CONCLUSIONES DEL ABOGADO GENERAL
SR. ATHANASIOS RANTOS
presentadas el 20 de septiembre de 2022 ( 1 )
Asunto C‑252/21
Meta Platforms Inc., anteriormente Facebook Inc.,
Meta Platforms Ireland Limited, anteriormente Facebook Ireland Ltd.,
Facebook Deutschland GmbH
contra
Bundeskartellamt,
con intervención de:
Verbraucherzentrale Bundesverband e. V.
[Petición de decisión prejudicial planteada por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania)]
«Procedimiento prejudicial — Reglamento (UE) 2016/679 — Protección de las personas físicas en relación con el tratamiento de datos personales — Redes sociales — Artículo 4, punto 11 — Concepto de “consentimiento” del interesado — Consentimiento dado a una empresa responsable del tratamiento en posición dominante — Artículo 6, apartado 1, letras b) a f) — Licitud del tratamiento — Tratamiento necesario para la ejecución de un contrato en el que el interesado sea parte o para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero — Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, para proteger intereses vitales del interesado o de otra persona física o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento — Artículo 9, apartado 1 y apartado 2, letra e) — Categorías especiales de datos personales — Datos personales que el interesado ha hecho manifiestamente públicos — Artículos 51 a 66 — Competencias de la autoridad nacional de defensa de la competencia — Articulación con las competencias de las autoridades de control en materia de protección de datos personales — Adopción de medidas con arreglo al Derecho de la competencia por una autoridad de un Estado miembro distinto del de la autoridad de control principal en materia de protección de datos personales»
Introducción
|
1. |
La presente petición de decisión prejudicial fue planteada por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania) en el marco de un litigio entre sociedades del grupo Meta Platforms ( 2 ) y la Bundeskartellamt (Oficina Federal de Defensa de la Competencia, Alemania), relativo a la resolución mediante la que esta última prohibió al demandante en el litigio principal el tratamiento de los datos previsto por las condiciones de servicio de su red social Facebook y la aplicación de dichas condiciones de servicio, e impuso determinadas medidas para el cese de esas actividades. ( 3 ) |
|
2. |
Las cuestiones prejudiciales versan, en esencia, por una parte, sobre la competencia de una autoridad nacional de defensa de la competencia, como la Bundeskartellamt, para examinar, con carácter principal o incidental, comportamientos de una empresa a la luz de determinadas disposiciones del Reglamento (UE) 2016/679 ( 4 ) y, por otra parte, sobre la interpretación de estas en lo que respecta, en particular, al tratamiento de datos personales sensibles, a los requisitos pertinentes para la licitud del tratamiento de los datos personales y a la prestación de un consentimiento libre frente a una empresa que ocupa una posición dominante. |
Marco jurídico
Derecho de la Unión
|
3. |
El artículo 4 del RGPD tiene el siguiente tenor: «A efectos del presente Reglamento se entenderá por: […]
[…]». |
|
4. |
El artículo 6, apartado 1, de dicho Reglamento, titulado «Licitud del tratamiento», está redactado en los siguientes términos: «El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.» |
|
5. |
El artículo 9, apartados 1 y 2, de dicho Reglamento, titulado «Tratamiento de categorías especiales de datos personales», dispone: «1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o [la orientación sexual] de una persona física. 2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
[…]
[…]». |
|
6. |
El artículo 51 de dicho Reglamento, titulado «Autoridad de control», que forma parte del capítulo VI de este, titulado a su vez «Autoridades de control independientes», prevé: «1. Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes […] supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión. 2. Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión con arreglo a lo dispuesto en el capítulo VII. […]» |
Derecho alemán
|
7. |
El artículo 19, apartado 1, de la Gesetz gegen Wettbewerbsbeschränkungen (Ley de defensa de la competencia; en lo sucesivo, «GWB»), establece: «Queda prohibida la explotación abusiva, por parte de una o más empresas, de una posición dominante en el mercado.» ( 5 ) |
|
8. |
A tenor de lo dispuesto en el artículo 50f de la GWB: «(1) Las autoridades de defensa de la competencia, las autoridades reguladoras, el responsable a nivel federal de protección de datos y de libertad de información, los responsables regionales de protección de datos y las autoridades competentes en el sentido del artículo 2 de la EU-Verbraucherschutzdurchführungsgesetz [Ley de aplicación del Derecho en materia de protección de los consumidores de la Unión Europea] podrán, independientemente del procedimiento elegido, intercambiar información, incluidos datos personales y secretos industriales y comerciales, en la medida en que sea necesario para el desempeño de sus funciones respectivas y utilizar esta información en el marco de sus procedimientos. […]» |
Litigio principal, cuestiones prejudiciales y procedimiento ante el Tribunal de Justicia
|
9. |
Meta Platforms gestiona la oferta de la red social en línea «Facebook» en la Unión Europea (en la dirección www.facebook.com), así como otros servicios en línea, entre ellos Instagram y WhatsApp. El modelo económico de las redes sociales gestionadas por Meta Platforms consiste esencialmente, por una parte, en ofrecer servicios de red social gratuitos a los usuarios privados y, por otra parte, en vender publicidad en línea, hecha a medida para los usuarios individuales de la red social y que tiene por objeto mostrar al usuario los productos y servicios que podrían interesarle debido, en particular, a sus actitudes personales de consumo, sus intereses, su poder adquisitivo y su situación personal. El fundamento técnico de este tipo de publicidad es el establecimiento automatizado de perfiles muy detallados de los usuarios de la red y de los servicios en línea ofrecidos a nivel del grupo. ( 6 ) |
|
10. |
Para la recogida y el tratamiento de los datos de los usuarios, Meta Platforms se basa en el contrato de servicio celebrado con sus usuarios mediante la activación del botón de función «Registrarse», en virtud del cual los usuarios aceptan las condiciones de servicio de Facebook. La aceptación de estas condiciones de servicio es un requisito esencial para el uso de la red social Facebook. ( 7 ) El núcleo del presente asunto reside en la práctica consistente, en primer lugar, en la recogida de datos procedentes de otros servicios propios del grupo, así como de sitios de Internet y de aplicaciones de terceros, por medio de interfaces insertadas en estos o mediante cookies instaladas en el ordenador o dispositivo móvil del usuario, en segundo lugar, en la combinación de esos datos con la cuenta de Facebook del usuario afectado y, en tercer lugar, en la utilización de dichos datos (en lo sucesivo, «práctica controvertida»). |
|
11. |
La Bundeskartellamt inició un procedimiento contra Meta Platforms a raíz del cual, mediante la resolución controvertida, le prohibió el tratamiento de datos previsto en las condiciones de servicio de Facebook y la aplicación de esas condiciones, y le impuso determinadas medidas para el cese de esas actividades. La Bundeskartellamt motivó su resolución, en particular, en el hecho de que el tratamiento en cuestión constituía una explotación abusiva de la posición dominante de dicha sociedad en el mercado de las redes sociales para usuarios particulares en Alemania, en el sentido del artículo 19 de la GWB. ( 8 ) |
