martes, 15 de octubre de 2024

Redes sociales: implicaciones del principio de minimización de datos y de las restricciones al tratamiento de datos especialmente protegidos

 

          La reciente sentencia del Tribunal de Justicia en el asunto Schrems (Communication de données au grand public), C-446/21, EU:C:2024:834, se enmarca en el contexto de uno de los litigios más notorios contra un prestador de servicio de red social por la pretendida infracción de la legislación de la Unión sobre datos personales. De hecho, ya la STJUE de 25 de enero de 2018, Schrems, C498/16, EU:C:2018:37 -reseñada aquí- tuvo su origen en el mismo litigio principal (apdo. 28 de la nueva sentencia). Por otra parte, la tramitación del procedimiento del asunto C-446/21, que ha dado lugar a la nueva sentencia, estuvo suspendida hasta la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C252/21, EU:C:2023:537 (reseñada aquí). Cabe recordar que en esa sentencia el Tribunal de Justicia se pronunció, entre otras cuestiones, sobre ciertos aspectos del tratamiento de datos sensibles por la misma red social, así como acerca de la insuficiencia de la ejecución del contrato de prestación del servicio de red social como pretendido fundamento de la licitud de ese tratamiento con base en el artículo 6.1.b) RGPD (sobre este tema, también aquí y aquí). Ese precedente condicionó que el órgano remitente retirara dos de sus cuatro cuestiones prejudiciales en el asunto C-446/21, incluida la relativa a la interpretación de los artículos 6.1.a) y 6.1.b) RGPD. Más allá de su esclarecedor relato acerca del modelo de negocio de Meta y de la amplitud del tratamiento de datos personales para la elaboración de perfiles orientados a la eficacia y rentabilidad de la publicidad personalizada, mediante la utilización de cookies, social plugins o complementos sociales y píxeles de seguimiento (apdos. 16 a 19), la nueva sentencia -que complementa especialmente a la recaída en el asunto C-252/21- presenta el interés de abordar las implicaciones del principio de minimización de datos (art. 5.1.c) RGPD) como fuente de restricciones a un tratamiento de datos tan amplio como el que ha venido siendo característico de la red social implicada con respecto a sus usuarios. Además, el Tribunal de Justicia realiza precisiones acerca de los límites a la circunstancia de que un tratamiento se refiera a datos personales que el interesado ha hecho manifiestamente públicos como excepción a la prohibición del tratamiento de las categorías especiales de datos personales del artículo 9 RGPD, incluidos los datos relativos a la vida sexual o la orientación sexual de una persona física (art. 9.1 y 9.2.e) RGPD).

             Con respecto a las implicaciones del principio de minimización de datos, el Tribunal de Justicia destaca su aplicación acumulativa con el resto de los principios del artículo 5 RGPD (apdo. 47), incluido el de responsabilidad proactiva que requiere que el responsable sea capaz de demostrar el cumplimiento de tales principios (apdo. 51), así como la circunstancia de que la minimización es reflejo del principio de proporcionalidad (apdo. 49). Seguidamente, el Tribunal destaca la importancia a esos efectos de la limitación temporal del tratamiento de datos, pues las consecuencias sobre la vida privada del interesado son directamente proporcionales a la duración del tratamiento y el principio de «limitación del plazo de conservación» del artículo 5.1.e) RGPD requiere que los datos sean mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento, de modo que el tratamiento deviene ilícito si supera ese límite temporal (apdos. 52 a 58).

             Al proyectar esos presupuestos sobre el tratamiento de datos de sus usuarios llevado a cabo por Meta, el Tribunal, en línea con el planteamiento del Abogado General en sus conclusiones, establece, por una parte, la conservación, durante un período ilimitado de los datos personales de los usuarios de la plataforma de red social con el fin de proponerles publicidad específica resulta una injerencia desproporcionada en los derechos que el RGPD garantizados a tales usuarios (apdo. 58). Por otra parte, atribuye especial relevancia a los grandes riesgos inherentes al gran volumen de datos personales que trata una red social como Facebook y a la amplitud con la que ese tratamiento tiene lugar para ofrecer publicidad personalizada, como puso ya de relieve en su sentencia en el asunto C252/21. Cabe recordar que ya en aquella ocasión el Tribunal de Justicia puso de relieve cuando el tratamiento de datos personales por parte de la red social, como los relativos a la consulta por el usuario de páginas de Internet y de aplicaciones, incluye datos que por sí solos, o mediante su puesta en relación con las cuentas de los usuarios afectados en la red social, permiten revelar información de datos sensibles o «categorías especiales de datos personales», objeto de especial protección conforme al artículo 9 RGPD, tanto de un usuario como de cualquier persona física, resultará de aplicación lo dispuesto en el artículo 9.

            Tras recordar que el principio de minimización excluye que el responsable del tratamiento pueda proceder "de manera generalizada e indiferenciada, a la recogida de datos personales", debiendo abstenerse de recoger los que no sean estrictamente necesarios en relación con los fines del tratamiento, el Tribunal concluye ahora que el uso indiferenciado de todos los datos personales en poder de una plataforma de red social con fines publicitarios, independientemente del grado de sensibilidad de tales datos, es una injerencia desproporcionada en el derecho a la protección de datos de sus usuarios (apdos. 59 y 63).

