Tratamiento de datos personales y defensa de la competencia: Meta Platforms, Inc contra Bundeskartellamt

Como a estas alturas de curso ya voy en reserva, he estado tentado de hacer una entrada muy breve, del tipo: “El TJUE confirma las conclusiones del Abogado General, que ya había explicado en una entrada anterior (aquí)”. Pero creo que es mejor que me explaye algo más y así me gane el sueldo extra que me paga el IP del proyecto [sí, el Górriz se ha levantado ‘graciosillo’ hoy]. Y a esos efectos vale la pena empezar subrayando que la sentencia del TJUE de 4 de julio de 2023 (Meta Platforms Inc et al contra Bundeskartellamt, C-252/21) entronca con la esencia de nuestra investigación porque versa sobre la explotación empresarial de los datos personales de los consumidores. En efecto, el modelo de negocio de Meta Platforms pivota alrededor de la información personal de una parte de sus usuarios, que utiliza para ofrecer servicios publicitarios a sus clientes empresariales (véase los párrafos 27 ss.). El problema es que ha hecho un tratamiento de la misma que no es conforme con la normativa comunitaria, razón por la cual la autoridad alemana de la competencia la ha sancionado. En particular, ha considerado que había abusado de su posición de dominio (art. 19.1 de la Ley alemana contra las Restricciones de la Competencia), lo que ha derivado en la imposición de una sanción. En la resolución de 6 de febrero de 2019 prohibió a la empresa de Mark Zuckerberg que las condiciones generales de sus servicios supeditaran el acceso a sus redes sociales en Alemania a aceptar el tratamiento de sus datos. Las empresas sancionadas impugnaron la resolución ante el Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, que formuló una petición de decisión prejudicial sobre la exégesis de los arts. 4.3 del TUE y 6.1, 9.1 y .2, 51.1 y 56.1 del Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD).

A pesar de que las cuestiones prejudiciales giran alrededor del tratamiento de datos personales, el Tribunal de Justicia empieza con un tema estrechamente relacionado con la defensa de la competencia: la legitimación del Bundeskartellamt para valorar la conformidad de unas condiciones generales con el Reglamento cita. El problema se plantea porque esta norma confía su control a las autoridades públicas independientes designadas por los Estados miembros, que son diferentes de las autoridades nacionales de la competencia. En el caso de Alemania, el Bundeskartellamt no es la autoridad de protección de datos. Sin embargo, hay que tener en cuenta que la aplicación que hizo del Reglamento se enmarcaba en un procedimiento de defensa de la competencia, pues estaba valorando si Meta Platforms y dos filiales suyas habían abusado de su posición de dominio. Y ese hecho deviene esencial para el caso, pues la institución judicial europea se pronuncia a favor de la autoridad alemana de la competencia. No estaba suplantando a las autoridades de protección de datos ni ejerciendo sus funciones, puesto que no aplicó el RGPD para proteger los derechos y libertades fundamentales de las personas físicas ni para facilitar la libre circulación de los datos personales dentro de la Unión Europea. Lo estaba aplicando de forma tangencial para valorar si una empresa que detenta posición de dominio estaba obstaculizando el mantenimiento de la competencia en el mercado utilizando medios diferentes de los que rigen una competencia eficiente.

“… la conformidad o no conformidad de tales actividades con las disposiciones del RGPD puede constituir, en su caso, un indicio relevante, entre las circunstancias pertinentes del caso concreto, para determinar si dichas actividades constituyen medios que rigen una competencia normal y para evaluar las consecuencias de una determinada práctica en el mercado o para los consumidores” (párr. 47).

La solución del Tribunal de Justicia genera un problema porque posibilita que dos administraciones públicas diferentes se pronuncien sobre el mismo supuesto de tratamiento de datos y lleguen a soluciones contrapuestas. Para resolverlo, la institución judicial europea recurre al principio de cooperación leal, previsto en el art. 4.3 del TUE. En aplicación suya, afirma que cuando las autoridades nacionales de la competencia tienen que examinar la conformidad de una actividad con el Reglamento General de Protección de Datos, deben ponerse de acuerdo y cooperar lealmente con las autoridades de control nacionales interesadas o con la autoridad de control principal, estando todas obligadas respetar sus respectivos poderes y competencias.

“En el presente asunto, de los autos que obran ante el Tribunal de Justicia se desprende que, durante los meses de octubre y noviembre de 2018, es decir, antes de la adopción de la resolución de 6 de febrero de 2019, la Autoridad Federal de Defensa de la Competencia se puso en contacto con el Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (Comisario Federal de Protección de Datos y Libertad de Información, Alemania), con el Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (Comisario de Protección de Datos y Libertad de Información de Hamburgo, Alemania), competente en lo que atañe a Facebook Deutschland, y con la Data Protection Commission (DPC) (Autoridad de Protección de Datos, Irlanda), para informar a dichas autoridades de su intervención. Resulta, además, que la Autoridad Federal de Defensa de la Competencia obtuvo la confirmación de que dichas autoridades no estaban llevando a cabo ninguna investigación sobre hechos similares a los del litigio principal, y tales autoridades no formularon objeción alguna respecto a la intervención de la Autoridad Federal de Defensa de la Competencia. Por último, en los apartados 555 y 556 de su resolución de 6 de febrero de 2019, la Autoridad Federal de Defensa de la Competencia hizo referencia expresa a esta cooperación” (párr. 60).

