La reciente sentencia del Tribunal de Justicia en el asunto Schrems
(Communication de données au grand public), C-446/21, EU:C:2024:834, se enmarca en el contexto de
uno de los litigios más notorios contra un prestador de servicio de red social
por la pretendida infracción de la legislación de la Unión sobre datos
personales. De hecho, ya la STJUE de 25 de enero de 2018, Schrems, C‑498/16,
EU:C:2018:37 -reseñada aquí- tuvo su origen en el mismo litigio
principal (apdo. 28 de la nueva sentencia). Por otra parte, la tramitación del
procedimiento del asunto C-446/21, que ha dado lugar a la nueva sentencia,
estuvo suspendida hasta la
sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones
generales del servicio de una red social), C‑252/21, EU:C:2023:537
(reseñada aquí). Cabe recordar que en esa sentencia el
Tribunal de Justicia se pronunció, entre otras cuestiones, sobre ciertos
aspectos del tratamiento de datos sensibles por la misma red social, así como
acerca de la insuficiencia de la ejecución del contrato de prestación del
servicio de red social como pretendido fundamento de la licitud de ese
tratamiento con base en el artículo 6.1.b) RGPD (sobre este tema, también aquí y aquí). Ese precedente condicionó que el órgano
remitente retirara dos de sus cuatro cuestiones prejudiciales en el asunto
C-446/21, incluida la relativa a la interpretación de los artículos 6.1.a) y
6.1.b) RGPD. Más allá de su esclarecedor relato acerca del modelo de negocio de
Meta y de la amplitud del tratamiento de datos personales para la elaboración
de perfiles orientados a la eficacia y rentabilidad de la publicidad personalizada,
mediante la utilización de cookies,
social plug‑ins o complementos sociales y píxeles de seguimiento
(apdos. 16 a 19), la nueva sentencia -que complementa especialmente a la
recaída en el asunto C-252/21- presenta el interés de abordar las implicaciones
del principio de minimización de datos (art. 5.1.c) RGPD) como fuente de
restricciones a un tratamiento de datos tan amplio como el que ha venido siendo
característico de la red social implicada con respecto a sus usuarios. Además, el
Tribunal de Justicia realiza precisiones acerca de los límites a la
circunstancia de que un tratamiento se refiera a datos personales que el
interesado ha hecho manifiestamente públicos como excepción a la prohibición del
tratamiento de las categorías especiales de datos personales del artículo 9
RGPD, incluidos los datos relativos a la vida sexual o la orientación sexual de
una persona física (art. 9.1 y 9.2.e) RGPD).
Con respecto a las
implicaciones del principio de minimización de datos, el Tribunal de Justicia destaca
su aplicación acumulativa con el resto de los principios del artículo 5 RGPD
(apdo. 47), incluido el de responsabilidad proactiva que requiere que el
responsable sea capaz de demostrar el cumplimiento de tales principios (apdo.
51), así como la circunstancia de que la minimización es reflejo del principio
de proporcionalidad (apdo. 49). Seguidamente, el Tribunal destaca la importancia
a esos efectos de la limitación temporal del tratamiento de datos, pues las
consecuencias sobre la vida privada del interesado son directamente
proporcionales a la duración del tratamiento y el principio de «limitación del
plazo de conservación» del artículo 5.1.e) RGPD requiere que los datos sean mantenidos
de forma que se permita la identificación de los interesados durante no más
tiempo del necesario para los fines del tratamiento, de modo que el tratamiento
deviene ilícito si supera ese límite temporal (apdos. 52 a 58).
