Carlos B Fernández. El Tribunal de Justicia de la Unión Europea (TJUE) ha dictado, con fecha 4 de julio de 2013, una importante sentencia en materia de protección de datos (LA LEY 133941/2023).
Así, en el asunto C 252/21, Meta Platforms Inc., anteriormente Facebook Inc., la Sala no solo aclara que una autoridad nacional de defensa de la competencia puede constatar, en el marco del examen de un abuso de posición dominante, una infracción del RGPD, sino que ofrece también su interpretación sobre el alcance de los artículos 6 (Licitud del tratamiento), apartado 1, párrafo primero, letras a), b), c), d), e) y f); 9 (Tratamiento de categorías especiales de datos personales), apartado 1 y apartado 2, letras a) y e) y 51 (Autoridad de control)), del RGPD, en relación con la recogida de datos relativos a la actividad de los usuarios de dichas redes, y el tratamiento de datos por parte de los titulares de las mismas.
El alcance de esta interpretación es el siguiente:
1. De acuerdo con los artículos 51 y siguientes del RGPD (LA LEY 6637/2016), en el marco del examen de un abuso de posición dominante, la autoridad de defensa de la competencia de un Estado miembro puede constatar una infracción del RGPD
2. La recogida de datos personales de un usuario por parte del operador de una red social en línea, mediante interfaces integradas, cookies o tecnologías de almacenamiento similares, la consulta de esos sitios y aplicaciones, y la puesta en relación del conjunto de esos datos con la cuenta de la red social de dicho usuario, así como la utilización de dichos datos por el operador, debe considerarse como un «tratamiento de categorías especiales de datos personales» del artículo 9, apartado 1, del RGPD y, por tanto, está prohibida, salvo que concurran las excepciones previstas en ese artículo 9, apartado 2.
3. La consulta por el usuario de una red social en línea de sitios de Internet o de aplicaciones, en relación con datos considerados de categoría especial, no implica hacer manifiestamente públicos los datos relativos a dicha consulta, a efectos del art. 9.2 e) del RGPD (LA LEY 6637/2016)
4. Del artículo 6, apartado 1, párrafo primero, letra b) del RGPD, resulta que la recogida de datos de los usuarios de una red social en línea procedentes de otros servicios del grupo al que pertenece dicho operador, solo puede considerarse necesario para la ejecución de un contrato en el que los interesados son partes, si dicho tratamiento es objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual
5. Del artículo 6, apartado 1, párrafo primero, letra f), del RGPD, resulta que la recogida de datos de los usuarios de una red social en línea procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, solo puede considerarse necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento si dicho operador ha indicado a los usuarios de los que se han obtenido los datos un interés legítimo perseguido por el tratamiento de estos.
6. De acuerdo con el artículo 6, apartado 1, párrafo primero, letra c), del RGPD, la recogida de datos de los usuarios de una red social en línea procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, está justificado cuando sea efectivamente necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, en virtud de una disposición del Derecho de la Unión o del Derecho del Estado miembro de que se trate.
7. El artículo 6, apartado 1, párrafo primero, letras d) y e), del RGPD debe interpretarse en el sentido de que la recogida de datos de los usuarios de una red social en línea procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, no puede, en principio, considerarse necesario para proteger intereses vitales del interesado o de otra persona física, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
8. De la interpretación de los artículos 6, apartado 1, párrafo primero, letra a), y 9, apartado 2, letra a), del RGPD, se deduce que el hecho de que el operador de una red social en línea ocupe una posición dominante en el mercado de las redes sociales en línea no impide, como tal, que los usuarios de tal red puedan prestar válidamente su consentimiento, con arreglo al artículo 4, punto 11, de dicho Reglamento, al tratamiento de sus datos personales efectuado por ese operador.
Antecedentes
El asunto tuvo por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE (LA LEY 6/1957), por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania), en el contexto de un litigio entre, por una parte, Meta Platforms Inc., anteriormente Facebook Inc., Meta Platforms Ireland Ltd, anteriormente Facebook Ireland Ltd, y Facebook Deutschland GmbH y, por otra, el Bundeskartellamt (Autoridad Federal de Defensa de la Competencia, Alemania), en relación con la decisión de esta última de prohibir a esas sociedades el tratamiento de determinados datos personales previsto por las condiciones generales del servicio de la red social Facebook (en lo sucesivo, «condiciones generales»).
Según los antecedentes del caso que explica el tribunal, el modelo económico de la red social en línea Facebook se basa en la financiación a través de la publicidad en línea, que se hace a medida para los usuarios individuales de la red social, en función, en particular, de sus actitudes de consumo, intereses, poder adquisitivo y situación personal.