|
12. |
El 11 de febrero de 2019, Meta Platforms interpuso recurso contra la resolución controvertida ante el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf), ( 9 ) el órgano jurisdiccional remitente, que alberga, en esencia, dudas, por una parte, sobre la posibilidad de que las autoridades nacionales de defensa de la competencia supervisen la conformidad de un tratamiento de datos con los requisitos establecidos en el RGPD, así como que constaten y sancionen la infracción de sus disposiciones, y, por otra parte, sobre la interpretación y la aplicación de determinadas disposiciones de dicho Reglamento. |
|
13. |
En estas circunstancias, el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
En caso de respuesta afirmativa a la séptima cuestión, será preciso responder a las cuestiones tercera a quinta en relación con los datos procedentes del uso del servicio del grupo Instagram.» |
|
14. |
Han presentado observaciones escritas Meta Platforms, los Gobiernos alemán, checo, italiano y austriaco, la Bundeskartellamt, la Verbraucherzentrale Bundesverband e. V. (asociación de consumidores, Alemania) y la Comisión Europea. Estas partes también presentaron observaciones orales en la vista celebrada el 10 de mayo de 2022. |
Análisis
|
15. |
Las cuestiones prejudiciales que son objeto del presente asunto, relativas a la interpretación de varias disposiciones del RGPD, se refieren, fundamentalmente, en primer lugar, a la competencia de una autoridad de defensa de la competencia para constatar y sancionar una infracción de las normas en materia de tratamiento de datos personales y sus obligaciones de cooperación con la autoridad principal en el sentido del RGPD (cuestiones prejudiciales primera y séptima); en segundo lugar, a la prohibición del tratamiento de datos personales sensibles y a las condiciones aplicables al consentimiento para su utilización (segunda cuestión prejudicial); en tercer lugar, a la licitud del tratamiento de datos personales a la luz de determinadas justificaciones (cuestiones prejudiciales tercera a quinta), y, en cuarto lugar, a la validez de un consentimiento para el tratamiento de datos personales dado a una empresa que ocupa una posición dominante (sexta cuestión prejudicial). |
|
16. |
En los puntos siguientes trataré, en un primer momento, las cuestiones prejudiciales primera y séptima y, a continuación, las demás cuestiones prejudiciales, en el orden en que han sido formuladas, agrupando las cuestiones prejudiciales tercera a quinta. |
Sobre la primera cuestión prejudicial
|
17. |
Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si, al perseguir infracciones de las normas de competencia, una autoridad de defensa de la competencia puede, por una parte, pronunciarse con carácter principal ( 10 ) sobre la infracción de las normas relativas al tratamiento de datos del RGPD por una empresa cuyo establecimiento principal, al cual le incumbe en exclusiva la responsabilidad del tratamiento de los datos personales en todo el territorio de la Unión, está situado en otro Estado miembro y, por otra parte, dictar una orden de cesación de dicha infracción [primera cuestión prejudicial, letra a)] y, en caso de respuesta afirmativa, si la autoridad de control principal competente en virtud del artículo 56, apartado 1, de la RGPD puede someter a una investigación las condiciones sobre tratamiento de datos de dicha empresa [primera cuestión prejudicial, letra b)]. |
|
18. |
No obstante, sin perjuicio de que el órgano jurisdiccional remitente compruebe este extremo, considero que, en la resolución controvertida, la Bundeskartellamt no sancionó una infracción del RGPD por Meta Platforms, sino que procedió, únicamente a efectos de la aplicación de las normas de competencia, a la investigación de una violación de la prohibición de abuso de posición dominante que se imputaba a Meta Platforms, teniendo en cuenta, entre otras cosas, la falta de conformidad del comportamiento de esta empresa con las disposiciones del RGPD. |
|
19. |
Por consiguiente, en mi opinión, en la medida en que se refiere a la posibilidad de que una autoridad de defensa de la competencia se pronuncie con carácter principal sobre la infracción de las normas del RGPD y dicte una orden de cesación de dicha infracción en el sentido de dicho Reglamento, la primera cuestión prejudicial, letra a), es inoperante. ( 11 ) |
|
20. |
De ello se deduce que la primera cuestión prejudicial, letra b), que está supeditada a que se dé una respuesta afirmativa a la primera cuestión prejudicial, letra a), es igualmente inoperante. ( 12 ) |
Sobre la séptima cuestión prejudicial
|
21. |
Mediante su séptima cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si una autoridad de defensa de la competencia puede, al perseguir infracciones de las normas de competencia, determinar con carácter incidental ( 13 ) si las condiciones de tratamiento de los datos y su ejecución son conformes con el RGPD [séptima cuestión prejudicial, letra a)] y, en caso de respuesta afirmativa, si un examen por la autoridad de defensa de la competencia también es posible cuando esas condiciones están sujetas al mismo tiempo a una investigación por parte de la autoridad de control principal competente [séptima cuestión prejudicial, letra b]. |
|
22. |
En lo que atañe, en primer lugar, a la séptima cuestión prejudicial, letra a), considero que si bien una autoridad de defensa de la competencia no es competente para declarar una infracción del RGPD, ( 14 ) este Reglamento no se opone, en principio, a que, en el ejercicio de sus propias competencias y poderes, otras autoridades distintas de las autoridades de control puedan tener en cuenta, con carácter incidental, la compatibilidad de un comportamiento con las disposiciones del RGPD. Así sucede, en mi opinión, en lo que respecta al ejercicio, por una autoridad de defensa de la competencia, de las facultades que le confieren el artículo 102 TFUE y el artículo 5, párrafo primero, del Reglamento (CE) n.o 1/2003 ( 15 ) o cualquier otra norma nacional correspondiente. ( 16 ) |
|
23. |
En efecto, en el ejercicio de sus competencias, una autoridad de defensa de la competencia debe apreciar, en particular, si el comportamiento examinado consiste en recurrir a medios distintos de los propios de una competencia basada en los méritos, habida cuenta del contexto jurídico y económico en el que se inscribe dicho comportamiento. ( 17 ) A este respecto, la conformidad o la falta de conformidad de dicho comportamiento con las disposiciones del RGPD, no en sí mismo pero teniendo en cuenta todas las circunstancias del caso concreto, puede ser un indicio importante para determinar si ese comportamiento constituye un recurso a medios que rigen una competencia normal, debiendo precisarse que el carácter abusivo o no abusivo de un comportamiento a la luz del artículo 102 TFUE no se desprende de su conformidad o de su falta de conformidad con el RGPD o con otras normas jurídicas. ( 18 ) |
|
24. |
Por consiguiente, considero que el examen de un abuso de posición dominante en el mercado puede justificar que una autoridad de defensa de la competencia interprete normas que no están comprendidas en el ámbito de aplicación del Derecho de la competencia, como las del RGPD, ( 19 ) precisando que tal examen se efectúa de manera incidental ( 20 ) y no prejuzga la aplicación de dicho Reglamento realizada por las autoridades de control competentes. ( 21 ) |
|
25. |
