Las recientes Directrices conjuntas sobre la
interacción entre el Reglamento de Mercados Digitales (RMD) y el Reglamento
General de Protección de Datos (RGPD) (Joint Guidelines on the Interplay between the Digital Markets Act and the General Data Protection Regulation), todavía en consulta pública, adoptadas por la Comisión Europea y el Comité
Europeo de Protección de Datos, presentan especial interés en relación con la
aplicación práctica del artículo 5.2 RMD. Esa disposición impone prohibiciones
a los guardianes de acceso con respecto a sus servicios básicos de plataforma
en relación con el tratamiento de datos personales con fines de prestación de
servicios de publicidad en línea, combinación, uso cruzado o inicio de sesión
de usuarios finales con el fin de combinar datos personales. Se trata de
restricciones al tratamiento de datos personales adicionales a las que resultan
de aplicación al conjunto de los responsables del tratamiento conforme al RGPD,
que se vinculan con la peculiar posición en el mercado de los guardianes de acceso
y la ingente cantidad de datos personales objeto de tratamiento en el marco de sus
servicios (una somera presentación de conjunto del RMD puede leerse aquí, mientras que la lista actual de guardianes de acceso y sus respectivos
servicios básicos de plataforma designados está accesible aquí).
I. Contenido del artículo 5.2 RMD
Con el fin de no
obstaculizar la eventual entrada de competidores en el mercado, el artículo 5.2
ciertas prácticas de las que podrían pretender aprovecharse los guardianes de
acceso en el contexto de la acumulación de datos personales derivada de la posición
que sus servicios básicos de plataforma relevantes ocupan en el mercado. En
concreto, el apartado 2 del artículo 5 RMD impone a los guardianes de acceso la
obligación de abstenerse de realizar las siguientes prácticas, salvo que se
cumplan determinados requisitos, respecto de cada uno de sus servicios básicos
de plataforma afectados por la designación: a) tratar con el fin de prestar
servicios de publicidad en línea los datos personales de los usuarios finales
que utilicen servicios de terceros que usen esos servicios básicos de
plataforma (por ejemplo, los datos de los clientes de un sitio web que utiliza
para comercializar bienes el servicio de plataforma); b) combinar datos
personales procedentes de esos servicios básicos de plataforma con datos
personales procedentes de cualesquiera otros servicios que proporcione el
guardián de acceso o de servicios de terceros; c) cruzar datos personales
procedentes del servicio básico de plataforma pertinente con otros servicios
que proporcione el guardián de acceso por separado, y viceversa; y d) iniciar
la sesión de usuarios finales en otros servicios del guardián de acceso para
combinar datos personales.
Para que los
guardianes de acceso puedan realizar cualquiera de esas prácticas es necesario
que se cumplan dos requisitos cumulativos conforme al artículo 5.2 RMD. Por una
parte, que el tratamiento en cuestión haya sido elegido libremente por el
usuario final prestando su consentimiento en los términos de los artículos 4.11
y 7 RGPD a esa opción específica. Además, se requiere que previamente el
guardián de acceso le hubiera ofrecido una alternativa menos personalizada al
tratamiento en cuestión, aunque equivalente (salvo que la degradación de la
calidad sea consecuencia directa de que el guardián de acceso no pueda tratar
esos datos personales ni iniciar la sesión de los usuarios finales en un
servicio -cdo. 37 RMD-), y sin condicionar el uso del servicio básico de
plataforma (o de algunas de sus funcionalidades) a ese consentimiento. No se
permite que los guardianes de acceso soliciten a los usuarios finales más de
una vez en el plazo de un año prestar su consentimiento para el mismo fin de
tratamiento respecto del cual hubieran denegado o retirado su consentimiento. No
prestar el consentimiento no debe ser más difícil que prestarlo.