Tal publicidad es técnicamente posible mediante el establecimiento automatizado de perfiles detallados de los usuarios de la red y de los servicios en línea ofrecidos a nivel del grupo Meta.
A tal fin, además de los datos que estos usuarios proporcionan directamente al registrarse en los servicios en línea de que se trata, también se recogen, dentro y fuera de esa red social y de los servicios en línea prestados por el grupo Meta, otros datos relativos a dichos usuarios y a sus aparatos, en relación con sus diferentes cuentas de usuario. La visión global de estos datos permite extraer conclusiones detalladas sobre las preferencias e intereses de esos mismos usuarios.
Para el tratamiento de dichos datos, Meta Platforms Ireland se basa en el contrato de servicio al que se adhieren los usuarios de la red social Facebook mediante la activación del botón «registrarse», a través del cual estos aceptan las condiciones generales establecidas por la citada sociedad. La aceptación de esas condiciones es necesaria para poder utilizar la red social Facebook.
Por lo que respecta al tratamiento de datos personales, las condiciones generales remiten a las políticas de datos y de cookies establecidas por la citada sociedad. En virtud de estas últimas, Meta Platforms Ireland recoge datos acerca de los usuarios y los aparatos, que versan sobre las actividades de los usuarios dentro y fuera de la red social, y relaciona esos datos con las cuentas de Facebook de los usuarios de que se trata. En cuanto a estos últimos datos, relativos a las actividades fuera de la red social (en lo sucesivo, también denominados, «datos off Facebook»), se trata, por un lado, de los datos relativos a la consulta de páginas de Internet y de aplicaciones de terceros, conectadas a Facebook a través de interfaces de programación —las «herramientas Facebook Business»— y, por otro lado, de los datos relativos a la utilización de otros servicios en línea pertenecientes al grupo Meta, entre los que se encuentran Instagram, WhatsApp, Oculus y, hasta el 13 de marzo de 2020, Masquerade.
La Autoridad Federal de Defensa de la Competencia inició un procedimiento contra Meta Platforms, Meta Platforms Ireland y Facebook Deutschland, al término del cual, y con base en los artículos 19, apartado 1, y 32 de la Ley de Defensa de la Competencia (LA LEY 7240/2007), les prohibió, en esencia, que en las condiciones generales supeditaran el uso de la red social Facebook por parte de usuarios privados residentes en Alemania al tratamiento de sus datos off Facebook y que procedieran, sin el consentimiento de estos, al tratamiento de esos datos sobre la base de las condiciones generales entonces vigentes. Además, les obligó a adaptar esas condiciones generales de manera que de ellas se dedujera claramente que dichos datos no se recogerían ni se pondrían en relación con las cuentas de usuarios de Facebook ni se utilizarían sin el consentimiento del usuario afectado, y aclaró el hecho de que tal consentimiento no es válido cuando constituye un requisito para el uso de la red social.
La Autoridad Federal de Defensa de la Competencia motivó su resolución en el hecho de que el tratamiento de los datos de los usuarios afectados, tal como estaba previsto en las condiciones generales y según lo llevaba a cabo Meta Platforms Ireland, constituía una explotación abusiva de la posición dominante de dicha sociedad en el mercado de las redes sociales en línea para usuarios privados en Alemania, en el sentido del artículo 19, apartado 1, de la Ley de Defensa de la Competencia (LA LEY 7240/2007). En particular, según la Autoridad Federal de Defensa de la Competencia, esas condiciones generales, como emanación de tal posición dominante, son abusivas, ya que el tratamiento de los datos off Facebook que prevén no es conforme con los valores inherentes al RGPD y, en particular, no puede estar justificado a la luz de los artículos 6, apartado 1, y 9, apartado 2, de dicho Reglamento.
Contra esta resolución, Meta Platforms, Meta Platforms Ireland y Facebook Deutschland presentaron recurso ante el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania), el cual, a la hora de resolver la cuestión, alberga dudas, en primer lugar, sobre la posibilidad de que las autoridades nacionales de defensa de la competencia controlen, en ejercicio de sus competencias, la conformidad de un tratamiento de datos personales con lo exigido por el RGPD; en segundo lugar, sobre la posibilidad de que un operador de una red social en línea trate los datos personales sensibles del interesado, en el sentido del artículo 9, apartados 1 y 2, de dicho Reglamento; en tercer lugar, sobre la licitud del tratamiento, por parte de tal operador, de los datos personales del usuario afectado, conforme al artículo 6, apartado 1, de dicho Reglamento y, en cuarto lugar, en cuanto a la validez, a la luz de los artículos 6, apartado 1, párrafo primero, letra a), y 9, apartado 2, letra a), del mismo Reglamento, del consentimiento dado, a efectos de tal tratamiento, a una empresa que tiene una posición dominante en el mercado nacional de las redes sociales en línea.