En lo que atañe, en segundo lugar, a la séptima cuestión prejudicial, letra b), el órgano jurisdiccional remitente plantea la cuestión de cuáles son, en el marco de la aplicación del principio de cooperación leal consagrado en el artículo 4 TUE, apartado 3, las obligaciones que, frente la autoridad de control principal competente en el sentido del RGPD, tiene una autoridad de defensa de la competencia al interpretar las disposiciones del referido Reglamento, y, más concretamente, cuando el mismo comportamiento que es examinado por la autoridad de defensa de la competencia es objeto de examen por la autoridad de control principal competente. |
|
26. |
En el presente asunto, el examen, si bien incidental, de un comportamiento de una empresa a la luz de las normas del RGPD por parte de una autoridad de defensa de la competencia conlleva el riesgo de divergencias entre esta y las autoridades de control respecto de la interpretación del citado Reglamento, lo que, en principio, puede menoscabar la interpretación uniforme del RGPD. ( 22 ) |
|
27. |
El Derecho de la Unión no establece normas detalladas sobre la cooperación entre una autoridad de defensa de la competencia y las autoridades de control en el sentido del RGPD en tal situación. Más concretamente, ni el mecanismo de cooperación entre las autoridades competentes en el sentido del RGPD al aplicar dicho Reglamento ( 23 ) ni otras normas precisas sobre la cooperación entre autoridades administrativas, como las relativas a la cooperación entre las autoridades de defensa de la competencia y a la cooperación entre estas y la Comisión al aplicar las normas de competencia, ( 24 ) son aplicables en el presente asunto. |
|
28. |
Dicho esto, al interpretar el RGPD, una autoridad de defensa de la competencia está no obstante vinculada por el principio de cooperación leal consagrado en el artículo 4 TUE, apartado 3, en virtud del cual la Unión y los Estados miembros, incluidas sus autoridades administrativas, ( 25 ) se respetarán y asistirán mutuamente en el cumplimiento de las misiones derivadas de los Tratados. En particular, el párrafo tercero de dicha disposición prevé que los Estados miembros ayudarán a la Unión en el cumplimiento de su misión y se abstendrán de toda medida que pueda poner en peligro la consecución de los objetivos de la Unión. ( 26 ) Además, al igual que cualquier otra autoridad administrativa encargada de la aplicación del Derecho de la Unión, una autoridad de defensa de la competencia está vinculada por el principio de buena administración como principio general del Derecho de la Unión, que contiene en particular un amplio deber de diligencia de las autoridades. ( 27 ) |
|
29. |
Así, a falta de normas precisas sobre los mecanismos de cooperación, que, en su caso, corresponde adoptar al legislador de la Unión, una autoridad de defensa de la competencia, al interpretar las disposiciones del RGPD, está sujeta, al menos, a obligaciones de información y de cooperación respecto de las autoridades competentes en el sentido de dicho Reglamento, en aplicación de las normas nacionales que regulan sus competencias (principio de autonomía procesal de los Estados miembros) y dentro del respeto de los principios de equivalencia y efectividad. ( 28 ) |
|
30. |
De ello se desprende, en mi opinión, que, cuando la autoridad de control principal competente se haya pronunciado sobre la aplicación de determinadas disposiciones del RGPD respecto de una práctica idéntica o similar, la autoridad de defensa de la competencia no podrá, en principio, apartarse de la interpretación de dicha autoridad, que es la única competente para la aplicación del citado Reglamento, ( 29 ) y deberá, en la medida de lo posible y respetando, en particular, el derecho de defensa de los interesados, cumplir cualesquiera decisiones adoptadas por esta en relación con el mismo comportamiento, ( 30 ) y, de existir dudas en el caso concreto sobre la interpretación de la autoridad competente, deberán consultarse con ella o, en su caso, cuando esta se encuentre en otro Estado miembro, con la autoridad nacional de control. ( 31 ) |
|
31. |
Además, a falta de una decisión de la autoridad de control competente, incumbe no obstante a la autoridad de defensa de la competencia informar a esta ( 32 ) y cooperar con ella cuando dicha autoridad haya iniciado el examen de la misma práctica o haya manifestado su intención de hacerlo y, en su caso, esperar el resultado del examen efectuado por esta antes de iniciar su propia apreciación, en la medida en que sea adecuado y no prejuzgue, en particular, que la autoridad de defensa de la competencia respete un plazo razonable de investigación y el derecho de defensa de los interesados. ( 33 ) |
|
32. |
En el presente asunto, me parece que el hecho de haber comenzado a cooperar con las autoridades de control responsables a nivel nacional ( 34 ) y de haberse puesto en contacto asimismo, de manera informal, con la autoridad de control principal irlandesa, circunstancias que han sido mencionadas por la Bundeskartellamt y que corresponde verificar al órgano jurisdiccional remitente, puede bastar para concluir que dicha autoridad ha cumplido sus obligaciones de diligencia y de cooperación leal. ( 35 ) |
|
33. |
En conclusión, propongo que se responda a la séptima cuestión prejudicial que los artículos 51 a 66 del RGPD deben interpretarse en el sentido de que una autoridad de defensa de la competencia, en el marco de sus facultades en el sentido de las normas en materia de competencia, puede examinar, con carácter incidental, la conformidad de las prácticas examinadas con las normas del RGPD, teniendo en cuenta cualquier decisión o investigación de la autoridad de control competente en virtud del RGPD e informando y, en su caso, consultando a la autoridad nacional de control. |
Sobre la segunda cuestión prejudicial
|
34. |
Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 9, apartado 1, del RGPD debe interpretarse en el sentido de que la práctica controvertida, cuando se refiere a la consulta de páginas web y de aplicaciones de terceros, ( 36 ) está comprendida en el tratamiento de datos personales sensibles enumerados en esa disposición, ( 37 ) que está prohibido, ( 38 ) [segunda cuestión prejudicial, letra a)] y, en caso de respuesta afirmativa, si el artículo 9, apartado 2, letra e), de dicho Reglamento debe interpretarse en el sentido de que un usuario hace manifiestamente públicos, en el sentido de esta disposición, por una parte, los datos que son revelados al consultar páginas web y aplicaciones o, por otra parte, los que son introducidos o que resultan de la utilización de botones de función integrados en estas páginas web o aplicaciones ( 39 ) [segunda cuestión prejudicial, letra b)]. |
|
35. |
Por lo que respecta, en primer lugar, a la segunda cuestión prejudicial, letra a), he de recordar que, en virtud del artículo 9, apartado 1, del RGPD, el tratamiento de datos personales sensibles está prohibido. La protección especial de estos datos trae causa, como se desprende del considerando 51 de dicho Reglamento, del hecho de que, por su naturaleza, son especialmente sensibles desde el punto de vista de los derechos fundamentales y las libertades fundamentales y de que su tratamiento podría generar riesgos importantes para tales libertades y derechos. Además, pese al carácter algo oscuro del tenor de esta disposición, ( 40 ) no me parece que, como supone el órgano jurisdiccional remitente, introduzca una diferencia sustancial entre los datos personales que son sensibles porque «revelan» una determinada situación y los datos que son sensibles por sí mismos. ( 41 ) |
|
36. |
En el presente asunto, pienso que está claro que la práctica controvertida constituye un tratamiento de datos personales que puede estar comprendido en principio en el ámbito de aplicación de dicha disposición y estar prohibido cuando los datos tratados «revelen» alguna de las situaciones sensibles que esta prevé. Por lo tanto, es preciso determinar si, y en qué medida, la consulta de sitios de Internet y de aplicaciones o la introducción de datos en ellos pueden «revelar» alguna de las situaciones sensibles contempladas en dicha disposición. |