El artículo 5.2 RMD precisa
que su contenido debe entenderse sin perjuicio de la posibilidad de que el
guardián de acceso funde su tratamiento de datos personales en las bases de
licitud previstas en las letras c) -cumplimiento de una obligación legal-, d) -protección
de intereses vitales- y e) - cumplimiento
de una misión realizada en interés público- del artículo 6.1 RGPD (vid.,
al respecto, apdos. 78 a 82 de las Directrices conjuntas). En consecuencia, el
RMD considera que no resultan en principio suficientes para que el guardián de
acceso pueda realizar esas prácticas las condiciones de licitud previstas en las
letras b) y f) del artículo 6.1 RGPD: que el tratamiento sea necesario para la
ejecución de un contrato en el que el interesado sea parte y que el tratamiento
sea necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero (cdo. 36 RMD). De este modo, el
artículo 5.2 RMD limita las condiciones de licitud en las que los guardianes de
acceso pueden basarse al llevar a cabo determinados tratamientos de datos
personales de los usuarios finales. La precisión del RMD acerca de la
inadecuación de las condiciones de licitud del tratamiento de las letras b) y
f) del artículo 6.1 RGPD a estos efectos resulta coherente con la posición
adoptada por el TJUE en relación a las bases jurídicas admisibles para el
tratamiento de datos personales por parte de redes sociales y otras plataformas
cuando ocupan una posición predominante en el mercado.
Con respecto al alcance del artículo 5.2 RMD,
resulta relevante que las Directrices conjuntas incluyen precisiones significativas
respecto de las actividades de tratamiento objeto de restricción conforme al
artículo 5.2 RMD. En lo relativo a las actividades de tratamiento con el fin de
prestar servicios de publicidad en línea objeto del artículo 5.2.a) RMD, se
destaca que esta restricción se proyecta sobre el tratamiento por los
guardianes de acceso de los datos personales de los usuarios finales de
servicios de terceros que dependen de los servicios de publicidad en línea de
los guardianes de acceso para publicar anuncios en los propios servicios del
guardián de acceso o en los servicios de otros terceros. Cuando un usuario
final interactúa directamente con un sitio web, servicio o aplicación de
terceros que utiliza el servicio básico de plataforma del guardián de acceso,
el artículo 5.2.a) RMD exige que los guardianes obtengan el consentimiento de
los usuarios finales a través de ese sitio web, servicio o aplicación del
tercero (apdo. 55 de las Directrices conjuntas).
La restricción del artículo 5.2.b) RMD va
referida a la combinación de datos personales procedentes de los servicios
básicos de plataforma pertinentes del guardián de acceso con datos personales
procedentes de cualesquiera servicios básicos de plataforma adicionales o de
cualquier otro servicio que proporcione el guardián de acceso o con datos
personales procedentes de servicios de terceros. Como ejemplos de tales
combinaciones de datos personales, las Directrices conjuntas hacen referencia al
uso de los datos personales de un usuario final, como sus intereses, obtenidos
de diferentes servicios del guardián de acceso, o el uso de información sobre el
comportamiento del usuario final en sitios web de terceros en combinación con
datos personales obtenidos de servicios del guardián acceso, con el fin de
proporcionar contenido personalizado. Se destaca que en los casos en que los
usuarios finales interactúan directamente con los servicios de un guardián de
acceso, y este pretende combinar los datos personales obtenidos de dichas
interacciones con datos personales de servicios de terceros, el guardián debe
obtener directamente el consentimiento requerido por el artículo 5.2 RMD de los
usuarios finales que interactúen con sus propios servicios (apdo. 59 de las Directrices
conjuntas).
Un ejemplo de actividades de uso cruzado de
datos personales del usuario final objeto de restricción en virtud del artículo
5.2.c) RMD es el uso de la información del usuario final o del comportamiento
observado en un servicio básico de plataforma del guardián de acceso (como los
«me gusta», el contenido visto o el tiempo de sesión) por parte del guardián de
acceso en otro de sus servicios. La restricción opera en la medida en que los
dos servicios en cuestión se presten por separado (apdo. 62 de las Directrices
conjuntas).
