1. El caso Meta Platforms contra Bundeskartellamt está despertando mucho interés en la comunidad jurídica por dos razones. La primer es por poner en contacto dos ámbitos aparentemente tan alejados como la protección de datos y la defensa de la competencia. La segunda, porque una de sus partes es una de las grandes tecnológicas mundiales: Meta Platforms, originalmente Facebook. Además, confirma la importancia de los datos para la economía actual y la preocupación que existe por evitar su monopolización. El pasado 20 de septiembre el Abogado General Sr. Athanasios Rantos publicó sus conclusiones, que vale la pena comentar aunque no se apartan de lo esperado. Sin embargo, antes que nada, resulta necesario conocer los hechos del caso para hacerse una composición de lugar.
El origen se halla en una resolución de la autoridad alemana de la competencia, el Bundeskartellamt, que falla que Meta Platforms ha abusado de su posición de dominio al no ajustarse al Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (B6‑22/16, de 6 de febrero de 2019). Consecuentemente, le impone diversas sanciones, entre las que destaca la prohibición de utilizar los datos personales de sus clientes para el tratamiento previsto en las condiciones generales de sus servicios de redes sociales. La empresa sancionada interpone recurso ante el Oberlandesgericht Düsseldorf alegando, esencialmente, que una autoridad de la competencia no puede aplicar el Reglamento General de Protección de Datos (RGPD) y cuestionando la interpretación y aplicación de diversos preceptos de esta norma. Ante las dudas exegéticas que se le suscita, el órgano judicial alemán plantea diversas cuestiones prejudiciales que giran alrededor de cuatro ejes: a) la competencia de una autoridad nacional de la competencia para valorar si el tratamiento de datos que hace una empresa se ajusta al RGPD; b) el alcance de la prohibición del tratamiento de datos personales sensibles; c) los requisitos para la licitud del tratamiento de los datos personales en virtud de determinadas justificaciones; d) prestación de un consentimiento libre para que una empresa que detenta una posición de dominio trate datos personales.
2. Antes de responder, Athanasios Rantos explica, a grandes rasgos, el modelo económico de Meta Platforms. Subraya que consiste en vender publicidad en línea hecha a medida de los usuarios gracias a los datos que obtiene de éstos, tanto a partir de sus propios servicios como de sitios de internet y aplicaciones de terceros a los que acceden. “El núcleo del presente asunto reside en la práctica consistente en la práctica consistente, en primer lugar, en la recogida de datos procedentes de otros servicios propios del grupo, así como de sitios de Internet y de aplicaciones de terceros, por medio de interfaces insertadas en estos o mediante cookies instaladas en el ordenador o dispositivo móvil del usuario, en segundo lugar, en la combinación de estos datos con la cuenta de Facebook del usuario afectado y, en tercer lugar, en la utilización de dichos datos (en lo sucesivo, ‘práctica controvertida’)” (párr. 10).
3. El primer grupo de cuestiones prejudiciales gira alrededor de la legitimación de una autoridad de la competencia para aplicar la normativa de protección de datos; en particular, para examinar si el tratamiento de los datos personales de los clientes que hace una empresa se ajusta a las exigencias del Reglamento General de Protección de Datos. Como era de esperar, la respuesta del Abogado General depende de que la aplicación de esta norma sea a título principal o incidental. En el primer caso, las autoridades de la competencia carecen de legitimación puesto que excede de sus funciones y hay entes específicos encargados de esta misión, las llamadas “autoridades de control”. Ahora bien, el Abogado General Rontos propone al Tribunal de Justicia no responder a esta cuestión porque la autoridad alemana de la competencia no sancionó a Meta Platforms por infringir el RGPD sino por abuso de posición de dominio; es decir, no aplicó el Reglamento a título principal.
