{"id":481,"date":"2023-07-31T12:27:53","date_gmt":"2023-07-31T10:27:53","guid":{"rendered":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/?p=481"},"modified":"2024-03-18T18:02:07","modified_gmt":"2024-03-18T16:02:07","slug":"tratamiento-de-datos-personales-y-defensa-de-la-competencia-meta-platforms-inc-v-bundeskartellamt","status":"publish","type":"post","link":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/2023\/07\/31\/tratamiento-de-datos-personales-y-defensa-de-la-competencia-meta-platforms-inc-v-bundeskartellamt\/","title":{"rendered":"Tratamiento de datos personales y defensa de la competencia (Meta Platforms Inc v Bundeskartellamt)"},"content":{"rendered":"\n<p>Como a estas alturas de curso ya voy en reserva, he estado tentado de hacer una entrada muy breve, del tipo: \u201cEl TJUE confirma las conclusiones del Abogado General, que ya hab\u00eda explicado en una entrada anterior (<a href=\"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/2023\/02\/02\/proteccion-de-datos-y-defensa-de-la-competencia-meta-platforms-contra-bundeskartellamt-i\/\">aqu\u00ed<\/a>)\u201d. Pero creo que es mejor que me explaye algo m\u00e1s y as\u00ed me gane el sueldo extra que me paga el IP del proyecto [s\u00ed, el G\u00f3rriz se ha levantado \u2018graciosillo\u2019 hoy]. Y a esos efectos vale la pena empezar subrayando que la sentencia del TJUE de 4 de julio de 2023 (<a href=\"https:\/\/curia.europa.eu\/juris\/document\/document_print.jsf?mode=lst&amp;pageIndex=0&amp;docid=275125&amp;part=1&amp;doclang=ES&amp;text=&amp;dir=&amp;occ=first&amp;cid=5897675\" target=\"_blank\" rel=\"noreferrer noopener\"><em>Meta Platforms Inc et al contra Bundeskartellamt<\/em>, C-252\/21<\/a>) entronca con la esencia de nuestra investigaci\u00f3n porque versa sobre la explotaci\u00f3n empresarial de los datos personales de los consumidores. En efecto, el modelo de negocio de Meta Platforms pivota alrededor de la informaci\u00f3n personal de una parte de sus usuarios, que utiliza para ofrecer servicios publicitarios a sus clientes empresariales (v\u00e9ase los p\u00e1rrafos 27 ss.). El problema es que ha hecho un tratamiento de la misma que no es conforme con la normativa comunitaria, raz\u00f3n por la cual la autoridad alemana de la competencia la ha sancionado. En particular, ha considerado que hab\u00eda abusado de su posici\u00f3n de dominio (art. 19.1 de la Ley alemana contra las Restricciones de la Competencia), lo que ha derivado en la imposici\u00f3n de una sanci\u00f3n. En la resoluci\u00f3n de 6 de febrero de 2019 prohibi\u00f3 a la empresa de Mark Zuckerberg que las condiciones generales de sus servicios supeditaran el acceso a sus redes sociales en Alemania a aceptar el tratamiento de sus datos. Las empresas sancionadas impugnaron la resoluci\u00f3n ante el Tribunal Superior Regional de lo Civil y Penal de D\u00fcsseldorf, que formul\u00f3 una petici\u00f3n de decisi\u00f3n prejudicial sobre la ex\u00e9gesis de los arts. 4.3 del TUE y 6.1, 9.1 y .2, 51.1 y 56.1 del Reglamento 2016\/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protecci\u00f3n de las personas f\u00edsicas en lo que respecta al tratamiento de datos personales y a la libre circulaci\u00f3n de estos datos y por el que se deroga la Directiva 95\/46\/CE (Reglamento General de Protecci\u00f3n de Datos o RGPD)<strong>.<\/strong><\/p>\n\n\n\n<p>A pesar de que las cuestiones prejudiciales giran alrededor del tratamiento de datos personales, el Tribunal de Justicia empieza con un tema estrechamente relacionado con la defensa de la competencia: la legitimaci\u00f3n del <em>Bundeskartellamt<\/em> para valorar la conformidad de unas condiciones generales con el Reglamento cita. El problema se plantea porque esta norma conf\u00eda su control a las autoridades p\u00fablicas independientes designadas por los Estados miembros, que son diferentes de las autoridades nacionales de la competencia. En el caso de Alemania, el <em>Bundeskartellamt <\/em>no es la autoridad de protecci\u00f3n de datos. Sin embargo, hay que tener en cuenta que la aplicaci\u00f3n que hizo del Reglamento se enmarcaba en un procedimiento de defensa de la competencia, pues estaba valorando si Meta Platforms y dos filiales suyas hab\u00edan abusado de su posici\u00f3n de dominio. Y ese hecho deviene esencial para el caso, pues