Por último, cabe también reseñar un ejemplo
del tratamiento consistente en el inicio de sesión de usuarios finales en otros
servicios del guardián de acceso para combinar datos personales a los efectos
del artículo 5.2.d) RMD. Sería el caso de una situación en la que para combinar
tales datos un guardián de acceso que proporciona un servicio básico de plataforma
consistente en un sistema operativo -como Google Android, iOS, iPadOS o Windows
PC OS- inicia sesión automáticamente en nombre de los usuarios finales en otras
aplicaciones o servicios del guardián que están instalados en el sistema
operativo (apdo. 65 de las Directrices conjuntas).
II. Contexto de las nuevas Directrices conjuntas
1. Jurisprudencia del TJUE
Las restricciones del artículo 5.2 RMD al
tratamiento de datos personales, así como la precisión en el mismo acerca de la
inadecuación a esos efectos de las condiciones de licitud del tratamiento de
las letras b) y f) del artículo 6.1 RGPD, se introdujeron en un contexto en el
que el régimen de los modelos llamados de consentimiento (al tratamiento de
datos personales para facilitar la publicidad comportamental) o pago desarrollados
por ciertas redes sociales constituía un elemento de controversia en la aplicación
del RGPD. Aportación clave en la
jurisprudencia del TJUE fue su sentencia de 4 de julio de 2023, Meta
Platforms e.a. (Conditions générales d’utilisation d’un réseau social),
C-252/21, EU:C:2023:537, especialmente en lo relativo a los límites de ciertas
bases de licitud del tratamiento de datos personales establecidas en el
artículo 6 del RGPD en relación con la red social en línea Facebook.
En relación con la actividad de los grandes
prestadores de servicios de red social, el TJUE estableció que el empleo del
término “necesario para la ejecución de un contrato” en el artículo 6.1.b) RGPD
supone que el tratamiento de datos en cuestión “debe ser objetivamente
indispensable para conseguir un fin que forme parte integrante de la prestación
contractual destinada al interesado”, lo que implica que el responsable debe
poder demostrar “por qué el objeto principal del contrato no podría alcanzarse
sin el tratamiento en cuestión” (apdo. 98). El tratamiento de datos debe ser
“esencial para permitir la correcta ejecución del contrato” celebrado entre el
responsable y el interesado, sin que “existan otras soluciones practicables y
menos intrusivas” (apdo. 99), lo que debe evaluarse en el contexto de cada uno
de los varios servicios o de elementos separados de un servicio a los que vaya
referido el contrato en cuestión (apdo. 100). La justificación basada en la
personalización de los contenidos no resulta suficiente a los efectos del
artículo 6.1.b) RGPD. La personalización no se considera objetivamente
indispensable para una finalidad que forme parte integrante de los servicios de
red social (apdo. 102).
El limitado alcance como base de licitud de
la relativa a que el tratamiento sea necesario para la ejecución de un contrato
en el que el interesado es parte -art. 6.1.b) RGPD-, condiciona el interés del
responsable del tratamiento por obtener el consentimiento del interesado y
poder fundar así el tratamiento en la base prevista en el artículo 6.1.a). La
referencia expresa por el TJUE a que la obtención del consentimiento del
interesado en los términos exigidos por el RGPD puede requerir, en determinadas
situaciones, que el prestador de servicios de red social ofrezca a los
usuarios, como alternativa a la aceptación del tratamiento de sus datos
personales, una opción equivalente no acompañada de tales operaciones de
tratamiento de datos “en su caso a cambio de una remuneración adecuada” (apdo.
150 de la sentencia), fue un elemento relevante en la evolución de algunos de esos
modelos de negocio.