En cambio, la autoridad de la competencia sí puede pronunciarse sobre la vulneración de la normativa de protección de datos a título incidental. Es decir, no puede declarar que se ha vulnerado el derecho de una persona física, pero sí valorar si una o varias empresas han cometido un ilícito anticoncurrencial debido al modo en que han tratado los datos personales de sus clientes o de terceros. Así, en el caso que nos ocupa, el Abogado General afirma que el Bundeskartellamt podía interpretar y aplicar el Reglamento General de Protección de Datos para examinar si Meta Platforms estaba compitiendo en méritos. Al considerar que su comportamiento no se ajustaba a las exigencias del citado Reglamento, falló correctamente que había abusado de su posición de dominio. En otras palabras, la autoridad alemana de la competencia aplicó el § 19 de la Ley alemana de Defensa de la Competencia (Gesetz gegen Wettbewerbsbeschränkungen). No obstante, sí acudió al RGPD, aunque a efectos exegéticos: la infracción de esta norma constituye un indicio de que una empresa que detenta una posición de dominio ha abusado de su poder.
“Por consiguiente, considero que el examen de un abuso de posición dominante en el mercado puede justificar que una autoridad de defensa de la competencia interprete normas que no están comprendidas en el ámbito de aplicación del Derecho de la competencia, como las del RGPD, precisando que tal examen se efectúa de manera incidental y no prejuzga la aplicación de dicho Reglamento realizada por las autoridades de control competentes”. (párr. 24)
4. La propuesta de Athanasios Rantos abre las puertas al problema de la disparidad de soluciones respecto de la valoración de un tratamiento de los datos. Efectivamente, es posible que una autoridad de control y una autoridad de la competencia se pronuncien sobre el mismo caso y lleguen a conclusiones contradictorias[i]. Para neutralizar este riesgo, el Abogado General acude al principio de cooperación leal previsto en el artículo 4.3 del Tratado de la Unión Europea, que generan obligaciones de información y cooperación. En aplicación suya, las autoridades de la competencia deben informar y colaborar con las autoridades de control antes de aplicar incidentalmente el RGPD. Así, deberá averiguar cuál es la doctrina de la autoridad de control competente sobre el extremo que esté analizando y no deberá apartarse de ella. En caso de que no exista ninguna resolución al respecto, pero esté en curso, la autoridad de la competencia deberá esperar a su pronunciamiento en la medida en que sea adecuado y respete el plazo de investigación. Igualmente, deberá informar del expediente en el que esté trabajando a la autoridad de control competente.
Así las cosas, el párrafo 33 contiene la propuesta de respuesta del Tribunal de Justicia siguiente: “… los artículos 51 a 66 del RGPD deben interpretarse en el sentido de que una autoridad de defensa de la competencia, en el marco de sus facultades en el sentido de las normas en materia de competencia, puede examinar, con carácter incidental, la conformidad de las prácticas examinadas con las normas del RGPD, teniendo en cuenta cualquier decisión o investigación de la autoridad de control competente en virtud del RGPD e informando y, en su caso, consultando a la autoridad nacional de control.”
5. El segundo grupo de cuestiones prejudiciales afecta al artículo 9 del RGPD que regula los datos personales sensibles. El apartado 1.º prohíbe su tratamiento pero el 2.º lo permite cuando esté justificado con alguna de las razones que enumera. Se plantea la duda acerca de cuándo hay tratamiento. Athanasios Rantos rechaza que la mera recogida de información relativa a la etnia, religión, afiliación sindical, opinión política u orientación sexual, por ejemplo, merezca esta calificación. Pero sí existe “tratamiento” cuando se combinan informaciones de diferentes fuentes sobre esos extremos; por ejemplo, las que Meta Platforms obtiene de sus redes sociales y de las páginas de internet o aplicaciones de terceros. Ubica la clave de este tema en la posibilidad de elaborar un perfil del usuario según las categorías del artículo 9.1 del RGPD (párrs. 38 ss.