Los dos siguientes grupos de cuestiones que se plantean tienen por objeto el tratamiento de datos personales. Como este tema no entra dentro de mi especialidad, me limito a resumir las respuestas del Tribunal de Justicia y contestar a los que se quejen: “Doctores tiene la Santa Madre Iglesia [y este proyecto de investigación] que os sabrán responder”. Empecemos por la justificación del tratamiento de los datos personales de los usuarios de la red social por parte del titular de ésta (Meta Platforms). Como la autoridad alemana de la competencia había considerado que aquéllos no habían dado su consentimiento, debía investigar las demás causas de licitud previstas en el artículo 6.1 del RGPD. La institución judicial europea recuerda que este precepto contiene una lista exhaustiva y taxativa de los casos en que el tratamiento es lícito. Empieza con la ejecución de un contrato del que el interesado es parte (letra b). Para que justifique un tratamiento no consentido expresamente, “…debe ser objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual destinada al interesado. Así pues, el responsable del tratamiento debe poder demostrar por qué el objeto principal del contrato no podría alcanzarse sin el tratamiento en cuestión” (párr. 98). Por lo tanto, no deben existir otras soluciones practicables y menos intrusivas. La letra c) del art. 6.1 también permite el tratamiento cuando sea necesario para el cumplimiento de una obligación legal del responsable. El TJUE se limita a explicar que no ha recibido información suficiente del órgano requirente al respecto. La letra d) alude a la necesidad de proteger intereses vitales del interesado o de otra persona física. El Tribunal ubicado en Luxemburgo afirma que no parece probable que Meta Platforms pueda alegar con éxito esta justificación al prestar servicios de carácter esencialmente económico. Y lo mismo sucede con la letra e), que apela a “…el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”. Por último, la letra f) permite un tratamiento si es necesario para la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero. El TJUE explica que esta justificación lleva implícitos tres requisitos acumulativos: el responsable debe perseguir un interés legítimo, el tratamiento debe ser necesario para su satisfacción y no deben prevalecer los intereses o derechos y libertades fundamentales del interesado en la protección de datos sobre el interés legítimo del responsable del tratamiento. No parecen concurrir en el caso objeto de examen. En el párrafo 126 responde que “… solo puede considerarse necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, con arreglo a esa disposición, si dicho operador ha indicado a los usuarios de los que se han obtenido los datos un interés legítimo perseguido por el tratamiento de estos, si el referido tratamiento se lleva a cabo dentro de los límites de lo estrictamente necesario para la satisfacción de ese interés legítimo y si de una ponderación de los intereses en conflicto se desprende, habida cuenta de todas las circunstancias pertinentes, que los intereses o las libertades y los derechos fundamentales de esos usuarios no prevalecen sobre el citado interés legítimo del responsable del tratamiento o de un tercero.”

Más restrictiva se muestra la institución judicial europea con la información que revela el origen ético o racial de su titular, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical y los datos genéticos, biométricos, relativos a la salud o a la vida sexual de una persona. La razón es que el art. 9 del RGPD prohíbe su tratamiento salvo en los supuestos específicos previstos en el apartado 2.º La primera cuestión que afronta la autoridad judicial comunitaria es si el titular de una red social puede apropiarse de los datos que generan sus usuarios al consultar páginas web o introducir datos en ellas a raíz de la actividad en la red. La respuesta es negativa: al tratarse de datos extremadamente sensibles, su gestión y explotación está prohibida. Y la segunda cuestión es si cabe entender que el usuario ha querido hacer pública esa información, con lo que entraría en juego la excepción de la letra e) del art. 9.2, al haber consultado o introducido la información correspondiente desde la red social. De nuevo la respuesta es negativa al merecer una interpretación restrictiva el precepto. El Tribunal afirma que el interesado “ha hecho manifiestamente públicos” los datos sólo si ha pretendido, de manera explícita y mediante acto positivo claro, hacerlos accesible a cualquier interesado. La simple consulta de un sitio de internet o de aplicaciones no comporta esa voluntad: el usuario no pretende hacer públicos sus datos. “ … ese usuario puede, a lo sumo, esperar que el administrador del sitio o de la aplicación tenga acceso a esos datos y los comparta, en su caso y con el consentimiento expreso dado por dicho usuario, con determinados terceros y no con el público en general” (párr. 78).

La última cuestión prejudicial vuelve a vincular el régimen de la gestión de los datos personales con la defensa de la competencia. En efecto, Tribunal Superior Regional de lo Civil y Penal de Düsseldorf pregunta si puede haber consentimiento “libre”, que es el fundamento prototípico del tratamiento de los datos personales, cuando el responsable detenta una posición de dominio en el mercado relevante. El TJUE basa su respuesta en los considerandos 42 y 43 así como en el artículo 7 del RGPD y afirma que sí es posible. A pesar del desequilibrio económico existente entre las partes, es factible que el interesado haya consentido libremente a que la dominante gestione y explote sus datos personales (párrs. 141 ss. Ahora bien, la carga de la prueba recae sobre el responsable del tratamiento. Además, no puede extender el consentimiento libre de unos servicios a los demás. En otras palabras, el interesado debe tener libertad para decidir si da o no su consentimiento a operaciones particulares de tratamiento de datos que no sean necesarias para la ejecución del contrato, sin verse por ello obligados a renunciar íntegramente a la utilización del servicio ofrecido por el operador de la red social en línea.

Así, “…procede responder a la sexta cuestión prejudicial que los artículos 6, apartado 1, párrafo primero, letra a), y 9, apartado 2, letra a), del RGPD deben interpretarse en el sentido de que el hecho de que el operador de una red social en línea ocupe una posición dominante en el mercado de las redes sociales en línea no impide, como tal, que los usuarios de tal red puedan prestar válidamente su consentimiento, con arreglo al artículo 4, punto 11, de dicho Reglamento, al tratamiento de sus datos personales efectuado por ese operador. No obstante, esta circunstancia constituye un elemento relevante para determinar si el consentimiento ha sido efectivamente prestado válidamente y, en particular, libremente, lo que incumbe probar a dicho operador” (párr. 154).