En este contexto, al considerar que la solución del litigio principal depende de la respuesta que se dé a estas cuestiones, el Oberlandesgericht Düsseldorf decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales que ahora han sido resueltas por el Tribunal.
Contenido de la sentencia
1. En el marco del examen de un abuso de posición dominante, la autoridad de defensa de la competencia de un Estado miembro puede constatar una infracción del RGPD
- “Los artículos 51 y siguientes del RGPD (LA LEY 6637/2016), así como el artículo 4 TUE, apartado 3, deben interpretarse en el sentido de que:
sin perjuicio del cumplimiento de su obligación de cooperación leal con las autoridades de control, una autoridad de defensa de la competencia de un Estado miembro puede concluir, en el marco del examen de un abuso de posición dominante por parte de una empresa, con arreglo al artículo 102 TFUE (LA LEY 6/1957), que las condiciones generales del servicio de dicha empresa relativas al tratamiento de los datos personales y la aplicación de esas condiciones no son conformes con el citado Reglamento, cuando esa conclusión sea necesaria para declarar la existencia de tal abuso.
A la vista de esta obligación de cooperación leal, la autoridad nacional de defensa de competencia no puede apartarse de una decisión de la autoridad nacional de control competente o de la autoridad de control principal competente relativa a esas condiciones generales o a condiciones generales similares.
Cuando albergue dudas sobre el alcance de tal decisión, o cuando esas condiciones o condiciones similares sean, al mismo tiempo, objeto de examen por parte de las citadas autoridades, o incluso cuando considere, en ausencia de investigación o de decisión de dichas autoridades, que las condiciones en cuestión no son conformes con el Reglamento 2016/679 (LA LEY 6637/2016), la autoridad de defensa de la competencia debe consultar a esas mismas autoridades de control y solicitar la cooperación de estas para disipar sus dudas o para determinar si, antes de iniciar su propia apreciación, no procede esperar a la adopción de una decisión por parte de estas. Si no plantean objeciones ni responden en un plazo razonable, la autoridad nacional de defensa de la competencia puede proseguir su propia investigación”.
2. La recogida de datos personales de un usuario por parte del operador de una red social en línea, mediante interfaces integradas, cookies o tecnologías de almacenamiento similares, la consulta de esos sitios y aplicaciones, y la puesta en relación del conjunto de esos datos con la cuenta de la red social de dicho usuario, así como la utilización de dichos datos por el operador, debe considerarse como un «tratamiento de categorías especiales de datos personales»
- “El artículo 9, apartado 1, del RGPD debe interpretarse en el sentido de que:
en el supuesto de que un usuario de una red social en línea consulte sitios de Internet o aplicaciones en relación con una o con varias de las categorías contempladas en dicha disposición y, en su caso, introduzca datos en ellos registrándose o efectuando pedidos en línea, el tratamiento de datos personales por parte del operador de esa red social en línea, consistente en la recogida, mediante interfaces integradas, cookies o tecnologías de almacenamiento similares, de los datos resultantes de la consulta de esos sitios y aplicaciones, así como de los datos introducidos por el usuario, en la puesta en relación del conjunto de esos datos con la cuenta de la red social de este y en la utilización de dichos datos por el operador, debe considerarse como un «tratamiento de categorías especiales de datos personales», con arreglo a la citada disposición, que, en principio, está prohibido, sin perjuicio de las excepciones previstas en ese artículo 9, apartado 2, cuando dicho tratamiento de datos permita revelar información comprendida en alguna de esas categorías, con independencia de que tal información afecte a un usuario de esa red o a cualquier otra persona física”.
3. La consulta por el usuario de una red social en línea de sitios de Internet o de aplicaciones, en relación con datos considerados de categoría especial, no implica hacer manifiestamente públicos los datos relativos a dicha consulta, a efectos del art. 9.2 e) del RGPD (LA LEY 6637/2016)
- “El artículo 9, apartado 2, letra e), del RGPD debe interpretarse en el sentido de que:
cuando un usuario de una red social en línea consulta sitios de Internet o aplicaciones en relación con una o con varias de las categorías contempladas en el artículo 9, apartado 1, de este Reglamento, no hace manifiestamente públicos, con arreglo a la primera de esas disposiciones, los datos relativos a dicha consulta recogidos por el operador de esa red social en línea a través de cookies o de tecnologías de almacenamiento similares.
