Publicaciones

El Tribunal de Justicia de la Unión Europea (TJUE) dictó, el pasado 4 de julio de 2023, una importante sentencia en el asunto C-252/21 (Meta Platforms Inc) en la que explora la interacción entre la normativa en materia de competencia y la legislación sobre protección de datos, y analiza en qué medida están facultadas las autoridades de competencia para aplicar el Reglamento General de Protección de Datos (RGPD). El TJUE (i) resuelve que una autoridad de competencia tiene la capacidad y competencia para examinar y constatar, en el marco de un procedimiento sancionador por abuso de posición dominante, si las condiciones generales del servicio de la empresa investigada relativas al tratamiento de datos personales, y la aplicación de esas condiciones, son conformes al RGPD, siempre y cuando dicho pronunciamiento sea necesario para declarar la existencia del abuso investigado; y (ii) aclara y matiza diversas cuestiones relativas a la interpretación que se debe dar a la aplicación del RGPD en el marco de la recogida, tratamiento y utilización de datos llevado a cabo por operadores de redes sociales como Facebook (Meta).

La sentencia resuelve un total de siete cuestiones prejudiciales elevadas por el Tribunal Superior Regional de lo Civil y Penal de Düsseldorf en el contexto de un litigio entre, por una parte, Meta (anteriormente, Facebook) y sus filiales irlandesa y alemana y, por otra, la autoridad alemana de la competencia (Bundeskartellamt), en relación con la decisión de esta última de prohibir a Meta el tratamiento de determinados datos personales previsto por las condiciones generales del servicio de la red social Facebook (condiciones generales).

1. Antecedentes

La autoridad alemana de la competencia incoó en 2019 un procedimiento sancionador contra Meta, al término del cual concluyó que el tratamiento de los datos de los usuarios previsto en las condiciones generales del servicio de Facebook constituía una explotación abusiva de la posición dominante de Meta en el mercado de las redes sociales en línea para usuarios privados en Alemania. En consecuencia, la resolución que puso fin al procedimiento administrativo estableció que no se permitía condicionar el uso de Facebook por parte de los usuarios privados residentes en Alemania a su aceptación del tratamiento de sus datos Off-Facebook. Además, se ordenó a Meta modificar las condiciones generales para dejar claro que los datos personales no se recabarían ni se vincularían a las cuentas de usuarios de Facebook, ni serían utilizados sin su consentimiento, y se aclaró que el consentimiento prestado por los usuarios no resultaba válido si se exigía como requisito para la utilización de la red social.

Meta recurrió la resolución de la autoridad alemana de la competencia ante el Oberlandesgericht Düsseldorf, quien planteó al TJUE varias cuestiones prejudiciales para que se pronunciara sobre (i) si las autoridades nacionales de la competencia están facultadas para supervisar la conformidad de un tratamiento de datos personales con el RGPD; (ii) si un operador de una red social en línea puede procesar datos personales sensibles del interesado; (iii) si el operador de una red social en línea está legitimado para el tratamiento de ciertos datos personales; y (iv) la validez del consentimiento otorgado a una empresa que ostenta una posición dominante en el mercado de las redes sociales en línea.

2. La sentencia del TJUE

El TJUE concluye, en primer lugar, que puede resultar necesario, en el marco del examen de un abuso de posición dominante, que una autoridad nacional de la competencia examine también la conformidad del comportamiento de dicha empresa con normas distintas de las del Derecho de la competencia, como las previstas en el RGPD. Y ello incluso cuando la normativa en cuestión (en este caso, el RGPD y la normativa de defensa de la competencia) no reconozca de forma explícita dicha posibilidad. Al respecto, la sentencia incide en que el acceso a los datos personales y su tratamiento se han convertido en un parámetro significativo de la competencia entre empresas de la economía digital, por lo que excluir las normas en materia de protección de datos personales del marco jurídico que las autoridades de competencia deben tomar en consideración al examinar un abuso de posición dominante  ignoraría esta realidad.

El TJUE entiende por ello que, cuando la autoridad nacional de la competencia identifica una infracción del RGPD en el marco de la declaración de un abuso de posición dominante, no está suplantando a las autoridades de control establecidas por dicho reglamento. En efecto, la declaración de incumplimiento del RGPD que lleva a cabo la autoridad de competencia se realiza únicamente a los efectos de constatar la existencia de un abuso de posición dominante e imponer medidas dirigidas a poner fin a ese abuso con arreglo a las normas del Derecho de la competencia, no ejerciendo así las funciones y poderes reservados a la autoridad de control del RGPD.

Ahora bien, también aclara la sentencia que, con el fin de garantizar una aplicación coherente del RGPD, las autoridades nacionales de la competencia deberán ponerse de acuerdo y cooperar lealmente con las autoridades de protección de datos. En particular, cuando la autoridad nacional de la competencia considere que es necesario examinar la conformidad de una actividad de una empresa a la luz del RGPD, deberá comprobar si esa actividad o una actividad similar ya ha sido objeto de una decisión por parte de la autoridad de protección datos, o incluso por parte del TJUE. De ser así, está obligado a respetar estos precedentes, aunque será libre de deducir sus propias conclusiones desde el punto de vista de la aplicación del Derecho de la competencia.