|
37. |
A este respecto, dudo que sea pertinente (y posible en todos los casos) distinguir entre, por una parte, un mero interés del interesado respecto de cierta información y, por otra parte, su inclusión en una de las categorías contempladas en la disposición en cuestión. ( 42 ) Aunque las posiciones de las partes en el litigio principal difieren a este respecto, ( 43 ) considero que la respuesta a esta cuestión únicamente puede buscarse en cada caso concreto y habida cuenta de cada una de las actividades que componen la práctica controvertida. |
|
38. |
Si bien, como señala el Gobierno alemán, la mera recogida de datos personales sensibles relativos a la consulta de un sitio de Internet o de una aplicación no constituye, por sí sola, necesariamente un tratamiento de datos personales sensibles en el sentido de dicha disposición, ( 44 ) la combinación de esos datos con la cuenta de Facebook del usuario de que se trate o su utilización son comportamientos que, en cambio, podrían constituir más fácilmente ese tratamiento. El elemento decisivo a efectos de la aplicación del artículo 9, apartado 1, del RGPD es, en mi opinión, la posibilidad de que los datos tratados permitan elaborar el perfil del usuario según las categorías que se desprenden de la enumeración de datos personales sensibles efectuada por esta disposición. ( 45 ) |
|
39. |
En este contexto, para poder determinar si un tratamiento de datos está comprendido en el ámbito de aplicación de dicha disposición, puede resultar útil distinguir, en su caso, por una parte, el tratamiento de los datos que pueden clasificarse prima facie en la categoría de datos personales sensibles y que permiten por sí solos elaborar el perfil del interesado y, por otra parte, el tratamiento de datos que no son sensibles por sí mismos pero que requieren una actividad posterior de agrupación para extraer conclusiones plausibles a fin de elaborar el perfil del interesado. |
|
40. |
Sentado lo anterior, es preciso indicar que la existencia de una clasificación en el sentido de esta disposición es independiente de si tal clasificación es verdadera o correcta. ( 46 ) Lo que importa es la posibilidad de que dicha clasificación entrañe un riesgo importante para las libertades fundamentales y los derechos fundamentales del interesado, como se recuerda en el considerando 51 del RGPD, posibilidad que es independiente de su veracidad. |
|
41. |
Por último, en cuanto a la solicitud del órgano jurisdiccional remitente de que se dilucide si la finalidad de la utilización es pertinente a efectos de la apreciación en cuestión, ( 47 ) considero, contrariamente a lo que afirma el demandante en el litigio principal, que, en principio, no se exige que el responsable del tratamiento trate estos datos «sabiendo y con la intención de deducir directamente de ellos categorías especiales de información». En efecto, el objetivo de la disposición en cuestión consiste básicamente en evitar, de forma objetiva, riesgos importantes para las libertades fundamentales y los derechos fundamentales de los interesados, generados por el tratamiento de datos personales sensibles, con independencia de cualquier elemento subjetivo, como la intención del responsable del tratamiento. |
|
42. |
En lo que atañe, en segundo lugar, a la segunda cuestión prejudicial, letra b), he de recordar que, en virtud del artículo 9, apartado 2, letra e), del RGPD, la prohibición del tratamiento de datos personales sensibles no será de aplicación cuando el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos. Además, la referencia, en el tenor de esta disposición, al adverbio «manifiestamente» y el hecho de que dicha disposición constituya una excepción al principio de prohibición del tratamiento de datos personales sensibles ( 48 ) exigen una aplicación particularmente estricta de esta excepción, debido a los importantes riesgos para los derechos fundamentales y las libertades fundamentales de los interesados. ( 49 ) Para que pueda aplicarse esta excepción, el usuario debe, a mi modo de ver, ser plenamente consciente de que, mediante un acto explícito, ( 50 ) hace públicos datos personales. ( 51 ) |
|
43. |
En el presente asunto, considero que un comportamiento que consiste en consultar sitios de Internet y aplicaciones, en introducir datos en esos sitios y esas aplicaciones y en accionar botones de función integrados en ellos no puede, en principio, asimilarse a un comportamiento que haga manifiestamente públicos los datos personales sensibles del usuario en el sentido del artículo 9, apartado 2, letra e) del RGPD. |
|
44. |
Más concretamente, he de señalar que, en principio, la consulta de sitios de Internet y de aplicaciones únicamente pone los datos de consulta a disposición del administrador de la página web o de la aplicación en cuestión y de los terceros a los que este transmita la referida información, como el demandante en el litigio principal. ( 52 ) De igual modo, si bien, mediante la introducción de datos en sitios de Internet y aplicaciones, el interesado puede facilitar, de forma directa y voluntaria, información sobre determinados datos de carácter personal sensibles, procede observar asimismo que esta información únicamente está a disposición del administrador del sitio o de la aplicación en cuestión y de los terceros a los que este transmita tal información. Por lo tanto, excluyo que estos comportamientos puedan poner de manifiesto la voluntad de poner tales datos a disposición del público en general. ( 53 ) Además, si bien es evidente que, mediante la activación de botones de función integrados en sitios de Internet o en aplicaciones, ( 54 ) el interesado expresa claramente la voluntad de compartir determinada información con un público externo al sitio de Internet o a la aplicación en cuestión, considero que, como subraya la Bundeskartellamt, mediante este comportamiento la persona en cuestión es consciente de compartir información con un círculo determinado de personas, a menudo definido por el propio usuario, ( 55 ) y no con el público en general. ( 56 ) |
|
45. |
En lo tocante, por último, a la pertinencia de un eventual consentimiento dado por el usuario en el sentido del artículo 5, apartado 3, de la Directiva 2002/58 para que los datos personales puedan obtenerse a través de «chivatos» (cookies) o de tecnologías similares, mencionado por el órgano jurisdiccional remitente, considero que este consentimiento, habida cuenta de su objetivo específico, no puede justificar por sí solo el tratamiento de datos personales sensibles obtenidos por estos medios. ( 57 ) En efecto, dicho consentimiento, que resulta necesario para instalar un medio técnico de captación de determinadas actividades del usuario ( 58 ) no afecta al tratamiento de datos personales sensibles y no puede asimilarse a la voluntad de hacer manifiestamente públicos estos datos en el sentido del artículo 9, apartado 2, letra e), del RGPD. ( 59 ) |
|
46. |