            En este contexto, aunque no resulte de aplicación al litigio principal ni se aborde en la sentencia, resulta de interés que en la actualidad una red social como la que es objeto del litigio principal, en tanto que guardián de acceso conforme al Reglamento (UE) 2022/1925 sobre mercados disputables y equitativos en el sector digital (Reglamento de Mercados Digitales), está sometida a restricciones en este ámbito adicionales a las contenidas en el RGPD. Así, cabe recordar que el artículo 5.2 del Reglamento de Mercados Digitales impone significativas restricciones a los guardianes de acceso en relación con ciertas prácticas relativas a datos personales, como el tratamiento, con el fin de prestar servicios de publicidad en línea, de los datos personales de los usuarios finales que utilicen servicios de terceros que hagan uso de los servicios básicos de plataforma del guardián de acceso; y la combinación de datos personales procedentes de los servicios básicos de plataforma pertinentes con datos personales procedentes de otros servicios (más sobre esta cuestión, aquí).

          Con respecto al tratamiento de categorías especiales de datos personales conforme al artículo 9 RGPD, cabe recordar que ya en su mencionada sentencia en el asunto C-252/21 el Tribunal de Justicia puso de relieve que para determinar la licitud del tratamiento de datos personales que lleva a cabo el operador de la red social en las situaciones en las que se incluye algún dato perteneciente a alguna de las categorías especiales de datos comprendidos en el artículo 9 RGPD -incluidos los de orientación sexual-, resulta clave valorar el alcance de las diez excepciones a la prohibición de principio del tratamiento de tales datos que se establecen previstas en su apartado 2. En relación con las redes sociales, en la medida en que no puedan acreditar que “el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados” (art. 9.2.a RGP) o que se trate de una situación en la que "el Derecho de la Unión o de los Estados miembros establezca que la prohibición" de tratamiento de esa categoría de datos especialmente protegida "no puede ser levantada por el interesado" (art. 9.2.a RGP), reviste normalmente especial interés concretar en qué situaciones cabe entender que el interesado ha hecho manifiestamente públicos los datos personales en cuestión, lo que resultará determinante de que no opere respecto de ellos la prohibición de tratamiento (art. 9.2.e RGPD). 

    De hecho, conforme al artículo 9.2.a) RGPD, la posibilidad de que el el interesado dé su consentimiento explícito para el tratamiento de tales datos personales no opera "cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición" de tratamiento de tales datos personales especialmente protegidos no puede ser levantada por el interesado. A este respecto, el artículo 9.1 de la LO 3/2018 o LOPDGDD, establece que, a los efectos del artículo 9.2.a) RGPDD, "el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico". Por lo tanto, el eventual recurso al consentimiento explícito del interesado para el tratamiento de sus datos personales es uno de los ámbitos en las que, en la medida en que existan diferencias entre las legislaciones de los Estados miembros, se puede plantear la necesidad de concretar en las situaciones transfronterizas la legislación o legislaciones a las que queda sometido el responsable.

En su sentencia en el asunto C-252/21 el Tribunal de Justicia aportó una serie de pautas para abordar la cuestión de cuándo cabe entender que el interesado ha hecho manifiestamente públicos datos personales en relación con la actividad llevada a cabo por el interesado en la propia red social. Como criterio de base destaca que tal excepción sólo puede operar en la medida en que se constate que el interesado “ha pretendido, de manera explícita y mediante un acto positivo claro, hacer accesibles al público en general los datos personales en cuestión” (apdo. 77 de la sentencia en el asunto C-252/21). Cuando con su actividad relativa a la red social, incluyendo la interactuación con sitios de Internet o aplicaciones de terceros,  el usuario difunde ciertos datos (como sus preferencias, por ejemplo, mediante botones como “me gusta”) entre el público en general, en principio, puede haberlos hecho manifiestamente públicos; ahora bien, el Tribunal de Justicia estableció que sólo cabe considerar que el usuario ha hecho manifiestamente públicos esos datos a los efectos del artículo 9.2.e) RGPD en el caso de que la configuración de la red social permita a los usuarios decidir que los datos introducidos en los sitios de Internet o en las aplicaciones en cuestión, incluidos los relativos a la activación de los botones de selección, resulten accesibles al público en general o, por el contrario, a un número más o menos limitado de personas seleccionadas. Ello requiere que la red social ofrezca al usuario una configuración individual mediante la que puede expresar claramente con pleno conocimiento de causa su decisión de que tales datos resulten accesibles a un número ilimitado de personas, (apdos. 82-83 de la sentencia en el asunto C-252/21). 

La aportación de la nueva sentencia sobre el particular radica, por una parte, en que el Tribunal de Justicia aborda un supuesto de situación en el que al margen de la actividad en la red social una persona puede haber hecho manifiestamente público un dato sensible a los efectos del artículo 9.2 RGPD. El Tribunal constata que tal puede ser el caso cuando una persona formula una declaración sobre su orientación sexual en una mesa redonda abierta al público, transmitida en directo y publicada después como pódcast y en un canal de Youtube (apdos. 78 y 79 de la nueva sentencia).

Por otra parte, en relación con la actividad de la red social, reviste de interés que la sentencia aborda las implicaciones de esa circunstancia con respecto a la práctica de la red social de tratar conjuntamente otros datos relativos a la orientación sexual de esa persona que la red ha obtenido incluso a partir de aplicaciones y de sitios de Internet de terceros asociados, agregando todos esos datos para proponerle publicidad personalizada. El Tribunal de Justicia establece que la circunstancia de que la excepción del artículo 9.2.e) RGPD resulte aplicable, en su caso, al concreto dato sobre su orientación sexual que el interesado hizo manifiestamente público en la mesa redonda, no permite a la red social el tratamiento de otros datos personales relativos a la orientación sexual de esta persona, pues, en particular, esa circunstancia no basta para considerar que esa persona ha dado su consentimiento explícito a la red social -a los efectos de la excepción del art. 9.2.a) RGPD- para el tratamiento de esos otros datos especialmente protegidos (apdos. 81 y 82 de la nueva sentencia).