Asimismo, el TJUE precisa, que cuando la autoridad nacional de la competencia albergue dudas sobre el alcance de tales precedentes, o cuando la actividad de la empresa investigada sea, al mismo tiempo, objeto de examen por parte de las citadas autoridades de protección de datos, o incluso cuando considere, en ausencia de investigación o de decisión de dichas autoridades, que las actividades de la empresa en cuestión no son conformes con el RGPD, la autoridad de la competencia deberá consultar a esas mismas autoridades de control y solicitar su cooperación para disipar sus dudas o para determinar si, antes de iniciar su propia investigación, procede esperar a la adopción de una decisión por su parte. Si las autoridades de control no planteasen objeciones a la investigación o no respondiesen en un plazo razonable, la autoridad nacional de defensa de la competencia podrá proseguir su propia investigación.

En lo que respecta, en segundo lugar, a la cuestión relativa a si una red social en línea puede procesar datos personales sensibles del interesado, el TJUE señala que la recogida, mediante interfaces integradas, cookies o tecnologías de almacenamiento similares, de datos que permitan revelar, entre otras cosas, el origen racial o étnico, las opiniones políticas, las convicciones religiosas o la orientación sexual de un usuario o de terceras personas debe considerarse como un “tratamiento de categorías especiales de datos personales” que, en principio, está prohibido. Corresponderá, por tanto, al juez nacional determinar si algunos de los datos recogidos por la red social permiten efectivamente revelar tal información.

Por otra parte, en lo que respecta a la posibilidad de que el tratamiento de los datos denominados “sensibles” se pudiese permitir excepcionalmente atendiendo al hecho de que el interesado los hubiese hecho públicos manifiestamente, el TJUE precisa que el mero hecho de que un usuario consulte sitios de Internet o aplicaciones que puedan revelar tal información no significa en modo alguno que haga manifiestamente públicos sus datos, en el sentido del RGPD. Lo mismo sucede cuando un usuario introduce datos en tales sitios de Internet o en tales aplicaciones o incluso activa botones de selección integrados en ellos. A menos que haya manifestado expresamente su decisión previa de hacer que los datos que le conciernen resulten públicamente accesibles a un número ilimitado de personas, se deberá considerar que el usuario no tenía intención de hacer públicos sus datos, por lo que la prohibición de su tratamiento no se excepcionaría.

En tercer lugar, el TJUE examina si el tratamiento realizado por Meta, incluyendo el de los datos "no sensibles", se encuentra amparado por las justificaciones establecidas en el RGPD que permiten que un tratamiento de datos realizado sin consentimiento del interesado sea lícito. Al respecto, considera que la necesidad de ejecutar el contrato en el que esa persona es parte solo justifica la práctica controvertida si el tratamiento de datos es objetivamente indispensable, de modo que el objeto principal de dicho contrato no podría alcanzarse sin ese tratamiento.

En este sentido, el TJUE expresa sus dudas acerca de la posibilidad de que la mera personalización de contenidos o el uso homogéneo y fluido de los servicios propios del grupo Meta satisfagan estos criterios, dejando al órgano jurisdiccional nacional la tarea de verificarlo. Además, el TJUE sostiene que la personalización de la publicidad, mediante la cual se financia Facebook, no puede considerarse como un interés legítimo que justifique el tratamiento de los datos en ausencia del consentimiento del interesado.

En cuarto y último lugar, el TJUE señala que el hecho de que el operador de una red social en línea, como responsable del tratamiento, ocupe una posición dominante en el mercado de las redes sociales no impide, como tal, que sus usuarios puedan prestar válidamente su consentimiento, en el sentido del RGPD, al tratamiento de sus datos efectuado por dicho operador. No obstante, dado que tal posición puede afectar a la libertad de elección de los usuarios y crear un desequilibrio manifiesto entre ellos y el responsable del tratamiento, esta posición dominante constituirá un elemento relevante para determinar si el consentimiento ha sido prestado válida y libremente, lo cual deberá en todo caso probar el operador.

3. Conclusiones

La sentencia del TJUE es importante porque amplía las facultades de apreciación de las autoridades nacionales de la competencia y reconoce explícitamente su capacidad de declarar infracciones del RGPD en el marco del examen de un abuso de posición dominante.

Lo anterior plantea la cuestión de si la interpretación del TJUE es aplicable de forma recíproca en el sentido de permitir a las autoridades de protección de datos apreciar, a su vez, la existencia de un abuso de posición dominante en el marco del análisis de una potencial infracción del RGPD. Cabe preguntarse, asimismo, si la interpretación del TJUE es únicamente aplicable respecto al RGPD o también en relación con otra normativa y otras autoridades (por ejemplo, actuaciones de la Agencia de Información y Control Alimentarios en aplicación de la normativa sobre cadena alimentaria). Todos estos aspectos suscitan una importante reflexión sobre el alcance y la interrelación de diferentes áreas del Derecho en la protección y evaluación de la competencia en los mercados y las facultades de las autoridades nacionales de la competencia con respecto a estas materias.