En cuanto a la justificación del tratamiento, centra su atención en la letra e) del apartado 2.º (“el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos”). Rechaza que concurra por el simple hecho de que el interesado haya publicado información personal en las redes sociales o en otros sitios de internet. De un lado, los supuestos enumerados en el apartado 2.º del artículo 9 deben interpretarse de forma restrictiva al tratarse de excepciones a la regla general (prohibición del tratamiento de datos personales sensibles). De otro, la información publicada en páginas web solo está a disposición del administrador, en principio, pero no de terceros. De ahí que formule la propuesta siguiente:
“En el presente asunto, considero que un comportamiento que consiste en consultar sitios de Internet y aplicaciones, en introducir datos en esos sitios y esas aplicaciones y en accionar botones de función integrados en ellos no puede, en principio, asimilarse a un comportamiento que haga manifiestamente públicos los datos personales sensibles del usuario en el sentido del artículo 9, apartado 2, punto 2, letra e) del RGPD.” (párr. 43)
6. El tercer grupo de cuestiones tiene por objeto las justificaciones para el tratamiento de los datos. Se pregunta al Tribunal de Justicia qué requisitos son necesarios para considerar que es necesario para la ejecución de un contrato, para la satisfacción de intereses legítimos, o bien para responder a una petición lícita de determinados datos, la necesidad de combatir un comportamiento nocivo y mejorar la seguridad o los fines de la investigación por el bien de la sociedad y en aras de la protección, la integridad y la seguridad. Tras recordar que el responsable del tratamiento debe probar los fines y la base jurídica que lo legitima, el Abogado General centra su atención en la ejecución de un contrato y la satisfacción de intereses legítimos. En cuanto a la primera, subraya que debe existir una relación de necesidad objetiva entre el tratamiento y la ejecución de un contrato “… en el sentido de que no deben existir otras soluciones realistas y menos intrusivas, habida cuenta de las expectativas razonables del interesado” (párr. 54). Para que la satisfacción de los intereses legítimos del responsable justifique el tratamiento, deben concurrir tres requisitos acumulativamente: “primero, que el responsable del tratamiento o el tercero o terceros a quienes se comuniquen los datos persigan un interés legítimo; segundo, que el tratamiento sea necesario para la satisfacción de ese interés legítimo y, tercero, que no prevalezcan los derechos fundamentales y libertades fundamentales del interesado en la protección de los datos” (párr. 59). El Tribunal Superior Regional de lo Civil y Penal de Düsseldorf alude a la personalización de la publicidad, la seguridad de la red y la mejora de los productos. Athanasios Rontos considera que no concurren los requisitos necesarios para que justifiquen el tratamiento de los datos personales en el caso en cuestión (párrs. 63 ss. Consecuentemente,
“…propongo que se responda a las cuestiones prejudiciales tercera a quinta que el artículo 6, apartado 1, letras b), c), d), e) y f), del RGPD debe interpretarse en el sentido de que la práctica controvertida o algunas de las actividades que la conforman pueden estar comprendidas en las excepciones previstas en estas disposiciones, siempre que cada modalidad de tratamiento de datos examinada cumpla las condiciones previstas respecto de la justificación específicamente formulada por el responsable del tratamiento y que, por lo tanto:
– el tratamiento sea objetivamente necesario para la prestación de los servicios relativos a la cuenta de Facebook;
– el tratamiento sea necesario para la satisfacción de un interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos y no afecte de manera desproporcionada a los derechos fundamentales y libertades fundamentales del interesado;
– el tratamiento sea necesario para responder a una petición lícita de determinados datos, de combatir un comportamiento nocivo y de mejorar la seguridad o con fines de investigación por el bien de la sociedad y en aras de la protección, la integridad y la seguridad.” (párr. 70)
7. El último tema abordado es la libertad del consentimiento como justificación del tratamiento cuando el responsable es una empresa que detenta posición de dominio. Antes que nada, conviene recordar que el consentimiento del interesado constituye una de las justificaciones del tratamiento de los datos personales (art. 6.1.a del RGPD); incluso cuando tienen carácter sensible (art. 9.2.a) del RGPD). Ahora bien, para que pueda desarrollar esta función es necesario que sea libre. La duda que se plantea es si existe tal libertad cuando el responsable tiene un gran poder de mercado. El considerando 43 avala las dudas que se generan: “Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento.”