En conclusión, propongo que se responda a la segunda cuestión prejudicial que, por una parte, el artículo 9, apartado 1, del RGPD debe interpretarse en el sentido de que la prohibición de tratamiento de datos personales sensibles puede incluir el tratamiento de datos efectuado por un operador de una red social en línea consistente en la recogida de datos personales de un usuario cuando consulte otros sitios de Internet o aplicaciones o introduzca allí tales datos, en la combinación de esos datos con la cuenta de usuario de la red social y en su utilización, siempre que la información tratada, individualmente considerada o agrupada, permita elaborar el perfil del usuario según las categorías que se desprenden de la enumeración de datos personales sensibles contenida en dicha disposición y que, por otra parte, el artículo 9, apartado 2, letra e), del RGPD debe interpretarse en el sentido de que un usuario no hace manifiestamente públicos los datos que revela al consultar páginas web y aplicaciones o que introduce en esas páginas web o aplicaciones o que resultan de la utilización de botones de función integrados en las mismas. |
Sobre las cuestiones prejudiciales tercera a quinta
|
47. |
Mediante sus cuestiones prejudiciales tercera a quinta, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 6, apartado 1, letras b), c), d), e) y f), del RGPD debe interpretarse en el sentido de que la práctica controvertida ( 60 ) está comprendida en el ámbito de aplicación de una de las justificaciones previstas en dichas disposiciones y, más concretamente:
|
|
48. |
Con carácter preliminar, pese a algunas dudas sobre la admisibilidad de las cuestiones prejudiciales cuarta y quinta, ( 68 ) propongo que se responda conjuntamente a las cuestiones prejudiciales tercera a quinta, en la medida en que las indicaciones que expondré más adelante, principalmente en relación con la tercera cuestión prejudicial también podrán ser útiles para el órgano jurisdiccional remitente al aplicar las disposiciones objeto de las cuestiones prejudiciales cuarta y quinta. |
|
49. |
Con carácter principal, he de señalar que, con arreglo al artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), los datos de carácter personal se tratarán de modo leal, para fines concretos y sobre la base de un fundamento legítimo previsto por la ley. A este respecto, el artículo 6, apartado 1, del RGPD precisa que el tratamiento de estos datos solo será lícito si se cumple alguna de las seis condiciones enunciadas en dicha disposición. ( 69 ) |
|
50. |
En el presente asunto, antes de nada, considero que las cuestiones prejudiciales tercera a quinta requieren un análisis detallado caso por caso de las diferentes cláusulas de las condiciones de servicio de Facebook en el contexto de la práctica controvertida, ya que no es posible determinar si, con respecto a esta práctica, «una empresa como [Meta Platforms]» puede invocar, de forma global, todas (o algunas de) las justificaciones enumeradas en el artículo 6, apartado 1, del RGPD, aunque no quepa excluir que dicha práctica o algunas de sus actividades puedan, en algunos casos, estar comprendidas en el ámbito de aplicación de dicho artículo. ( 70 ) |
|
51. |
A continuación, el tratamiento previsto por las disposiciones citadas se efectúa, en el presente asunto, sobre la base de las condiciones generales del contrato impuestas por el responsable del tratamiento, sin el consentimiento del interesado, ( 71 ) o incluso contra su voluntad, lo que, en mi opinión, requiere una interpretación estricta de las justificaciones en cuestión, en particular con el fin de evitar que se eluda el requisito del consentimiento. ( 72 ) |
|
52. |
Por último, ha de recordarse que, con arreglo al artículo 5, apartado 2, del RGPD, incumbe al responsable del tratamiento la carga de la prueba de que los datos personales son tratados según la norma de dicho Reglamento y que, de conformidad con el artículo 13, apartado 1, letra c), de dicho Reglamento, incumbe al responsable del tratamiento de datos personales precisar los fines del tratamiento al que están destinados los datos y la base jurídica del tratamiento. |
Sobre la tercera cuestión prejudicial
|
53. |
En primer lugar, según el artículo 6, apartado 1, letra b), del RGPD, el tratamiento de datos personales será lícito en la medida en que sea necesario para la ejecución de un contrato en el que el interesado es parte. ( 73 ) |
|
54. |
A este respecto, he de recordar que el concepto de «necesidad» no está definido en la legislación de la Unión, sino que constituye, según la jurisprudencia, un concepto autónomo del Derecho de la Unión. ( 74 ) Para que el tratamiento sea necesario para la ejecución del contrato, no basta con que se efectúe al ejecutar el contrato, se mencione en el contrato, ( 75 ) o resulte simplemente útil para la ejecución del contrato. ( 76 ) Según la jurisprudencia del Tribunal de Justicia, el tratamiento debe ser objetivamente necesario para la ejecución del contrato, en el sentido de que no deben existir otras soluciones realistas y menos intrusivas, ( 77 ) habida cuenta asimismo de las expectativas razonables del interesado. ( 78 ) Esto conlleva asimismo que, cuando el contrato incluya varios servicios o elementos de un servicio independientes que pueden ejecutarse de manera independiente entre sí, la aplicabilidad del artículo 6, apartado 1, letra b), del RGPD debe evaluarse en el contexto de cada uno de dichos servicios por separado. ( 79 ) |
|
55. |
En el marco de esta justificación, el órgano jurisdiccional remitente menciona la personalización de los contenidos y el disfrute coherente y fluido de los productos (o más bien de los servicios) del grupo. |
|
56. |
En lo que respecta a la personalización de los contenidos, me parece que si bien tal actividad puede hasta cierto punto redundar en interés del usuario, en la medida en que permite presentar, en particular en la «sección de noticias», contenidos que, de conformidad con una evaluación automatizada, corresponden a los intereses del usuario, no es evidente que también sea necesaria para la prestación del servicio de la red social en cuestión, de modo que el tratamiento de datos personales con este fin no requiera el consentimiento de dicho usuario. ( 80 ) A efectos de este examen, también debe tenerse en cuenta que la práctica controvertida no se refiere al tratamiento de datos relativos al comportamiento del usuario dentro de la página o de la aplicación Facebook, sino al tratamiento de datos procedentes de fuentes externas y, por lo tanto, potencialmente ilimitados. Me pregunto, pues, en qué medida este tratamiento puede corresponder a las expectativas de un usuario medio y, más en general, cuál es el «grado de personalización» que este puede esperar del servicio en el que se registra. ( 81 ) |
|
57. |
Por lo que respecta al disfrute coherente y fluido de los servicios del grupo, he de observar que una relación entre los diferentes servicios ofrecidos por el demandante en el litigio principal, por ejemplo, entre Facebook e Instagram, puede ciertamente resultar útil para el usuario, o incluso a veces este puede desear tal relación. Sin embargo, dudo que un tratamiento de los datos personales procedentes de otros servicios del grupo (en particular de Instagram) sea necesario para la prestación de los servicios de Facebook. ( 82 ) |
|
58. |
En segundo lugar, según el artículo 6, apartado 1, letra f), del RGPD, el tratamiento de datos personales será lícito en la medida en que sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. |
|
59. |
Según la jurisprudencia del Tribunal de Justicia, la disposición en cuestión fija tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito: primero, que el responsable del tratamiento o el tercero o terceros a quienes se comuniquen los datos persigan un interés legítimo; segundo, que el tratamiento sea necesario para la satisfacción de ese interés legítimo y, tercero, que no prevalezcan los derechos fundamentales y libertades fundamentales del interesado en la protección de los datos. ( 83 ) |
|
60. |