En esa misma sentencia el Tribunal de
Justicia abordó los límites de la satisfacción de intereses legítimos
perseguidos por el responsable o por un tercero, como base alternativa del
tratamiento de datos personales de sus usuarios por las redes sociales
(artículo 6.1.f) RGPD). Como posibles “intereses legítimos” que podrían fundar
su tratamiento si concurrieran los requisitos del artículo 6.1.f) RGPD, destaca
el análisis de la personalización de la publicidad, en la medida en que el
Tribunal lo vincula con la gratuidad del servicio de red social prestado por
Facebook. Pese a que el tratamiento de datos personales con fines de
mercadotecnia directa pueda constituir un interés legítimo del responsable a
los efectos de esa norma, el Tribunal de Justicia rechazó que ese sea el caso
cuando la ponderación se proyecta sobre el tratamiento de datos personales que
la red social lleva a cabo para personalizar la publicidad a cambio de ofrecer
los servicios de manera gratuita.
La eventual imposibilidad por parte del
operador de la red social de fundar el tratamiento de datos controvertido en
las bases de licitud relativas a la necesidad para la ejecución del contrato (art.
6.1.b RGPD) y a la satisfacción de intereses legítimos del responsable (art.
6.1.f RGPD), atribuye especial relevancia al consentimiento por parte del
interesado (art. 6.1.a) y, con respecto al consentimiento explícito cuando se
trata de categorías especiales de datos, art. 9.2.a) RGPD). A este respecto, la
sentencia Meta Platforms e.a puso de relieve que la peculiar situación
del operador de una red social que ocupa una posición de dominio en el mercado
no excluye que el interesado pueda dar su consentimiento y que el mismo sea la
base jurídica del tratamiento, pero sí exige la imposición de requisitos
específicos para poder establecer que los usuarios han prestado libremente su
consentimiento a un tratamiento de datos personales como el controvertido, a
los efectos de que ese consentimiento sea conforme con el artículo 4.11 RGPD. En
primer lugar, se exige que en el marco del proceso contractual los usuarios
tengan “la libertad de negarse individualmente a prestar su consentimiento a
operaciones particulares de tratamiento de datos que no sean necesarias para la
ejecución del contrato, sin verse por ello obligados a renunciar íntegramente a
la utilización del servicio ofrecido por el operador de la red social en línea,
lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una
remuneración adecuada, una alternativa equivalente no acompañada de tales
operaciones de tratamiento de datos” (apdo. 150 de la sentencia). En segundo
lugar, con carácter adicional, se exige que se permita a los usuarios dar su
consentimiento por separado, por una parte, con respecto al tratamiento de los
datos relativos a su comportamiento dentro de la red social, y, por otra, con
respecto al resto de los datos. Sin esta posibilidad debe presumirse que su
consentimiento con respecto a los datos que no van referidos a su
comportamiento en la red social no es libre.
2. Comité Europeo de Protección de Datos
Por su parte, el Comité Europeo de Protección
de Datos al adoptar su Dictamen 8/2024 sobre de modelos de “consentimiento o
pago” desplegados por las grandes plataformas en línea, concluyó que el
ofrecimiento al interesado por grandes plataformas de la mera posibilidad de
elegir entre dos opciones, como es propio de los modelos más simples de
“consentimiento o pago”, no cumplirá, según el criterio del Comité, en las
situaciones típicas con lo que es exigible para que el consentimiento sea libre
y válido a los efectos del RGPD. En el Dictamen 8/2024 se considera que lo
apropiado a esos efectos es que el responsable ofrezca al interesado alguna
alternativa de otro tipo, en particular una alternativa equivalente que no
implique el pago de un precio, como una versión gratuita con formas diferentes
de publicidad que no impliquen el tratamiento de datos personales o impliquen
el tratamiento de un menor número de datos personales sin publicidad
comportamental. El ofrecimiento de esa opción adicional facilitará la prueba
por parte del responsable de que el consentimiento ha sido prestado de manera
libre y se ha dado al interesado una elección real cuando ha optado por
consentir el tratamiento de sus datos personales (apdos. 75 a 77 del Dictamen).