Tras recordar qué significa el “consentimiento del interesado”, basándose en la definición del art. 4.11 del RGPD, el Abogado General subraya que debe ser libre y afirma que el desequilibrio económico entre las partes puede poner en cuestión su concurrencia. Así sucede cuando el responsable del tratamiento detenta una posición de dominio. Ahora bien, la simple existencia de ésta no significa necesariamente que el interesado no haya permitido voluntariamente que el responsable utilice sus datos. Simplemente habrá que tener en cuenta esta circunstancia al valorar si ha existido esa causa de justificación. Por otra parte, niega que sea aplicable el artículo 102 TFUE en este ámbito (párrafo 75).
“ En conclusión, propongo que se responda a la sexta cuestión prejudicial que el artículo 6, apartado 1, letra a), y el artículo 9, apartado 2, letra a), del RGPD deben interpretarse en el sentido de que la mera circunstancia de que la empresa que administra una red social disfrute de una posición dominante en el mercado nacional de las redes sociales en línea para usuarios privados no puede, por sí sola, privar al consentimiento del usuario de dicha red para el tratamiento de sus datos personales de su carácter válido en el sentido del artículo 4, apartado 11, del RGPD. No obstante, tal circunstancia incide en la apreciación de la libertad del consentimiento en el sentido de dicha disposición, que incumbe demostrar al responsable del tratamiento, habida cuenta, en su caso, de la existencia de un desequilibrio claro de las relaciones de fuerza entre el interesado y el responsable del tratamiento, de la posible obligación de prestar consentimiento para el tratamiento de datos personales distintos de los estrictamente necesarios para la prestación de los servicios en cuestión, de la necesidad de que el consentimiento sea específico para cada finalidad de tratamiento y de la necesidad de evitar que la retirada del consentimiento suponga un perjuicio para el usuario que retire su consentimiento.” (párr. 77)
La respuesta del Abogado General es totalmente lógica y esperable. El hecho de que exista un desequilibrio económico incide en la configuración de la voluntad puesto que es harto frecuente que la parte fuerte imponga sus condiciones a la débil. Ahora bien, no tiene porqué ser así; sobre todo, en un ámbito tan crítico como la protección de los datos personales -especialmente los sensibles-. Además, considerar que no hay consentimiento libre cuando el responsable del tratamiento tiene una posición de dominio lesiona la libertad contractual y de empresa. En cuanto a la “posición de dominio”, se trata de un concepto ajeno al Reglamento General de Protección de Datos: no encontramos ninguna referencia a él a lo largo de todo el artículo. La idea que subyace al considerando 43, y que cabe aplicar para valorar si el consentimiento es libre (arts. 4.11, 6.1.a) y 9.2.a) del RGPD), es el desequilibrio de poder. Si existe una parte fuerte y otra débil, habrá que prestar mucha atención a las circunstancias del caso y al desarrollo de la relación para valorar si el interesado ha permitido la utilización de sus datos personales. Y es lo que sucederá normalmente si el responsable del tratamiento tiene una posición de dominio; pero no tanto porque una empresa tiene tanto poder de mercado que puede actuar con independencia de los clientes, competidores, proveedores y consumidores (STJUE de 13.2.1979, Hoffmann-La Roche v. Comisión (C-86/76)[ii], sino porque existe una disparidad de fuerzas que hace temer que el consentimiento de la parte débil no haya sido libre.
Dr. Carlos Górriz López
[i] Cabe añadir que la justicia europea se ha pronunciado recientemente sobre el principio non bis in idem. Por razones de espacio nos limitamos a remitirnos a los tres fallos más recientes: STJUE de 25 de febrero de 2021, Slovak Telekom a.s., (C-857/19); STJUE de 22 de marzo de 2022, Bpost SA, (C-117/20) y STJUE de 22 de marzo de 2022, Nordzucker AG, (C-151/20).
[ii] “…The dominant position thus referred to relates to a position of economic strength enjoyed by an undertaking which enables it to prevent effective competition being maintained on the relevant market by affording it the power to behave to an appreciable extent independently of its competitors, its customers and ultimately of the consumers…”