Por lo que respecta, antes de nada, a la satisfacción de intereses legítimos, he de recordar que el RGPD y la jurisprudencia reconocen una amplia gama de intereses considerados legítimos, ( 84 ) debiendo precisarse que, de conformidad con el artículo 13, apartado 1, letra d), del RGPD, incumbe al responsable del tratamiento indicar los intereses legítimos perseguidos en el marco del artículo 6, apartado 1, letra f), del RGPD. ( 85 ) |
|
61. |
Por lo que atañe, a continuación, al requisito de que el tratamiento de datos sea necesario para la satisfacción del interés legítimo perseguido, según la jurisprudencia del Tribunal de Justicia, las excepciones y restricciones al principio de protección de los datos de carácter personal deben establecerse sin sobrepasar los límites de lo estrictamente necesario. ( 86 ) Por lo tanto, debe existir, una relación estrecha entre el tratamiento y el interés perseguido, a falta de alternativas más respetuosas con la protección de datos personales, puesto que no es suficiente que el tratamiento sea simplemente útil para el responsable del tratamiento. |
|
62. |
Por último, en lo tocante a la ponderación, por una parte, de los intereses del responsable del tratamiento y, por otra parte, de los intereses o las libertades fundamentales y los derechos fundamentales del interesado, según la jurisprudencia del Tribunal de Justicia, incumbe al órgano jurisdiccional remitente ponderar los intereses en juego. ( 87 ) Además, como se señala en el considerando 47 del RGPD, en el marco de esta ponderación es indispensable tener en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable del tratamiento y determinar si el interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. |
|
63. |
En el marco de esta justificación, el órgano jurisdiccional remitente menciona la personalización de la publicidad, la seguridad de la red y la mejora de los productos. |
|
64. |
Por lo que respecta, en primer lugar, a la personalización de la publicidad, del considerando 47 del RGPD se desprende que el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo del responsable del tratamiento. No obstante, por lo que respecta a la necesidad del tratamiento, es preciso señalar que los datos en cuestión proceden de fuentes externas a Facebook y se plantea, por lo tanto, la cuestión de cuál es el «grado de personalización» de la publicidad objetivamente necesaria a este respecto. En lo que atañe a la ponderación de los intereses en juego, procede, en mi opinión, tener en cuenta la naturaleza del interés legítimo en cuestión (en el presente asunto, un interés puramente económico), así como el impacto del tratamiento en el usuario, incluidas sus expectativas razonables, y las posibles medidas de salvaguardia que pueda adoptar el responsable del tratamiento. ( 88 ) |
|
65. |
A continuación, pueden formularse consideraciones similares por lo que respecta a la seguridad de la red. En efecto, si bien tal justificación puede constituir un interés legítimo del responsable del tratamiento, ( 89 ) no es tan evidente concluir que el tratamiento es necesario en el presente asunto, habida cuenta asimismo de que los datos en cuestión proceden de fuentes externas a Facebook. ( 90 ) En cualquier caso, ha de recordarse que incumbe al responsable del tratamiento precisar los fines de seguridad en los que se base eventualmente cada tratamiento. |
|
66. |
Por último, en lo que respecta a la mejora de los productos, si las mejoras relacionadas con la seguridad, que se enmarcan en la justificación específica examinada anteriormente, quedan excluidas, me parece que tal justificación debería redundar más bien en interés del usuario que en el del responsable del tratamiento de los datos. Desde esta perspectiva, es difícil comprender en qué medida podría constituir un interés legítimo del responsable y eludir el consentimiento del usuario. En relación con el requisito de la necesidad y la ponderación de los derechos e intereses en juego, me remito a las consideraciones anteriores. |
Sobre las cuestiones prejudiciales cuarta y quinta
|
67. |
La cuarta cuestión prejudicial, que constituye, en esencia, una ampliación de la segunda parte de la tercera cuestión prejudicial, tiene por objeto que se dilucide si la repetición de algunas de las situaciones previstas supone la existencia de un interés legítimo en el sentido del artículo 6, apartado 1, letra f), del RGPD, mientras que, mediante su quinta cuestión prejudicial, el órgano jurisdiccional remitente desea saber si la necesidad de responder a una petición lícita de determinados datos, la de combatir un comportamiento nocivo y de mejorar la seguridad o de investigar por el bien de la sociedad y la de mejorar la protección, la integridad y la seguridad constituyen justificaciones aplicables a la práctica controvertida. ( 91 ) |
|
68. |
Con independencia de la admisibilidad de estas cuestiones, ( 92 ) considero con carácter general que no cabe excluir, por lo que se refiere a la cuarta cuestión prejudicial, que algunas de las cláusulas que configuran la práctica controvertida puedan quedar justificadas por intereses legítimos en las circunstancias mencionadas por el órgano jurisdiccional remitente ( 93 ) y, por lo que se refiere a la quinta cuestión prejudicial, que, en determinadas situaciones, la práctica controvertida pueda estar justificada por las disposiciones citadas. |
|
69. |
Sin embargo, de la resolución de remisión no se desprende si Meta Platforms Ireland indicó, y en qué medida, respecto de cada finalidad de tratamiento y tipología de datos tratados, los intereses legítimos concretamente perseguidos o las demás justificaciones eventualmente pertinentes en el presente asunto. ( 94 ) Por lo tanto, corresponde al órgano jurisdiccional remitente, habida cuenta de las indicaciones anteriores, examinar en qué medida, en las circunstancias mencionadas por dicho órgano jurisdiccional, la práctica controvertida está justificada, por la existencia de intereses legítimos de Meta Platforms Ireland en el tratamiento de datos en el sentido del artículo 6, apartado 1, letra f), del RGPD o por cualquier otra de las condiciones previstas en el artículo 6, apartado 1, letras c), d) y e), de dicho Reglamento. |
Sobre la respuesta a las cuestiones prejudiciales tercera a quinta
|
70. |
En conclusión, propongo que se responda a las cuestiones prejudiciales tercera a quinta que el artículo 6, apartado 1, letras b), c), d), e) y f), del RGPD debe interpretarse en el sentido de que la práctica controvertida o algunas de las actividades que la conforman pueden estar comprendidas en las excepciones previstas en estas disposiciones, siempre que cada modalidad de tratamiento de datos examinada cumpla las condiciones previstas respecto de la justificación específicamente formulada por el responsable del tratamiento y que, por lo tanto:
|
Sobre la sexta cuestión prejudicial
|
71. |
Mediante su sexta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 6, apartado 1, letra a), y el artículo 9, apartado 2, letra a), del RGPD deben interpretarse en el sentido de que es posible una prestación válida y libre del consentimiento en el sentido del artículo 4, punto 11, de dicho Reglamento, frente a una empresa con posición dominante en el mercado nacional de las redes sociales en línea para usuarios privados. |
|
72. |
Con carácter preliminar, he de recordar que el artículo 6, apartado 1, letra a), y el artículo 9, apartado 2, letra a), del RGPD establecen la obligación de que el interesado dé su consentimiento, respectivamente en lo que se refiere al tratamiento de datos personales en general y al tratamiento de datos personales sensibles. Además, según el artículo 4, punto 11, del RGPD, a efectos de dicho Reglamento, se entenderá por «consentimiento» del interesado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. ( 95 ) |
|
73. |
