LEFEBVRE
Acceso clientes
  • Protección de datos
Redactado por: Redacción Espacio Asesoría
11 de julio de 2023

¿Puede examinarse una infracción del RGPD por defensa de la competencia?

La autoridad debe tomar en consideración cualquier decisión o investigación de la autoridad de control competente en virtud de ese Reglamento.

Meta Platforms Ireland gestiona la oferta de la red social en línea Facebook en la Unión. Al registrarse en Facebook, sus usuarios aceptan las condiciones generales establecidas por esta sociedad y, en consecuencia, las políticas de uso de datos y de cookies.

En virtud de estas, Meta Platforms Ireland recoge datos relativos a las actividades de los usuarios dentro y fuera de la red social y los pone en relación con las cuentas Facebook de los usuarios de que se trata.

Respecto a estos últimos datos, también denominados «datos off Facebook», se trata, por una parte, de los datos relativos a la consulta de páginas de Internet y de aplicaciones de terceros y, por otra parte, de los datos relativos a la utilización de otros servicios en línea pertenecientes al grupo Meta (entre ellos, Instagram y WhatsApp).

Los datos así recogidos permiten, en particular, personalizar los mensajes publicitarios destinados a los usuarios de Facebook.

La autoridad federal alemana de defensa de la competencia prohibió, en particular, supeditar, en las condiciones generales, el uso de la red social Facebook por parte de usuarios privados residentes en Alemania al tratamiento de los datos off Facebook de estos, así como proceder al tratamiento de dichos datos sin el consentimiento de estos.

Motivó su decisión en el hecho de que ese tratamiento no era conforme con el Reglamento General de Protección de Datos (RGPD), por lo que constituía una explotación abusiva de la posición dominante de Meta Platforms Ireland en el mercado alemán de las redes sociales en línea.

El Tribunal Superior Regional de Düsseldorf, que conoce de un recurso contra esa decisión, pregunta al Tribunal de Justicia si las autoridades nacionales de defensa de la competencia pueden controlar la conformidad de un tratamiento de datos con los requisitos establecidos en el RGPD.

Además, el juez alemán pregunta al Tribunal de Justicia sobre la interpretación y la aplicación de determinadas disposiciones del RGPD al tratamiento de datos por parte de un operador de una red social en línea.

El TJUE observa que puede resultar necesario, en el marco del examen de un abuso de posición dominante por parte de una empresa, que la autoridad de defensa de la competencia del Estado miembro de que se trate también examine la conformidad del comportamiento de dicha empresa con normas distintas de las del Derecho de la competencia, como las previstas en el RGPD.

No obstante, cuando la autoridad nacional de defensa de la competencia señala una infracción del RGPD, no suplanta a las autoridades de control establecidas por dicho Reglamento. En efecto, la apreciación del respeto del RGPD se limita únicamente a constatar la existencia de un abuso de posición dominante y a imponer medidas dirigidas a poner fin a ese abuso con arreglo a las normas del Derecho de la competencia.

Con el fin de garantizar una aplicación coherente del RGPD, las autoridades nacionales de defensa de la competencia deben ponerse de acuerdo y cooperar lealmente con las autoridades que hacen cumplir dicho Reglamento.

En particular, cuando la autoridad nacional de defensa de la competencia considera que es necesario examinar la conformidad de una actividad de una empresa a la luz del RGPD, debe comprobar si esa actividad o una actividad similar ya ha sido objeto de una decisión por la autoridad de control competente, o incluso por el Tribunal de Justicia.

De ser así, no puede apartarse de esas decisiones, aunque es libre de deducir sus propias conclusiones desde el punto de vista de la aplicación del Derecho de la competencia.

Por otra parte, el Tribunal de Justicia señala que el tratamiento de datos efectuado por Meta Platforms Ireland también parece referirse a categorías especiales de datos que pueden revelar, entre otras cosas, el origen racial o étnico, las opiniones políticas, las convicciones religiosas o la orientación sexual y cuyo tratamiento está, en principio, prohibido por el RGPD.

Corresponderá entonces al juez nacional determinar si algunos de los datos recogidos permiten efectivamente revelar tal información, ya se refieran a un usuario de dicha red social o a cualquier otra persona física.

En lo que atañe a la cuestión de si el tratamiento de tales datos denominados «sensibles» se permite excepcionalmente por el hecho de que el interesado los haya hecho manifiestamente públicos, el Tribunal de Justicia precisa que el mero hecho de que un usuario consulte sitios de Internet o aplicaciones que puedan revelar tal información no significa en modo alguno que haga manifiestamente públicos sus datos, en el sentido del RGPD.

Además, lo mismo sucede cuando un usuario introduce datos en tales sitios de Internet o en tales aplicaciones o incluso activa botones de selección integrados en ellos, a menos que haya manifestado expresamente su decisión previa de hacer que los datos que le conciernen resulten públicamente accesibles a un número ilimitado de personas.

Más en general, el Tribunal de Justicia examina a continuación si tratamiento efectuado por Meta Platforms Ireland, incluido el de los datos «no sensibles», está comprendido en las justificaciones, previstas en el RGPD, que permiten que un tratamiento de datos efectuado sin el consentimiento del interesado sea lícito.

En este contexto, considera que la necesidad de ejecutar el contrato en el que esa persona es parte solo justifica la práctica controvertida si el tratamiento de datos es objetivamente indispensable, de modo que el objeto principal de dicho contrato no podría alcanzarse sin ese tratamiento. Sin perjuicio de que el órgano jurisdiccional nacional compruebe este extremo, el Tribunal de Justicia expresa dudas en cuanto a la posibilidad de que la personalización de los contenidos o la utilización homogénea y fluida de los servicios propios del grupo Meta puedan satisfacer estos criterios.

Además, según el Tribunal de Justicia, la personalización de la publicidad mediante la cual se financia la red social en línea Facebook no puede justificar, como interés legítimo perseguido por Meta Platforms Ireland, el tratamiento de datos en cuestión, a falta del consentimiento del interesado.

El hecho de que el operador de una red social en línea, como responsable del tratamiento, ocupe una posición dominante en el mercado de las redes sociales no impide, como tal, que sus usuarios puedan válidamente prestar su consentimiento, en el sentido del RGPD, al tratamiento de sus datos efectuado por dicho operador.

No obstante, dado que tal posición puede afectar a la libertad de elección de los usuarios y crear un desequilibrio manifiesto entre ellos y el responsable del tratamiento, constituye un elemento relevante para determinar si el consentimiento ha sido efectivamente prestado válidamente y, en particular, libremente.

STJUE (GRAN SALA) DE 4 JULIO DE 2023. EDJ 2023/606846

  • Protección de datos

¿Puede examinarse una infracción del RGPD por defensa de la competencia?

La autoridad debe tomar en consideración cualquier decisión o investigación de la autoridad de control competente en virtud de ese Reglamento.

11/07/2023
Redactado por: Redacción Espacio Asesoría
0 comentarios