía digital, por la importancia para ciertos modelos de negocio del acceso a los datos personales y su explotación como parámetro de competencia (apdos. 50-51).

             La principal aportación de la sentencia en este ámbito resulta de que, tras afirmar que cuando una autoridad nacional de defensa de la competencia considera necesario pronunciarse acerca de la conformidad con el RGPD de un tratamiento de datos personales debe cooperar con las autoridades de control implicadas en materia de protección de datos, proporciona pautas sobre esa cooperación que no ha sido objeto de regulación en ningún instrumento de la Unión. Ciertamente, el RGPD se limita a regular en relación con los tratamientos transfronterizos la cooperación entre la autoridad de control principal y las demás autoridades de control interesadas, así como la cooperación de dichas autoridades con el EDPB y la Comisión. Se trata de una cooperación cuya aplicación práctica no ha estado exenta de dificultades, como refleja de manera especial la experiencia precisamente en relación con ciertos procedimientos en los que la autoridad irlandesa ha sido autoridad de control principal, incluidos algunos relativos a Meta Platforms Ireland. Esas dificultades se encuentran en el origen de la presentación también el pasado martes de una Propuesta de Reglamento por el que se establecen normas de procedimiento adicionales relativas a la aplicación del RGPD, COM(2023) 348 final.

          El interés de la sentencia es que aporta pautas para colmar la falta de disposiciones legales cuando la aplicación del RGPD requiere la cooperación entre las autoridades de control en materia protección de datos y las autoridades de defensa de la competencia. Con base en el principio de cooperación leal del artículo 4.3 TUE, el Tribunal de Justicia afirma la exigencia de que cuando deban aplicar el RGPD las autoridades nacionales de defensa de la competencia deben cooperar lealmente con las autoridades de control nacionales interesadas o con la autoridad de control principal, estando todas ellas obligadas “a respetar sus respectivos poderes y competencias, de modo que se observen las obligaciones derivadas del RGPD y los objetivos de este y quede preservado su efecto útil” (apdo. 54), especialmente para evitar divergencias en la interpretación del RGPD (apdo. 55).

         Al hilo de la situación en el litigio principal, la sentencia proporciona una serie de pautas concretas de comportamiento en aquellas situaciones en las que una autoridad nacional de defensa de la competencia deba examinar la conformidad de la actividad de una empresa con el RGPD. En primer lugar, debe comprobar si tal tipo de actividad ya ha sido objeto de una decisión por parte de la autoridad de control nacional competente o por parte de la autoridad de control principal, o por el Tribunal de Justicia. En caso de que ya lo haya sido, no podrá apartarse de esa decisión (“aunque conserva su libertad para deducir sus propias conclusiones desde el punto de vista de la aplicación del Derecho de la competencia”) (apdo. 56). Además cuando la autoridad nacional de defensa de la competencia dude sobre el alcance de la apreciación de la autoridad de control sobre protección de datos, o ese tipo de actividad esté siendo objeto de examen por ésta, o en ausencia de investigación por tales autoridades cuando considere que la actividad de la empresa no es conforme con el RGPD, “la autoridad nacional de defensa de la competencia debe consultar a esas autoridades y solicitar su cooperación, con el fin de disipar sus dudas o de determinar si, antes de iniciar su propia apreciación, no procede esperar a la adopción de una decisión por parte de la autoridad de control interesada” (apdo. 57).

        El Tribunal de Justicia proporciona además pautas de comportamiento en estos casos a las autoridades de control en materia de protección de datos, que están obligadas a responder a esas solicitudes de información o de cooperación en un plazo razonable (apdo. 58), previendo que de no hacerlo “la autoridad nacional de defensa de la competencia podrá proseguir su propia investigación”, al igual que cuando las autoridades de control en materia de protección de datos no formulen objeciones a que tal investigación prosiga, sin esperar a la adopción de una decisión por su parte (apdo. 59).

VI. Reflexiones finales

La interpretación del Tribunal de Justicia acerca de las restricciones que el RGPD impone a un modelo de negocio como el de la red social Facebook especialmente cuando es prestado por un operador de las dimensiones de Meta es coherente con los riesgos que un tratamiento tan masivo de datos personales implica para los usuarios. Se corresponde también con la tendencia característica de otros instrumentos recientes de la Unión, como el Reglamento de Servicios Digitales y el Reglamento de Mercados Digitales, en el sentido de imponer un régimen de obligaciones más estrictas a operadores que por su volumen de actividad disponen de mayores medios y generan especiales riesgos. La exigencia de que un operador de ese tipo, salvo en situaciones excepcionales, solo pueda llevar a cabo un tratamiento de datos personales tan amplísimo como el controvertido en relación con la prestación de un servicio cuando haya obtenido el consentimiento previo de los interesados, sometido, además a restricciones específicas que eventualmente pueden afectar a la configuración de su modelo de negocio -por ejemplo, forzándole a ofrecer con carácter alternativo un servicio de pago mucho menos intrusivo- resulta plenamente coherente con los fundamentos del sistema de protección de datos personales de la UE. No obstante, cabe lamentar que esta sentencia constituya un nuevo ejemplo de lo generalizada que durante lustros ha resultado la prestación de estos servicios en condiciones que menoscaban el estándar de protección del derecho fundamental de protección de datos personales que sobre el papel (principalmente ahora en el RGPD y antes en la Directiva 95/46/CE) existe en la Unión Europea.

         Con respecto a la aplicación del RGPD, la sentencia pone de relieve y colma en parte las insuficiencias del Derecho de la Unión en lo que tiene que ver con la coordinación entre la aplicación de las normas del RGPD por las autoridades de control en la materia y el examen de la conformidad con el RGPD de ciertas actividades por las autoridades de defensa de la competencia. Se trata de un progreso que se une a los esfuerzos legislativos para desarrollar el RGPD mejorando la cooperación entre la cooperación entre la autoridad de control principal y las demás autoridades de control interesadas, así como la cooperación de dichas autoridades con el EDPB en relación con los procedimientos transfronterizos, en los que tiene su origen la Propuesta de Reglamento presentada por la Comisión el 4 de julio tendente a  establecer normas de procedimiento adicionales relativas a la aplicación del RGPD, COM(2023) 348 final. No obstante, el avance que la nueva sentencia supone en lo relativo a la cooperación entre las autoridades de protección de datos y de defensa de la competencia para evitar divergencias en la interpretación del RGPD, contrasta con la mera remisión a las legislaciones nacionales en otras situaciones en las que la coordinación también es importante. Así sucede, en particular, cuando el riesgo de descoordinación deriva de la coexistencia en el RGPD de dos vías independientes de tutela, en la medida en que, junto a la tutela jurídico-público, atribuida a las autoridades de control en materia de protección de datos, coexiste como vía independiente la aplicación privada resultante del artículo 79 RGPD (constatando las limitaciones del RGPD en lo relativo a la coordinación entre estas dos vías de aplicación del RGPD y reforzando la importancia a este respecto de la legislación nacional como complemento necesario para la aplicación efectiva del RGPD, vid. STJUE de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2.