Por lo que se refiere, más concretamente, al requisito de la «libertad» del consentimiento, que es la única que se pone en entredicho en el presente asunto, procede observar que, con arreglo al considerando 42 del RGPD, el consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección ( 96 ) o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. ( 97 ) Además, como se prevé en el artículo 7, apartado 1, del RGPD (y se recuerda en el considerando 42 de dicho texto), cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales. |
|
74. |
Por lo que respecta al presente asunto, ha de recordarse, antes de nada, que, como pone de relieve el considerando 43, primera frase, del RGPD, el consentimiento no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal cuando exista un «desequilibro claro» entre el interesado y el responsable del tratamiento; ( 98 ) a continuación, que, a tenor del artículo 7, apartado 4, del RGPD, al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de ese contrato, ( 99 ) y, por último, que, de conformidad con el considerando 43, segunda frase, del RGPD, se presume asimismo que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto. ( 100 ) |
|
75. |
En el presente asunto, considero que una posible posición dominante en el mercado por parte del responsable del tratamiento de datos personales que administra una red social incide en la apreciación de la existencia de un consentimiento libre por parte del usuario de dicha red. En efecto, la existencia una situación de poder de mercado del responsable del tratamiento de datos personales puede crear un desequilibro claro de las relaciones de fuerza, en el sentido indicado en el punto 74 de las presentes conclusiones. ( 101 ) No obstante, debe indicarse, por una parte, que, para que dicha situación de poder de mercado sea pertinente desde el punto de vista de la aplicación del RGPD, no debe equipararse necesariamente al nivel de posición dominante en el sentido del artículo 102 TFUE ( 102 ) y, por otra parte, que esta única circunstancia no puede privar, en principio, al consentimiento de validez. ( 103 ) |
|
76. |
Por lo tanto, la validez de un consentimiento deberá examinarse caso por caso, a la luz de los demás elementos mencionados en los puntos 73 y 74 de las presentes conclusiones y habida cuenta de todas las circunstancias del caso y de que incumbe al responsable del tratamiento demostrar que el interesado dio su consentimiento para el tratamiento de los datos personales que le conciernen. |
|
77. |
En conclusión, propongo que se responda a la sexta cuestión prejudicial que el artículo 6, apartado 1, letra a), y el artículo 9, apartado 2, letra a), del RGPD deben interpretarse en el sentido de que la mera circunstancia de que la empresa que administra una red social disfrute de una posición dominante en el mercado nacional de las redes sociales en línea para usuarios privados no puede, por sí sola, privar al consentimiento del usuario de dicha red para el tratamiento de sus datos personales de su carácter válido en el sentido del artículo 4, apartado 11, del RGPD. No obstante, tal circunstancia incide en la apreciación de la libertad del consentimiento en el sentido de dicha disposición, que incumbe demostrar al responsable del tratamiento, habida cuenta, en su caso, de la existencia de un desequilibrio claro de las relaciones de fuerza entre el interesado y el responsable del tratamiento, de la posible obligación de prestar consentimiento para el tratamiento de datos personales distintos de los estrictamente necesarios para la prestación de los servicios en cuestión, de la necesidad de que el consentimiento sea específico para cada finalidad de tratamiento y de la necesidad de evitar que la retirada del consentimiento suponga un perjuicio para el usuario que retire su consentimiento. |
Conclusión
|
78. |
Habida cuenta de las consideraciones anteriores, propongo al Tribunal de Justicia que responda a las cuestiones prejudiciales planteadas por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania) del siguiente modo:
|
( 1 ) Lengua original: francés.
( 2 ) A saber, Meta Platforms Inc., anteriormente Facebook Inc., Meta Platforms Ireland Limited, anteriormente Facebook Ireland Ltd., y Facebook Deutschland GmbH (en lo sucesivo, «Meta Platforms» o «demandante en el litigio principal»).
( 3 ) Resolución B6‑22/16, de 6 de febrero de 2019 (en lo sucesivo, «resolución controvertida»).
( 4 ) Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2018, L 127, p. 2; en lo sucesivo, «RGPD»).
( 5 ) En su versión en vigor hasta el 18 de enero de 2021.
( 6 ) A tal fin, Meta Platforms recoge, además de los datos que los usuarios facilitan directamente en el momento de su inscripción en los servicios en línea en cuestión, otros datos de usuario y de dispositivo relativos a la actividad del usuario dentro y fuera de la red social y de los servicios en línea prestados por el grupo, y vincula estos datos a las diferentes cuentas de los usuarios afectados. Los referidos datos, considerados en su conjunto, permiten extraer conclusiones detalladas sobre las preferencias y los intereses de los usuarios.
( 7 ) Por lo que respecta, más concretamente, al tratamiento de datos personales, las condiciones de servicio se remiten a las políticas de datos y de «chivatos» (cookies) establecidas por Meta Platforms. En virtud de estas últimas, Meta Platforms recoge datos de usuario y de dispositivo relativos a la actividad del usuario dentro y fuera de la red social y los asigna a las cuentas de Facebook. Las actividades que se desarrollan fuera de la red social son, por un lado, la visita a páginas web y aplicaciones de terceros, vinculadas a Facebook a través de interfaces de programación (a saber, «herramientas de Facebook para empresas»), y, por otro, el uso de los demás servicios en línea pertenecientes al grupo Meta Platforms, entre los que se encuentran Instagram y WhatsApp.
( 8 ) Según la Bundeskartellamt, ese tratamiento, en cuanto emanación del poder de mercado, infringió las disposiciones del RGPD y no estaba justificado a la luz del artículo 6, apartado 1, y del artículo 9, apartado 2, de dicho Reglamento.
( 9 ) Por otra parte, el 31 de julio de 2019, a iniciativa de la Comisión Europea y de las federaciones nacionales de consumidores de los Estados miembros, Meta Platforms introdujo nuevas condiciones de servicio en las que se declaraba expresamente que, en lugar del pago por el uso de los productos de Facebook, el usuario consentía recibir publicidad. Además, desde el 28 de enero de 2020, Meta Platforms ofrece en todo el mundo la actividad fuera de Facebook denominada «Off-Facebook-activity», que permite a los usuarios de Facebook recibir un resumen de la información que les concierne, obtenida de sus actividades en otras páginas web y aplicaciones, y solicitar que se desvinculen dichos datos de su cuenta de Facebook, con efectos tanto retroactivos como futuros.
( 10 ) A mi modo de ver, los términos «declare una infracción del RGPD […] y dicte una orden de cesación de dicha infracción» que figuran en la primera cuestión prejudicial deben interpretarse en este sentido.
( 11 ) En cualquier caso, dado que el RGPD prevé una armonización completa del derecho de la protección de datos, cuyo elemento central es un mecanismo armonizado de aplicación basado en el principio de «ventanilla única» previsto en los artículos 51 a 67 de dicho Reglamento, me parece evidente que una autoridad distinta de las autoridades de control en el sentido de dicho Reglamento (como una autoridad de defensa de la competencia) no es competente ni para declarar con carácter principal la infracción de ese mismo Reglamento ni para aplicar las sanciones previstas.