la instituci\u00f3n judicial europea se pronuncia a favor de la autoridad alemana de la competencia. No estaba suplantando a las autoridades de protecci\u00f3n de datos ni ejerciendo sus funciones, puesto que no aplic\u00f3 el RGPD para proteger los derechos y libertades fundamentales de las personas f\u00edsicas ni para facilitar la libre circulaci\u00f3n de los datos personales dentro de la Uni\u00f3n Europea. Lo estaba aplicando de forma tangencial para valorar si una empresa que detenta posici\u00f3n de dominio estaba obstaculizando el mantenimiento de la competencia en el mercado utilizando medios diferentes de los que rigen una competencia eficiente.<\/p>\n\n\n\n<pre class=\"wp-block-verse\">\u201c\u2026 la conformidad o no conformidad de tales actividades con las disposiciones del RGPD puede constituir, en su caso, un indicio relevante, entre las circunstancias pertinentes del caso concreto, para determinar si dichas actividades constituyen medios que rigen una competencia normal y para evaluar las consecuencias de una determinada pr\u00e1ctica en el mercado o para los consumidores\u201d (p\u00e1rr. 47).<\/pre>\n\n\n\n<p>La soluci\u00f3n del Tribunal de Justicia genera un problema porque posibilita que dos administraciones p\u00fablicas diferentes se pronuncien sobre el mismo supuesto de tratamiento de datos y lleguen a soluciones contrapuestas. Para resolverlo, la instituci\u00f3n judicial europea recurre al principio de cooperaci\u00f3n leal, previsto en el art. 4.3 del TUE. En aplicaci\u00f3n suya, afirma que cuando las autoridades nacionales de la competencia tienen que examinar la conformidad de una actividad con el Reglamento General de Protecci\u00f3n de Datos, deben ponerse de acuerdo y cooperar lealmente con las autoridades de control nacionales interesadas o con la autoridad de control principal, estando todas obligadas respetar sus respectivos poderes y competencias.<\/p>\n\n\n\n<pre class=\"wp-block-verse\">\u201cEn el presente asunto, de los autos que obran ante el Tribunal de Justicia se desprende que, durante los meses de octubre y noviembre de 2018, es decir, antes de la adopci\u00f3n de la resoluci\u00f3n de 6 de febrero de 2019, la Autoridad Federal de Defensa de la Competencia se puso en contacto con el Bundesbeauftragte f\u00fcr den Datenschutz und die Informationsfreiheit (BfDI) (Comisario Federal de Protecci\u00f3n de Datos y Libertad de Informaci\u00f3n, Alemania), con el Hamburgische Beauftragte f\u00fcr Datenschutz und Informationsfreiheit (Comisario de Protecci\u00f3n de Datos y Libertad de Informaci\u00f3n de Hamburgo, Alemania), competente en lo que ata\u00f1e a Facebook Deutschland, y con la Data Protection Commission (DPC) (Autoridad de Protecci\u00f3n de Datos, Irlanda), para informar a dichas autoridades de su intervenci\u00f3n. Resulta, adem\u00e1s, que la Autoridad Federal de Defensa de la Competencia obtuvo la confirmaci\u00f3n de que dichas autoridades no estaban llevando a cabo ninguna investigaci\u00f3n sobre hechos similares a los del litigio principal, y tales autoridades no formularon objeci\u00f3n alguna respecto a la intervenci\u00f3n de la Autoridad Federal de Defensa de la Competencia. Por \u00faltimo, en los apartados 555 y 556 de su resoluci\u00f3n de 6 de febrero de 2019, la Autoridad Federal de Defensa de la Competencia hizo referencia expresa a esta cooperaci\u00f3n\u201d (p\u00e1rr. 60).<\/pre>\n\n\n\n<p>Los dos siguientes grupos de cuestiones que se plantean tienen por objeto el tratamiento de datos personales. Como este tema no entra dentro de mi especialidad, me limito a resumir las respuestas del Tribunal de Justicia y contestar a los que se quejen: \u201cDoctores tiene la Santa Madre Iglesia [y este proyecto de investigaci\u00f3n] que os sabr\u00e1n responder\u201d. Empecemos por la justificaci\u00f3n del tratamiento de los datos personales de los usuarios de la red social por parte del titular de \u00e9sta (Meta Platforms). Como la autoridad alemana de la competencia hab\u00eda considerado que aqu\u00e9llos no hab\u00edan dado su consentimiento, deb\u00eda investigar las dem\u00e1s causas de licitud previstas en el art\u00edculo 6.1 del RGPD. La instituci\u00f3n judicial europea recuerda que este precepto contiene una lista exhaustiva y taxativa de los casos en que el tratamiento es