martes, 2 de julio de 2024

Límites a la licitud de los modelos de consentimiento o pago en materia de datos personales (Segunda parte)

 

El Reglamento (UE) 2022/1925 de Mercados Digitales (RMD) complementa el marco derivado del RGPD con respecto a las actividades de los “guardianes de acceso”. Cabe recordar que esa categoría va referida a las empresas prestadoras de servicios básicos de plataforma, designada como tales por la Comisión por cumplir con los requisitos establecidos en el artículo 3 RMD.  El RMD es de aplicación “sin perjuicio” del RGPD (considerando 12 RMD) y establece que los intereses de protección de datos de los usuarios finales son pertinentes al evaluar los efectos negativos de la recopilación y acumulación de grandes cantidades de datos de tales usuarios por parte de los guardianes de acceso (cdo. 72), incorpora en su artículo 5 ciertas restricciones específicas aplicable a los guardianes de acceso relevantes en relación con las prácticas de “consentimiento o pago”. En este contexto, el anuncio ayer por parte de la Comisión de sus conclusiones provisionales de que el modelo publicitario de «pagar o consentir» introducido por Meta en noviembre de 2023 -cabe entender que como reacción a la STJUE Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2023:537, reseñada aquí- vulnera lo dispuesto en el artículo 5.2 del RMD, debe ponerse en relación con el reciente Dictamen del Comité Europeo de Protección de Datos sobre de modelos de “consentimiento o pago” desplegados por las grandes plataformas en línea, objeto de esta otra entrada.

Esas conclusiones provisionales de la Comisión se enmarcan en el procedimiento incoado contra Meta por el incumplimiento del artículo 5.2 RMD, en relación con su oferta binaria de «pagar o consentir» por parte de los usuarios de Facebook e Instagram de la UE. Como consecuencia de ese modelo, tales usuarios tienen que elegir entre, de una parte, la suscripción mediante una cuota mensual a una versión sin anuncios de los servicios o, de otra, el acceso gratuito a una versión con anuncios personalizados. Las conclusiones preliminares anunciadas recientemente por la Comisión en el marco de ese procedimiento consideran que semejante modelo no cumple los requisitos que exige el artículo 5.2 RMD. 

Cabe recordar que un primer grupo de obligaciones de los guardianes de acceso incluidas en el artículo 5 RMD van referidas a aspectos relativos al tratamiento de datos personales, ámbito en el que la interacción con el RGPD presenta gran relevancia, habida cuenta de que el RMD resulta de aplicación sin perjuicio de lo dispuesto en los instrumentos de la Unión sobre datos personales. Se trata de restringir, con el fin de no obstaculizar la eventual entrada de competidores en el mercado, ciertas ventajas que los guardianes de acceso pueden obtener gracias a la acumulación de datos que les permite la posición que ocupan y su acceso a datos de terceros. En concreto, el apartado 2 del artículo 5 RMD impone a los guardianes de acceso la obligación de abstenerse de realizar las siguientes prácticas, salvo que se cumplan determinados requisitos, respecto de cada uno de sus servicios básicos de plataforma afectados por la designación: a) tratar con el fin de prestar servicios de publicidad en línea los datos personales de los usuarios finales que utilicen servicios de terceros que usen esos servicios básicos de plataforma (por ejemplo, los datos de los clientes de un sitio web que utiliza para comercializar bienes el servicio de plataforma); b) combinar datos personales procedentes de esos servicios básicos de plataforma con datos personales procedentes de cualesquiera otros servicios que proporcione el guardián de acceso o de servicios de terceros; c) cruzar datos personales procedentes del servicio básico de plataforma pertinente con otros servicios que proporcione el guardián de acceso por separado, y viceversa; y d) iniciar la sesión de usuarios finales en otros servicios del guardián de acceso para combinar datos personales.

Para que los guardianes de acceso puedan realizar cualquiera de esas prácticas es necesario que lo haya elegido libremente el usuario final dando su consentimiento en los términos de los artículos 4.11 y 7 RGPD después de que el guardián de acceso le hubiera ofrecido una alternativa menos personalizada, aunque equivalente (salvo que la degradación de la calidad sea consecuencia directa de que el guardián de acceso no pueda tratar esos datos personales ni iniciar la sesión de los usuarios finales en un servicio), y sin condicionar el uso del servicio básico de plataforma (o de algunas de sus funcionalidades) a ese consentimiento. No se permite que los guardianes de acceso soliciten a los usuarios finales más de una vez al año prestar su consentimiento para el mismo fin de tratamiento respecto del cual hubieran denegado o retirado su consentimiento.  No prestar el consentimiento no debe ser más difícil que prestarlo.

El RMD considera que no resultarán en principio suficientes para que el guardián de acceso pueda realizar esas prácticas las condiciones de licitud previstas en las letras b) y f) del artículo 6.1 RGPD: que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado sea parte y que el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero (cdo. 36 RMD). Se prevé además que “los guardianes de acceso no deben diseñar, organizar ni explotar sus interfaces en línea de forma que engañen o manipulen a los usuarios finales o reduzcan o distorsionen de otro modo de manera sustancial su capacidad de prestar su consentimiento libremente” (cdo. 37). Si bien se trata de una obligación que con base en el RGPD cabe entender exigible respecto del tratamiento de datos personales no solo a los guardianes de acceso, su peculiar posición en el mercado condiciona la apreciación de si el afectado ha prestado el consentimiento en los términos exigidos en el RGPD. Por otra parte, la precisión del RMD (pese a que deba aplicarse sin perjuicio del RGPD) acerca de la inadecuación de las condiciones de licitud del tratamiento de las letras b) y f) del artículo 6.1 RGPD a estos efectos resulta ahora coherente con la posición adoptada por el TJUE en relación con las limitaciones del artículo 6.1.b) RGPD como base jurídica para el tratamiento de datos personales por parte de redes sociales y otras plataformas en su mencionada sentencia Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social).