Al proyectar esos
presupuestos sobre el tratamiento de datos de sus usuarios llevado a cabo por
Meta, el Tribunal, en línea con el planteamiento del Abogado General en sus conclusiones, establece, por una parte, la conservación, durante un período ilimitado de los datos personales de
los usuarios de la plataforma de red social con el fin de proponerles
publicidad específica resulta una injerencia desproporcionada en los derechos
que el RGPD garantizados a tales usuarios (apdo. 58). Por otra parte, atribuye
especial relevancia a los grandes riesgos inherentes al gran volumen de datos
personales que trata una red social como Facebook y a la amplitud con la que
ese tratamiento tiene lugar para ofrecer publicidad personalizada, como puso ya
de relieve en su sentencia en el asunto C‑252/21. Cabe recordar que ya en aquella
ocasión el Tribunal de Justicia puso de relieve cuando el tratamiento de datos
personales por parte de la red social, como los relativos a la consulta por el
usuario de páginas de Internet y de aplicaciones, incluye datos que por sí
solos, o mediante su puesta en relación con las cuentas de los usuarios
afectados en la red social, permiten revelar información de datos sensibles o
«categorías especiales de datos personales», objeto de especial protección
conforme al artículo 9 RGPD, tanto de un usuario como de cualquier persona
física, resultará de aplicación lo dispuesto en el artículo 9.
Tras recordar que el
principio de minimización excluye que el responsable del tratamiento pueda
proceder "de manera generalizada e indiferenciada, a la recogida de datos
personales", debiendo abstenerse de recoger los que no sean estrictamente
necesarios en relación con los fines del tratamiento, el Tribunal concluye
ahora que el uso indiferenciado de todos los datos personales en poder de una
plataforma de red social con fines publicitarios, independientemente del grado
de sensibilidad de tales datos, es una injerencia desproporcionada en el
derecho a la protección de datos de sus usuarios (apdos. 59 y 63).
En este contexto, aunque
no resulte de aplicación al litigio principal ni se aborde en la sentencia,
resulta de interés que en la actualidad una red social como la que es objeto del
litigio principal, en tanto que guardián de acceso conforme al Reglamento (UE)
2022/1925 sobre mercados disputables y equitativos en el sector digital (Reglamento
de Mercados Digitales), está sometida a restricciones en este ámbito
adicionales a las contenidas en el RGPD. Así, cabe recordar que el artículo 5.2
del Reglamento de Mercados Digitales impone significativas restricciones a los guardianes
de acceso en relación con ciertas prácticas relativas a datos personales, como
el tratamiento, con el fin de prestar servicios de publicidad en línea, de los datos
personales de los usuarios finales que utilicen servicios de terceros que hagan
uso de los servicios básicos de plataforma del guardián de acceso; y la
combinación de datos personales procedentes de los servicios básicos de
plataforma pertinentes con datos personales procedentes de otros servicios (más sobre esta cuestión, aquí).
Con respecto al tratamiento de categorías especiales de datos personales conforme al artículo 9 RGPD, cabe recordar que ya en su mencionada sentencia en el asunto C-252/21 el Tribunal de Justicia puso de relieve que para determinar la licitud del tratamiento de datos personales que lleva a cabo el operador de la red social en las situaciones en las que se incluye algún dato perteneciente a alguna de las categorías especiales de datos comprendidos en el artículo 9 RGPD -incluidos los de orientación sexual-, resulta clave valorar el alcance de las diez excepciones a la prohibición de principio del tratamiento de tales datos que se establecen previstas en su apartado 2. En relación con las redes sociales, en la medida en que no puedan acreditar que “el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados” (art. 9.2.a RGP) o que se trate de una situación en la que "el Derecho de la Unión o de los Estados miembros establezca que la prohibición" de tratamiento de esa categoría de datos especialmente protegida "no puede ser levantada por el interesado" (art. 9.2.a RGP), reviste normalmente especial interés concretar en qué situaciones cabe entender que el interesado ha hecho manifiestamente públicos los datos personales en cuestión, lo que resultará determinante de que no opere respecto de ellos la prohibición de tratamiento (art. 9.2.e RGPD).