Además, puede resultar determinante para apreciar que se ha eliminado o
reducido el perjuicio -tener que pagar para acceder al servicio o no poder
acceder- que puede suponer para los usuarios no prestar su consentimiento, lo
que constituye una exigencia en especial en las situaciones en las que concurre
un claro desequilibrio de poder entre el responsable y el interesado (apdos.
78-79 y 96 y ss en relación con los criterios para establecer la existencia de
desequilibrio).
En lo relativo a las condiciones para el
consentimiento, el Comité prestó especial atención a la previsión en el
artículo 7.4 RGPD, acerca de la necesidad de controlar si la prestación del
servicio se supedita al consentimiento al tratamiento de datos personales que
no son necesarios para tal prestación. Puso de relieve que de la mencionada sentencia Meta Platforms e.a
resulta que los modelos de “consentimiento o pago” no están en principio
prohibidos, pero interpretó la posición del Tribunal al respecto en el sentido
de que a los interesados que opten por no dar su consentimiento debe
ofrecérseles una "alternativa equivalente", lo que puede ser
determinante para apreciar que los interesados no se enfrenten a una situación
de condicionalidad que dé lugar a un consentimiento inválido (apdo. 117). Esa
"alternativa equivalente" se referiría a una versión alternativa del
servicio ofrecido por el mismo responsable del tratamiento que no implique el
consentimiento para el tratamiento de datos personales con fines de publicidad
comportamental. El Dictamen consideró que, si la versión alternativa es
diferente sólo en la medida necesaria como consecuencia de que el responsable
se ve privado de la posibilidad de tratar datos personales con fines de
publicidad comportamental, en principio podrá considerarse equivalente.
3. Comisión Europea
Por su parte, en el plano de la aplicación
del RMD destaca la incoación por la Comisión de un procedimiento contra Meta
por el incumplimiento del artículo 5.2 RMD, en relación con la introducción en
noviembre de 2023 de una oferta binaria de «pagar o consentir» por parte de los
usuarios de Facebook e Instagram de la UE. Como consecuencia de ese modelo,
tales usuarios tienen que elegir entre, de una parte, la suscripción mediante
una cuota mensual a una versión sin anuncios de los servicios o, de otra, el
acceso gratuito a una versión con anuncios personalizados. La Comisión estableció
que semejante modelo no cumple los requisitos que exige el artículo 5.2 RMD
imponiendo a Meta una multa de 200 millones de euros por su incumplimiento (DMA.100055,
Non-compliance decisión based onArt.29 of 23.04.2025). Tal incumplimiento deriva básicamente de que
se trata de un modelo que no permite a los usuarios optar por un servicio que
utilizando menos datos personales sea equivalente al basado en publicidad
personalizada y, además, tampoco les permite ejercer su derecho a consentir
libremente la combinación de sus datos personales.
III. Las Directrices conjuntas y la interpretación del artículo 5.2 RMD
1. Opción específica del tratamiento y exigencia de un servicio
alternativo menos personalizado pero equivalente
Sobre estos aspectos, las nuevas Directrices parten del contenido de los considerandos 36 y 37 RMD, antes reseñados. Además, dejan claro que la versión menos personalizada, pero por lo demás equivalente, del servicio para los usuarios que no dan su consentimiento no debe incluir ninguna actividad de tratamiento que requiera el consentimiento con arreglo al artículo 5.2 RMD.
Cuando el guardián de acceso pretenda tratar datos personales en
distintos servicios al tiempo que ofrece la alternativa menos personalizada,
dicho tratamiento debe ser susceptible de bien ser considerado uso cruzado de
datos personales entre servicios no prestados por separado (que no está sujeto
al requisito de consentimiento previsto en el artículo 5.2.c) RMD); o bien
estar fundado en alguna de las condiciones de licitud del artículo 6.1.c), d) o
e) del RGPD, que siguen estando disponibles como bases para el tratamiento conforme
al artículo 5.2 RMD (apdos. 27 y 78 a 82 de las Directrices conjuntas).