Cuando ese usuario introduce datos en tales sitios de Internet o en tales aplicaciones o cuando activa botones de selección integrados en esos sitios y en esas aplicaciones, como son los botones «me gusta» o «compartir» o los botones que permiten al usuario identificarse en esos sitios o aplicaciones utilizando los identificadores de conexión vinculados a su cuenta de usuario de la red social, su número de teléfono o su dirección de correo electrónico, tal usuario solo hace manifiestamente públicos, en el sentido de dicho artículo 9, apartado 2, letra e), los datos así introducidos o resultantes de la activación de esos botones en el supuesto de que haya manifestado explícitamente su opción previa, en su caso sobre la base de una configuración individual efectuada con pleno conocimiento de causa, de que los datos que le conciernen resulten accesibles públicamente a un número ilimitado de personas”.
4. La recogida de datos de los usuarios de una red social en línea procedentes de otros servicios del grupo al que pertenece dicho operador, solo puede considerarse necesario para la ejecución de un contrato en el que los interesados son partes, si dicho tratamiento es objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual
- “El artículo 6, apartado 1, párrafo primero, letra b), del RGPD debe interpretarse en el sentido de que:
el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, solo puede considerarse necesario para la ejecución de un contrato en el que los interesados son partes, con arreglo a esta disposición, si dicho tratamiento es objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual destinada a esos mismos usuarios, de manera que el objeto principal del contrato no podría alcanzarse sin ese tratamiento”.
5. La recogida de datos de los usuarios de una red social en línea procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, solo puede considerarse necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento si dicho operador ha indicado a los usuarios de los que se han obtenido los datos un interés legítimo perseguido por el tratamiento de estos.
- “El artículo 6, apartado 1, párrafo primero, letra f), del RGPD debe interpretarse en el sentido de que:
el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, solo puede considerarse necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, con arreglo a esa disposición, si dicho operador ha indicado a los usuarios de los que se han obtenido los datos un interés legítimo perseguido por el tratamiento de estos, si el referido tratamiento se lleva a cabo dentro de los límites de lo estrictamente necesario para la satisfacción de ese interés legítimo y si de una ponderación de los intereses en conflicto se desprende, habida cuenta de todas las circunstancias pertinentes, que los intereses o las libertades y los derechos fundamentales de esos usuarios no prevalecen sobre el citado interés legítimo del responsable del tratamiento o de un tercero”.
6. La recogida de datos de los usuarios de una red social en línea procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, está justificado cuando sea efectivamente necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, en virtud de una disposición del Derecho de la Unión o del Derecho del Estado miembro de que se trate.
- “El artículo 6, apartado 1, párrafo primero, letra c), del RGPD debe interpretarse en el sentido de que:
el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, está justificado, con arreglo a esta disposición, cuando sea efectivamente necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, en virtud de una disposición del Derecho de la Unión o del Derecho del Estado miembro de que se trate, dicha base jurídica responda a un objetivo de interés público y sea proporcionada al objetivo legítimo perseguido y ese tratamiento se lleve a cabo sin sobrepasar los límites de lo estrictamente necesario”.
7. La recogida de datos de los usuarios de una red social en línea procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, no puede, en principio, considerarse necesario para proteger intereses vitales del interesado o de otra persona física, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
- “El artículo 6, apartado 1, párrafo primero, letras d) y e), del RGPD debe interpretarse en el sentido de que:
el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, no puede, en principio y sin perjuicio de la comprobación que haya de efectuar el órgano jurisdiccional remitente, considerarse necesario para proteger intereses vitales del interesado o de otra persona física, con arreglo a la letra d), o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, conforme a la letra e)”.
8. El hecho de que el operador de una red social en línea ocupe una posición dominante en el mercado de las redes sociales en línea no impide, como tal, que los usuarios de tal red puedan prestar válidamente su consentimiento, con arreglo al artículo 4, punto 11, de dicho Reglamento, al tratamiento de sus datos personales efectuado por ese operador.
- “Los artículos 6, apartado 1, párrafo primero, letra a), y 9, apartado 2, letra a), del RGPD deben interpretarse en el sentido de que:
el hecho de que el operador de una red social en línea ocupe una posición dominante en el mercado de las redes sociales en línea no impide, como tal, que los usuarios de tal red puedan prestar válidamente su consentimiento, con arreglo al artículo 4, punto 11, de dicho Reglamento, al tratamiento de sus datos personales efectuado por ese operador. No obstante, esta circunstancia constituye un elemento relevante para determinar si el consentimiento ha sido efectivamente prestado válidamente y, en particular, libremente, lo que incumbe probar a dicho operador”.