De hecho, conforme al artículo 9.2.a) RGPD, la posibilidad de que el el interesado dé su consentimiento explícito para el tratamiento de tales datos personales no opera "cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición" de tratamiento de tales datos personales especialmente protegidos no puede ser levantada por el interesado. A este respecto, el artículo 9.1 de la LO 3/2018 o LOPDGDD, establece que, a los efectos del artículo 9.2.a) RGPDD, "el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico". Por lo tanto, el eventual recurso al consentimiento explícito del interesado para el tratamiento de sus datos personales es uno de los ámbitos en las que, en la medida en que existan diferencias entre las legislaciones de los Estados miembros, se puede plantear la necesidad de concretar en las situaciones transfronterizas la legislación o legislaciones a las que queda sometido el responsable.
En su sentencia en el asunto C-252/21 el Tribunal de Justicia aportó una serie de pautas para abordar la cuestión de cuándo cabe entender que el interesado ha hecho manifiestamente públicos datos personales en relación con la actividad llevada a cabo por el interesado en la propia red social. Como criterio de base destaca que tal excepción sólo puede operar en la medida en que se constate que el interesado “ha pretendido, de manera explícita y mediante un acto positivo claro, hacer accesibles al público en general los datos personales en cuestión” (apdo. 77 de la sentencia en el asunto C-252/21). Cuando con su actividad relativa a la red social, incluyendo la interactuación con sitios de Internet o aplicaciones de terceros, el usuario difunde ciertos datos (como sus preferencias, por ejemplo, mediante botones como “me gusta”) entre el público en general, en principio, puede haberlos hecho manifiestamente públicos; ahora bien, el Tribunal de Justicia estableció que sólo cabe considerar que el usuario ha hecho manifiestamente públicos esos datos a los efectos del artículo 9.2.e) RGPD en el caso de que la configuración de la red social permita a los usuarios decidir que los datos introducidos en los sitios de Internet o en las aplicaciones en cuestión, incluidos los relativos a la activación de los botones de selección, resulten accesibles al público en general o, por el contrario, a un número más o menos limitado de personas seleccionadas. Ello requiere que la red social ofrezca al usuario una configuración individual mediante la que puede expresar claramente con pleno conocimiento de causa su decisión de que tales datos resulten accesibles a un número ilimitado de personas, (apdos. 82-83 de la sentencia en el asunto C-252/21).
La aportación de la nueva sentencia sobre el
particular radica, por una parte, en que el Tribunal de Justicia aborda un
supuesto de situación en el que al margen de la actividad en la red social una
persona puede haber hecho manifiestamente público un dato sensible a los
efectos del artículo 9.2 RGPD. El Tribunal constata que tal puede ser el caso
cuando una persona formula una declaración sobre su orientación sexual en una
mesa redonda abierta al público, transmitida en directo y publicada después
como pódcast y en un canal de Youtube (apdos. 78 y 79 de la nueva sentencia).
Por otra parte, en relación con la actividad
de la red social, reviste de interés que la sentencia aborda las implicaciones
de esa circunstancia con respecto a la práctica de la red social de tratar
conjuntamente otros datos relativos a la orientación sexual de esa persona que
la red ha obtenido incluso a partir de aplicaciones y de sitios de Internet de
terceros asociados, agregando todos esos datos para proponerle publicidad
personalizada. El Tribunal de Justicia establece que la circunstancia de que la
excepción del artículo 9.2.e) RGPD resulte aplicable, en su caso, al concreto dato
sobre su orientación sexual que el interesado hizo manifiestamente público en
la mesa redonda, no permite a la red social el tratamiento de otros datos
personales relativos a la orientación sexual de esta persona, pues, en
particular, esa circunstancia no basta para considerar que esa persona ha dado
su consentimiento explícito a la red social -a los efectos de la excepción del
art. 9.2.a) RGPD- para el tratamiento de esos otros datos especialmente protegidos
(apdos. 81 y 82 de la nueva sentencia).