En este marco, la Comisión ha anunciado que el eventual incumplimiento del artículo 5.2 RMD derivaría de que su oferta binaria de «pagar o consentir» por parte de los usuarios de Facebook e Instagram es un modelo que no permite a los usuarios optar por un servicio que utilizando menos datos personales sea equivalente al basado en publicidad personalizada y, además, tampoco les permite ejercer su derecho a consentir libremente la combinación de sus datos personales. Se trata de un resultado provisional sustancialmente coincidente con el alcanzado por el Comité en relación con el RGPD en el Dictamen reseñado aquí.

Junto a la vertiente sustantiva del RMD, y su regulación de las prácticas de los “guardianes de acceso” que limitan la disputabilidad o son desleales, incluyendo la imposición de obligaciones y prohibiciones específicas como las reseñadas respecto de tales empresas, un elemento innovador significativo frente al RGPD es el relativo a los mecanismos de tutela. La Comisión es la única autoridad facultada para hacer cumplir el RMD. Para garantizar la efectividad práctica del RMD, su Capítulo V atribuye a la Comisión amplios poderes de investigación (solicitud de información, toma de declaraciones y realización de inspecciones) y de adopción de medidas destinadas a garantizar la efectividad práctica de las obligaciones que el RMD impone. El artículo 29 contempla la adopción por la Comisión de decisiones de incumplimiento, entre otros supuestos, cuando constate que un guardián de acceso no cumple cualquiera de las obligaciones establecidas en los artículos 5, 6 o 7 o las medidas especificadas por la Comisión de conformidad con el artículo 8.2. Las decisiones de incumplimiento pueden dar lugar a la imposición a los guardianes de acceso de multas sancionadoras muy elevadas. En concreto, el incumplimiento, de forma intencionada o por negligencia, de cualquiera de las obligaciones establecidas en los artículos 5, 6 y 7 puede dar lugar a la imposición por la Comisión de multas sancionadoras de hasta el 10 % del volumen de negocios total a nivel mundial en el ejercicio anterior del guardián de acceso, que pueden llegar hasta el 20 % en ciertos casos de reiteración (art. 30). 

En el plano práctico, el desarrollo de este procedimiento incoado frente a Meta refuerza la idea de que el entramado institucional del RMD y el papel atribuido a la Comisión pueden facilitar la actividad de supervisión de los grandes prestadores de servicios respecto de conductas objeto tanto del RMD como del RGPD, reforzando la necesidad de coordinación en la aplicación de ambos instrumentos. De cara al futuro, puede resultar también relevante que, al margen de los mecanismos de tutela jurídico-pública atribuidos a la Comisión, el incumplimiento por parte de los guardianes de acceso de lo dispuesto en el RMD, especialmente las obligaciones previstas en los artículos 5 y 6, pueden dar lugar al ejercicio de acciones, en particular, por perjudicados por sus prácticas contractuales, comerciales o técnicas contrarias a esas obligaciones. En el contexto de la tutela jurídico-privada del RMD resultará relevante la previsión en este instrumento en el sentido de que los órganos jurisdiccionales nacionales no adoptarán resoluciones que sean contrarias a una decisión adoptada por la Comisión en virtud del RMD, así como que evitarán adoptar resoluciones que puedan entrar en conflicto con una decisión prevista por la Comisión en un procedimiento que ya haya incoado, suspendiendo, en su caso, el procedimiento ante el órgano jurisdiccional. (cdos. 91 y 92 y art. 39 RMD).

No obstante, a diferencia de lo que sucede en el RGPD y especialmente en su artículo 82, la eventual tutela privada de sus normas recibe escasa atención en el RMD, salvo lo dispuesto en su artículo 42 para facilitar que los consumidores puedan hacer valer sus derechos en relación con las obligaciones impuestas a los guardianes de acceso (cdo. 104). Pese a ello, se trata de una posibilidad muy relevante, lo que ha tenido su reflejo en la previsión por algunos legisladores nacionales al adoptar normas de aplicación del RMD previsiones específicas en este sentido. En concreto, entre las modificaciones introducidas en este contexto por el legislador alemán se encuentra la previsión expresa de ejercitar acciones de indemnización por daños como consecuencia de la infracción de los artículos 5 a 7 del RMD (vid. secciones 33(1) y 33a(1) de la Gesetz gegen Wettbewerbsbeschränkungen (GWB), tras su reforma de 2023). 

La incoación por la Comisión de procedimientos con base en el RMD en esta materia pone de relieve el carácter complementario de algunas de sus normas, singularmente de su artículo 5.2, con respecto al RGPD, y cómo el RMD establece un marco de supervisión por parte de la Comisión que puede facilitar una aplicación a nivel de la Unión más efectiva con respecto a los “guardianes de acceso”. Estas constataciones reclaman también la necesidad de coordinación en la aplicación de ambos instrumentos. El ámbito de aplicación subjetivo del RMD, restringido a los “guardianes de acceso”, es coherente con la constatación de que el alcance subjetivo del Dictamen del Comité Europeo sobre Protección de Datos acerca de esta materia es también limitado, en la medida en que, pese a la generalización de los modelos de “consentimiento o pago”, su análisis en relación con el RGPD se restringe a la actividad de las grandes plataformas en línea, que por su posición en el mercado y la eventual existencia de un desequilibrio de poder plantean cuestiones específicas y están asociadas a singulares riesgos en este ámbito.