El Reglamento (UE) 2022/1925 de Mercados Digitales (RMD) complementa el marco derivado del RGPD con respecto a las actividades de los “guardianes de acceso”. Cabe recordar que esa categoría va referida a las empresas prestadoras de servicios básicos de plataforma, designada como tales por la Comisión por cumplir con los requisitos establecidos en el artículo 3 RMD. El RMD es de aplicación “sin perjuicio” del RGPD (considerando 12 RMD) y establece que los intereses de protección de datos de los usuarios finales son pertinentes al evaluar los efectos negativos de la recopilación y acumulación de grandes cantidades de datos de tales usuarios por parte de los guardianes de acceso (cdo. 72), incorpora en su artículo 5 ciertas restricciones específicas aplicable a los guardianes de acceso relevantes en relación con las prácticas de “consentimiento o pago”. En este contexto, el anuncio ayer por parte de la Comisión de sus conclusiones provisionales de que el modelo publicitario de «pagar o consentir» introducido por Meta en noviembre de 2023 -cabe entender que como reacción a la STJUE Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2023:537, reseñada aquí- vulnera lo dispuesto en el artículo 5.2 del RMD, debe ponerse en relación con el reciente Dictamen del Comité Europeo de Protección de Datos sobre de modelos de “consentimiento o pago” desplegados por las grandes plataformas en línea, objeto de esta otra entrada.
Esas conclusiones provisionales de la Comisión
se enmarcan en el procedimiento incoado contra Meta por el incumplimiento del
artículo 5.2 RMD, en relación con su oferta binaria de «pagar o consentir» por
parte de los usuarios de Facebook e Instagram de la UE. Como consecuencia de
ese modelo, tales usuarios tienen que elegir entre, de una parte, la
suscripción mediante una cuota mensual a una versión sin anuncios de los
servicios o, de otra, el acceso gratuito a una versión con anuncios
personalizados. Las conclusiones preliminares anunciadas recientemente por la
Comisión en el marco de ese procedimiento consideran que semejante modelo no
cumple los requisitos que exige el artículo 5.2 RMD.
Cabe recordar que un primer grupo de
obligaciones de los guardianes de acceso incluidas en el artículo 5 RMD van
referidas a aspectos relativos al tratamiento de datos personales, ámbito en el
que la interacción con el RGPD presenta gran relevancia, habida cuenta de que
el RMD resulta de aplicación sin perjuicio de lo dispuesto en los instrumentos
de la Unión sobre datos personales. Se trata de restringir, con el fin de no
obstaculizar la eventual entrada de competidores en el mercado, ciertas
ventajas que los guardianes de acceso pueden obtener gracias a la acumulación
de datos que les permite la posición que ocupan y su acceso a datos de
terceros. En concreto, el apartado 2 del artículo 5 RMD impone a los guardianes
de acceso la obligación de abstenerse de realizar las siguientes prácticas,
salvo que se cumplan determinados requisitos, respecto de cada uno de sus
servicios básicos de plataforma afectados por la designación: a) tratar con el
fin de prestar servicios de publicidad en línea los datos personales de los
usuarios finales que utilicen servicios de terceros que usen esos servicios
básicos de plataforma (por ejemplo, los datos de los clientes de un sitio web
que utiliza para comercializar bienes el servicio de plataforma); b) combinar
datos personales procedentes de esos servicios básicos de plataforma con datos
personales procedentes de cualesquiera otros servicios que proporcione el
guardián de acceso o de servicios de terceros; c) cruzar datos personales
procedentes del servicio básico de plataforma pertinente con otros servicios
que proporcione el guardián de acceso por separado, y viceversa; y d) iniciar
la sesión de usuarios finales en otros servicios del guardián de acceso para
combinar datos personales.