Si bien las actividades de tratamiento en el
servicio alternativo menos personalizado, pero por lo demás equivalente, no
requieren el consentimiento con base en el artículo 5.2 RMD, dicho tratamiento
debe ser conforme con el RGPD, de modo que con frecuencia la base para el
tratamiento será el consentimiento conforme al artículo 6.1.a) RGPD (apdo. 28
de las Directrices conjuntas).
2. Consentimiento
Con respecto a la exigencia del artículo 5.2
RMD de que el usuario final haya dado su consentimiento en el sentido de los
artículos 4.11 y 7 RGPD al tratamiento en cuestión, las Directrices conjuntas proyectan
el contenido de documentos previos del Comité acerca de los requisitos para que
el consentimiento del interesado sea conforme con esas disposiciones, que
requieren una “manifestación de voluntad libre, específica, informada e
inequívoca” por parte del interesado. Se trata, en particular, de sus Directrices
05/2020 sobre el consentimiento en el RGPD y el mencionado Dictamen 8/2024 sobre
los modelos de consentimiento o pago.
El requisito de que el consentimiento sea
específico implica que, cuando los guardianes de acceso soliciten el
consentimiento para un tratamiento de datos personales comprendido en el artículo
5.2 RMD en relación con diversos fines, deben ofrecer una opción de aceptación
independiente para cada uno de tales fines. En la medida en que finalidades como
la personalización de contenidos, la personalización de anuncios y el
desarrollo de servicios son distintas, se considera necesario guardián de acceso
obtenga consentimientos separados si el guardián desea combinar o utilizar de
forma cruzada datos personales en los términos del artículo 5.2.b) y d) RMD de
la manera descrita en el artículo 5, apartado 2, letras b) a d), de la DMA (apdo.
31 de las Directrices conjuntas).
En lo relativo a la exigencia de que el
consentimiento sea libre, las Directrices abordan las implicaciones del criterio
de que el consentimiento no debe considerarse libremente prestado cuando el
interesado no puede denegar o retirar su consentimiento sin sufrir perjuicio
alguno, lo que poder ser demostrado por el responsable (considerando 42 RGPD).
Como ejemplos de perjuicio a esos efectos, se hace referencia al engaño, la
intimidación, la coacción o las consecuencias negativas significativas para el
interesado si no da su consentimiento. Se destaca que el desequilibrio de poder
entre los responsables del tratamiento que actúan como guardianes y los
usuarios finales (interesados) también puede afectar a la libertad (y, por
tanto, a la validez) del consentimiento expresado por estos últimos. El
consentimiento no se considera libre en los casos en que exista algún elemento
de coacción o presión que menoscabe la posibilidad de ejercer el libre albedrío,
lo que, tratándose de guardianes de acceso, puede ser el caso cuando su posición
en el mercado suponga que los interesados no tienen otros servicios
alternativos a su disposición (apdos. 34 y 35 de las Directrices conjuntas).
El considerando 37 RMD exige que, al
solicitar el consentimiento, el guardián de acceso presente proactivamente al
usuario final una solución fácil de usar para prestar, modificar o retirar el
consentimiento de manera expresa, clara y sencilla. Se trata de una exigencia
coincidente con lo dispuesto en el artículo 7.2 RGPD, de modo que las
Directrices conjuntas básicamente reiteran indicaciones ya contenidas en documentos
previos del Comité en materia de consentimiento. Se destaca la relevancia para
cumplir con ese requisito del diseño del flujo de consentimiento en la interfaz
en línea del usuario, que debe presentarse de forma objetiva y visualmente
neutra, sin incluir elementos que puedan inducir a error o empujar a los
usuarios finales a dar un consentimiento no deseado, que no cumpliría con lo
exigido por el RMD (y el RGPD) (apdo. 45 de las Directrices conjuntas).