l\u00edcito. Empieza con la ejecuci\u00f3n de un contrato del que el interesado es parte (letra b). Para que justifique un tratamiento no consentido expresamente, \u201c\u2026debe ser objetivamente indispensable para conseguir un fin que forme parte integrante de la prestaci\u00f3n contractual destinada al interesado. As\u00ed pues, el responsable del tratamiento debe poder demostrar por qu\u00e9 el objeto principal del contrato no podr\u00eda alcanzarse sin el tratamiento en cuesti\u00f3n\u201d (p\u00e1rr. 98). Por lo tanto, no deben existir otras soluciones practicables y menos intrusivas. La letra c) del art. 6.1 tambi\u00e9n permite el tratamiento cuando sea necesario para el cumplimiento de una obligaci\u00f3n legal del responsable. El TJUE se limita a explicar que no ha recibido informaci\u00f3n suficiente del \u00f3rgano requirente al respecto. La letra d) alude a la necesidad de proteger intereses vitales del interesado o de otra persona f\u00edsica. El Tribunal ubicado en Luxemburgo afirma que no parece probable que Meta Platforms pueda alegar con \u00e9xito esta justificaci\u00f3n al prestar servicios de car\u00e1cter esencialmente econ\u00f3mico. Y lo mismo sucede con la letra e), que apela a \u201c\u2026el cumplimiento de una misi\u00f3n realizada en inter\u00e9s p\u00fablico o en el ejercicio de poderes p\u00fablicos conferidos al responsable del tratamiento\u201d. Por \u00faltimo, la letra f) permite un tratamiento si es necesario para la satisfacci\u00f3n de intereses leg\u00edtimos perseguidos por el responsable o por un tercero. El TJUE explica que esta justificaci\u00f3n lleva impl\u00edcitos tres requisitos acumulativos: el responsable debe perseguir un inter\u00e9s leg\u00edtimo, el tratamiento debe ser necesario para su satisfacci\u00f3n y no deben prevalecer los intereses o derechos y libertades fundamentales del interesado en la protecci\u00f3n de datos sobre el inter\u00e9s leg\u00edtimo del responsable del tratamiento. No parecen concurrir en el caso objeto de examen. En el p\u00e1rrafo 126 responde que \u201c\u2026 solo puede considerarse necesario para la satisfacci\u00f3n de intereses leg\u00edtimos perseguidos por el responsable del tratamiento o por un tercero, con arreglo a esa disposici\u00f3n, si dicho operador ha indicado a los usuarios de los que se han obtenido los datos un inter\u00e9s leg\u00edtimo perseguido por el tratamiento de estos, si el referido tratamiento se lleva a cabo dentro de los l\u00edmites de lo estrictamente necesario para la satisfacci\u00f3n de ese inter\u00e9s leg\u00edtimo y si de una ponderaci\u00f3n de los intereses en conflicto se desprende, habida cuenta de todas las circunstancias pertinentes, que los intereses o las libertades y los derechos fundamentales de esos usuarios no prevalecen sobre el citado inter\u00e9s leg\u00edtimo del responsable del tratamiento o de un tercero.\u201d<\/p>\n\n\n\n<p>M\u00e1s restrictiva se muestra la instituci\u00f3n judicial europea con la informaci\u00f3n que revela el origen \u00e9tico o racial de su titular, las opiniones pol\u00edticas, las convicciones religiosas o filos\u00f3ficas, la afiliaci\u00f3n sindical y los datos gen\u00e9ticos, biom\u00e9tricos, relativos a la salud o a la vida sexual de una persona. La raz\u00f3n es que el art. 9 del RGPD proh\u00edbe su tratamiento salvo en los supuestos espec\u00edficos previstos en el apartado 2.\u00ba La primera cuesti\u00f3n que afronta la autoridad judicial comunitaria es si el titular de una red social puede apropiarse de los datos que generan sus usuarios al consultar p\u00e1ginas web o introducir datos en ellas a ra\u00edz de la actividad en la red. La respuesta es negativa: al tratarse de datos extremadamente sensibles, su gesti\u00f3n y explotaci\u00f3n est\u00e1 prohibida. Y la segunda cuesti\u00f3n es si cabe entender que el usuario ha querido hacer p\u00fablica esa informaci\u00f3n, con lo que entrar\u00eda en juego la excepci\u00f3n de la letra e) del art. 9.2, al haber consultado o introducido la informaci\u00f3n correspondiente desde la red social. De nuevo la respuesta es negativa al merecer una interpretaci\u00f3n restrictiva el precepto. El Tribunal afirma que el interesado \u201cha hecho manifiestamente p\u00fablicos\u201d los datos s\u00f3lo si ha pretendido, de manera expl\u00edcita y mediante acto positivo claro, hacerlos accesible a cualquier interesado. La simple consulta de un sitio de internet o de aplicaciones no comporta esa voluntad: el usuario no pretende hacer p\u00fablicos sus datos. \u201c \u2026 ese usuario puede, a lo sumo, esperar que el administrador del sitio o de la aplicaci\u00f3n tenga acceso a esos datos y los comparta, en su caso y con el consentimiento expreso dado por dicho usuario, con determinados terceros y no con el p\u00fablico en general\u201d (p\u00e1rr. 78).