Para que los guardianes de acceso puedan
realizar cualquiera de esas prácticas es necesario que lo haya elegido
libremente el usuario final dando su consentimiento en los términos de los
artículos 4.11 y 7 RGPD después de que el guardián de acceso le hubiera
ofrecido una alternativa menos personalizada, aunque equivalente (salvo que la
degradación de la calidad sea consecuencia directa de que el guardián de acceso
no pueda tratar esos datos personales ni iniciar la sesión de los usuarios finales
en un servicio), y sin condicionar el uso del servicio básico de plataforma (o
de algunas de sus funcionalidades) a ese consentimiento. No se permite que los
guardianes de acceso soliciten a los usuarios finales más de una vez al año
prestar su consentimiento para el mismo fin de tratamiento respecto del cual
hubieran denegado o retirado su consentimiento.
No prestar el consentimiento no debe ser más difícil que prestarlo.
El RMD considera que no resultarán en
principio suficientes para que el guardián de acceso pueda realizar esas
prácticas las condiciones de licitud previstas en las letras b) y f) del
artículo 6.1 RGPD: que el tratamiento sea necesario para la ejecución de un
contrato en el que el interesado sea parte y que el tratamiento sea necesario
para la satisfacción de intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero (cdo. 36 RMD). Se prevé además que “los guardianes
de acceso no deben diseñar, organizar ni explotar sus interfaces en línea de
forma que engañen o manipulen a los usuarios finales o reduzcan o distorsionen
de otro modo de manera sustancial su capacidad de prestar su consentimiento
libremente” (cdo. 37). Si bien se trata de una obligación que con base en el
RGPD cabe entender exigible respecto del tratamiento de datos personales no
solo a los guardianes de acceso, su peculiar posición en el mercado condiciona
la apreciación de si el afectado ha prestado el consentimiento en los términos
exigidos en el RGPD. Por otra parte, la precisión del RMD (pese a que deba
aplicarse sin perjuicio del RGPD) acerca de la inadecuación de las condiciones
de licitud del tratamiento de las letras b) y f) del artículo 6.1 RGPD a estos
efectos resulta ahora coherente con la posición adoptada por el TJUE en
relación con las limitaciones del artículo 6.1.b) RGPD como base jurídica para
el tratamiento de datos personales por parte de redes sociales y otras
plataformas en su mencionada sentencia Meta Platforms e.a. (Conditions
générales d’utilisation d’un réseau social).
En este marco, la Comisión ha anunciado que
el eventual incumplimiento del artículo 5.2 RMD derivaría de que su oferta
binaria de «pagar o consentir» por parte de los usuarios de Facebook e
Instagram es un modelo que no permite a los usuarios optar por un servicio que
utilizando menos datos personales sea equivalente al basado en publicidad
personalizada y, además, tampoco les permite ejercer su derecho a consentir
libremente la combinación de sus datos personales. Se trata de un resultado
provisional sustancialmente coincidente con el alcanzado por el Comité en
relación con el RGPD en el Dictamen reseñado aquí.
Junto a la vertiente sustantiva del RMD, y su
regulación de las prácticas de los “guardianes de acceso” que limitan la
disputabilidad o son desleales, incluyendo la imposición de obligaciones y
prohibiciones específicas como las reseñadas respecto de tales empresas, un
elemento innovador significativo frente al RGPD es el relativo a los mecanismos
de tutela. La Comisión es la única autoridad facultada para hacer cumplir el
RMD. Para garantizar la efectividad práctica del RMD, su Capítulo V atribuye a la
Comisión amplios poderes de investigación (solicitud de información, toma de
declaraciones y realización de inspecciones) y de adopción de medidas
destinadas a garantizar la efectividad práctica de las obligaciones que el RMD
impone. El artículo 29 contempla la adopción por la Comisión de decisiones de
incumplimiento, entre otros supuestos, cuando constate que un guardián de
acceso no cumple cualquiera de las obligaciones establecidas en los artículos
5, 6 o 7 o las medidas especificadas por la Comisión de conformidad con el
artículo 8.2. Las decisiones de incumplimiento pueden dar lugar a la imposición
a los guardianes de acceso de multas sancionadoras muy elevadas. En concreto,
el incumplimiento, de forma intencionada o por negligencia, de cualquiera de las
obligaciones establecidas en los artículos 5, 6 y 7 puede dar lugar a la
imposición por la Comisión de multas sancionadoras de hasta el 10 % del volumen
de negocios total a nivel mundial en el ejercicio anterior del guardián de
acceso, que pueden llegar hasta el 20 % en ciertos casos de reiteración (art.