El artículo 5.2 RMD
impone límites específicos a la reiteración de solicitudes de consentimiento. Conforme
a esa disposición, cuando el usuario final haya denegado o retirado el
consentimiento prestado respecto de los tratamientos objeto de restricción en
esa norma, se prohíbe al guardián de acceso solicitar el consentimiento para el
mismo fin más de una vez en el plazo de un año. Las Directrices ponen de
relieve que esta prohibición no puede eludirse mediante la presentación por los
guardianes de acceso de solicitudes de consentimiento ligeramente modificadas dentro
del mismo año, que tengan por objeto obtener el consentimiento para las mismas
operaciones de tratamiento y para fines esencialmente idénticos. La exigencia
de no repetir las solicitudes de consentimiento más de una vez al año resulta
de aplicación a partir de la fecha en que los usuarios finales tomen una
decisión concediendo o denegando activamente su consentimiento (apdo. 48 de las
Directrices conjuntas).
3. Actividades de tratamiento que no requieren consentimiento en el marco
del artículo 5.2 RMD
Ha quedado ya reseñado que la restricción
impuesta en el artículo 5.2.c) RMD a las prácticas consistentes en cruzar datos
personales procedentes del servicio básico de plataforma pertinente con otros
servicios que proporcione el guardián de acceso sólo comprende las situaciones
en que tales servicios sean prestados por el guardián de acceso por separado.
Por su parte, el considerando 36 RMD hace referencia a “servicios que no se
prestan junto con el servicio básico de plataforma pertinente o en apoyo de
este, y viceversa”. Las Directrices conjuntas incluyen aportaciones específicas
acerca de cuándo concurre o la situación de que los servicios se presten por
separado.
Como ejemplos de servicios que pueden
entenderse prestados conjuntamente -y, por lo tanto, quedar al margen de la
restricción del art. 5.2.c) RMD- se hace referencia a aquellos que presentan
una estrecha conexión funcional con el servicio básico de plataforma relevante
del guardián de acceso, como servicios de identificación, de pago o publicitarios
cuando la publicidad se muestra en ese servicio (apdo. 68). Ahora bien,
solo los datos personales que sean
estrictamente necesarios para proporcionar dicha funcionalidad interconectada, en
consonancia con las expectativas razonables de los usuarios finales, pueden ser
utilizados sin que resulte necesario recabar el consentimiento de los interesados
en los términos del artículo 5.2. Además, la conservación de los datos personales que hayan sido utilizados de
forma cruzada por el guardián debe limitarse al tiempo necesario para llevar a cabo
la función correspondiente (apdo. 69).
Desde la perspectiva del RGPD, las
Directrices conjuntas ponen de relieve que el uso cruzado de datos personales
por parte del guardián entre servicios prestados conjuntamente o en apoyo
mutuo, en situaciones en las que el tratamiento es objetivamente necesario para
la ejecución del contrato, puede, previa evaluación caso por caso por parte del
responsable del tratamiento, fundarse el artículo 6.1.b) RGPD, sin necesidad de
consentimiento del interesado. Tal puede ser el caso del uso cruzado de los
datos personales del usuario final recogidos en un servicio básico de la
plataforma respecto de un servicio de pago también prestado por el guardián de
acceso para tramitar un pago. También la base jurídica para el tratamiento prevista
en el artículo 6.1.f) RGPD, en relación con la necesidad para la satisfacción
de intereses legítimos, puede ser relevante en este contexto. Por ejemplo, el
uso cruzado de datos personales recogidos en el servicio básico de la
plataforma del guardián en un servicio publicitario del guardián que se presta de
manera conjunta puede considerarse llevado a cabo por un interés legítimo del guardián
de acceso (apdos. 73 a 75 de las Directrices conjuntas).