<\/p>\n\n\n\n<p>La \u00faltima cuesti\u00f3n prejudicial vuelve a vincular el r\u00e9gimen de la gesti\u00f3n de los datos personales con la defensa de la competencia. En efecto, Tribunal Superior Regional de lo Civil y Penal de D\u00fcsseldorf pregunta si puede haber consentimiento \u201clibre\u201d, que es el fundamento protot\u00edpico del tratamiento de los datos personales, cuando el responsable detenta una posici\u00f3n de dominio en el mercado relevante. El TJUE basa su respuesta en los considerandos 42 y 43 as\u00ed como en el art\u00edculo 7 del RGPD y afirma que s\u00ed es posible. A pesar del desequilibrio econ\u00f3mico existente entre las partes, es factible que el interesado haya consentido libremente a que la dominante gestione y explote sus datos personales (p\u00e1rrs. 141 ss. Ahora bien, la carga de la prueba recae sobre el responsable del tratamiento. Adem\u00e1s, no puede extender el consentimiento libre de unos servicios a los dem\u00e1s. En otras palabras, el interesado debe tener libertad para decidir si da o no su consentimiento a operaciones particulares de tratamiento de datos que no sean necesarias para la ejecuci\u00f3n del contrato, sin verse por ello obligados a renunciar \u00edntegramente a la utilizaci\u00f3n del servicio ofrecido por el operador de la red social en l\u00ednea. <\/p>\n\n\n\n<pre class=\"wp-block-verse\">As\u00ed, \u201c\u2026procede responder a la sexta cuesti\u00f3n prejudicial que los art\u00edculos 6, apartado 1, p\u00e1rrafo primero, letra a), y 9, apartado 2, letra a), del RGPD deben interpretarse en el sentido de que el hecho de que el operador de una red social en l\u00ednea ocupe una posici\u00f3n dominante en el mercado de las redes sociales en l\u00ednea no impide, como tal, que los usuarios de tal red puedan prestar v\u00e1lidamente su consentimiento, con arreglo al art\u00edculo 4, punto 11, de dicho Reglamento, al tratamiento de sus datos personales efectuado por ese operador. No obstante, esta circunstancia constituye un elemento relevante para determinar si el consentimiento ha sido efectivamente prestado v\u00e1lidamente y, en particular, libremente, lo que incumbe probar a dicho operador\u201d (p\u00e1rr. 154).<\/pre>\n\n\n\n<p class=\"has-text-align-right\">Dr. Carlos G\u00f3rriz L\u00f3pez<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Como a estas alturas de curso ya voy en reserva, he estado tentado de hacer una entrada muy breve, del tipo: \u201cEl TJUE confirma las conclusiones del Abogado General, que ya hab\u00eda explicado en una entrada anterior (aqu\u00ed)\u201d. Pero creo que es mejor que me explaye algo m\u00e1s y as\u00ed me gane el sueldo extra [&hellip;]<\/p>\n","protected":false},"author":133,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[57,38],"tags":[58,25,59],"class_list":["post-481","post","type-post","status-publish","format-standard","hentry","category-derecho-de-la-competencia","category-derecho-europeo","tag-abuso-de-posicion-de-dominio","tag-proteccion-de-datos","tag-rgpd"],"_links":{"self":[{"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/posts\/481","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/users\/133"}],"replies":[{"embeddable":true,"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/comments?post=481"}],"version-history":[{"count":3,"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/posts\/481\/revisions"}],"predecessor-version":[{"id":553,"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/posts\/481\/revisions\/553"}],"wp:attachment":[{"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/media?parent=481"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/categories?post=481"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/tags?post=481"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}