30).
En el plano práctico, el desarrollo de este
procedimiento incoado frente a Meta refuerza la idea de que el entramado
institucional del RMD y el papel atribuido a la Comisión pueden facilitar la
actividad de supervisión de los grandes prestadores de servicios respecto de
conductas objeto tanto del RMD como del RGPD, reforzando la necesidad de
coordinación en la aplicación de ambos instrumentos. De cara al futuro, puede
resultar también relevante que, al margen de los mecanismos de tutela
jurídico-pública atribuidos a la Comisión, el incumplimiento por parte de los
guardianes de acceso de lo dispuesto en el RMD, especialmente las obligaciones
previstas en los artículos 5 y 6, pueden dar lugar al ejercicio de acciones, en
particular, por perjudicados por sus prácticas contractuales, comerciales o
técnicas contrarias a esas obligaciones. En el contexto de la tutela
jurídico-privada del RMD resultará relevante la previsión en este instrumento
en el sentido de que los órganos jurisdiccionales nacionales no adoptarán
resoluciones que sean contrarias a una decisión adoptada por la Comisión en
virtud del RMD, así como que evitarán adoptar resoluciones que puedan entrar en
conflicto con una decisión prevista por la Comisión en un procedimiento que ya
haya incoado, suspendiendo, en su caso, el procedimiento ante el órgano
jurisdiccional. (cdos. 91 y 92 y art. 39 RMD).
No obstante, a diferencia de lo que sucede en
el RGPD y especialmente en su artículo 82, la eventual tutela privada de sus
normas recibe escasa atención en el RMD, salvo lo dispuesto en su artículo 42
para facilitar que los consumidores puedan hacer valer sus derechos en relación
con las obligaciones impuestas a los guardianes de acceso (cdo. 104). Pese a
ello, se trata de una posibilidad muy relevante, lo que ha tenido su reflejo en
la previsión por algunos legisladores nacionales al adoptar normas de
aplicación del RMD previsiones específicas en este sentido. En concreto, entre
las modificaciones introducidas en este contexto por el legislador alemán se
encuentra la previsión expresa de ejercitar acciones de indemnización por daños
como consecuencia de la infracción de los artículos 5 a 7 del RMD (vid. secciones
33(1) y 33a(1) de la Gesetz gegen Wettbewerbsbeschränkungen
(GWB), tras su reforma de 2023).
La incoación por la Comisión de
procedimientos con base en el RMD en esta materia pone de relieve el carácter
complementario de algunas de sus normas, singularmente de su artículo 5.2, con
respecto al RGPD, y cómo el RMD establece un marco de supervisión por parte de
la Comisión que puede facilitar una aplicación a nivel de la Unión más efectiva
con respecto a los “guardianes de acceso”. Estas constataciones reclaman también
la necesidad de coordinación en la aplicación de ambos instrumentos. El ámbito
de aplicación subjetivo del RMD, restringido a los “guardianes de acceso”, es
coherente con la constatación de que el alcance subjetivo del Dictamen del Comité
Europeo sobre Protección de Datos acerca de esta materia es también limitado,
en la medida en que, pese a la generalización de los modelos de “consentimiento
o pago”, su análisis en relación con el RGPD se restringe a la actividad de las
grandes plataformas en línea, que por su posición en el mercado y la eventual
existencia de un desequilibrio de poder plantean cuestiones específicas y están
asociadas a singulares riesgos en este ámbito.