( 12 ) En todo caso, habida cuenta de que una autoridad de defensa de la competencia no es competente ni para declarar con carácter principal la infracción de dicho Reglamento ni para aplicar las sanciones previstas, considero que una posible decisión en este sentido de una autoridad de defensa de la competencia no puede invadir las competencias de las autoridades de control en el sentido del RGPD.
( 13 ) Considero que este es el sentido en el que procede interpretar los términos «está facultada […] para hacer apreciaciones, por ejemplo, al ponderar los intereses en juego, sobre la conformidad de las condiciones de tratamiento de datos de dicha empresa y su ejecución con el RGPD» que figuran en la séptima cuestión prejudicial.
( 14 ) Véase la nota 11 de las presentes conclusiones.
( 15 ) Reglamento del Consejo, de 16 de diciembre de 2002, relativo a la aplicación de las normas sobre competencia previstas en los artículos [101 TFUE] y [102 TFUE] (DO 2003, L 1, p. 1).
( 16 ) Al igual que el artículo 19 de la GWB, en el que se basa la resolución controvertida.
( 17 ) Véase, a modo de ejemplo, la sentencia de 6 de septiembre de 2017, Intel/Comisión (C‑413/14 P, EU:C:2017:632), apartado 136 y jurisprudencia citada. Por otra parte, el Tribunal de Justicia ha precisado que el ámbito de aplicación del artículo 102 TFUE es de alcance general y no puede verse limitado por el hecho de que exista un marco regulador adoptado por el legislador de la Unión, en este caso, el marco regulador en materia de comunicaciones electrónicas (véase, en este sentido, la sentencia de 10 de julio de 2014, Telefónica y Telefónica de España/Comisión, C‑295/12 P, EU:C:2014:2062, apartado 128).
( 18 ) En efecto, a la luz de los diferentes objetivos de ambas categorías de normas, es evidente que un comportamiento relativo al tratamiento de datos puede constituir una infracción de las normas de competencia aun cuando sea conforme con el RGPD y, a la inversa, un comportamiento ilegal en el sentido de este no lleva necesariamente a concluir que entraña una infracción de las normas de competencia. A este respecto, el Tribunal de Justicia ha precisado que la conformidad de un comportamiento con una legislación específica no excluye la aplicabilidad, a ese mismo comportamiento, de los artículo 101 y 102 TFUE (véase, en particular, la sentencia de 6 de diciembre de 2012, AstraZeneca/Comisión, C‑457/10 P, EU:C:2012:770, apartado 132, en la que el Tribunal de Justicia recordó asimismo que los abusos de posición dominante consisten, en la mayoría de los casos, en comportamientos que son, por otra parte, legales respecto de otras ramas del Derecho distintas del Derecho de la competencia). En efecto, si solo se considerasen abusivas en el sentido del artículo 102 TFUE las prácticas que son a la vez objetivamente restrictivas de la competencia y jurídicamente ilegales, ello implicaría que un comportamiento, por el mero hecho de su legalidad, aun cuando fuera potencialmente perjudicial para la competencia, no podría ser sancionado con arreglo al artículo 102 TFUE, lo que pondría en peligro el objetivo de esta disposición, consistente en establecer un régimen que garantice que la competencia no sea falseada en el mercado interior (véanse, en este sentido, mis conclusiones presentadas en el asunto Servizio Elettrico Nazionale y otros, C‑377/20, EU:C:2021:998, punto 37). Según la jurisprudencia del Tribunal de Justicia, únicamente si una legislación nacional impone a las empresas un comportamiento contrario a la competencia o si crea un marco jurídico que limita por sí mismo cualquier posibilidad de comportamiento competitivo por parte de las empresas, no se aplican los artículos 101 TFUE y 102 TFUE, mientras que cabe aplicar estos artículos si la legislación nacional deja subsistir la posibilidad de una competencia que puede ser obstaculizada, restringida o falseada por comportamientos autónomos de las empresas (véase, en este sentido, la sentencia de 14 de octubre de 2010, Deutsche Telekom/Comisión, C‑280/08 P, EU:C:2010:603, apartado 80 y jurisprudencia citada).
( 19 ) En efecto, una interpretación según la cual está prohibido que las autoridades de defensa de la competencia interpreten, en el ejercicio de sus competencias, las disposiciones del RGPD, pondría en entredicho la aplicación efectiva del Derecho de la competencia de la Unión.
( 20 ) Por otra parte, el carácter incidental de la interpretación del RGPD por la autoridad de defensa de la competencia no impide que esta interpretación esté sujeta a un control jurisdiccional ante los órganos jurisdiccionales nacionales competentes en materia de competencia, que, en caso de dificultades de interpretación, podrían verse obligados a plantear al Tribunal de Justicia una petición de decisión prejudicial, como en el presente asunto en lo que respecta a las cuestiones prejudiciales segunda a sexta.
( 21 ) En efecto, la interpretación del RGPD por la autoridad de defensa de la competencia únicamente a efectos de la aplicación de las normas (y, en su caso, de la imposición de sanciones) previstas por el Derecho de la competencia no puede privar a las autoridades de control de sus competencias y poderes en el marco de dicho Reglamento. Además, la posibilidad de interpretación incidental de dicho Reglamento por la autoridad de defensa de la competencia tampoco suscita dificultades en cuanto a su aplicación, que está reservada a las autoridades de control, ni en cuanto a la imposición de medidas correctivas o de sanciones, puesto que las medidas o sanciones que eventualmente impone una autoridad de defensa de la competencia se basan en normas, objetivos e intereses legítimos distintos de los protegidos por el citado Reglamento [por este motivo, por otra parte, en tal situación, la imposición de sanciones por parte de la autoridad de defensa de la competencia y de la autoridad de control en el sentido del RGPD no se rige, a mi modo de ver, por el principio non bis in idem (véase, por analogía, la sentencia de 22 de marzo de 2022, bpost,C‑117/20, EU:C:2022:202, apartados 42 a 50).
( 22 ) Por otra parte, el riesgo de interpretación divergente es inherente a todo ámbito regulado por una normativa que la autoridad de defensa de la competencia debe, o puede, tener en cuenta para apreciar la legalidad de un determinado comportamiento en relación con el Derecho de la competencia.
( 23 ) Los capítulos VI y VII del RGPD establecen, en particular, mecanismos de «ventanilla única» de intercambio de información y de asistencia mutua entre las autoridades de control.
( 24 ) Véanse el Reglamento n.o 1/2003 y la Directiva (UE) 2019/1 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, encaminada a dotar a las autoridades de competencia de los Estados miembros de medios para aplicar más eficazmente las normas sobre competencia y garantizar el correcto funcionamiento del mercado interior (DO 2019, L 11, p. 3).
( 25 ) Véanse, en particular, en este sentido, las sentencias de 14 de noviembre de 1989, Italia/Comisión (14/88, EU:C:1989:421), apartado 20, y de 11 de junio de 1991, Athanasopoulos y otros (C‑251/89, EU:C:1991:242), apartado 57.
( 26 ) Por otra parte, el propio mecanismo de cooperación entre las autoridades de control establecido por el RGPD puede considerarse una lex specialis que completa y precisa el principio general de cooperación leal enunciado en el artículo 4 TUE, apartado 3 (véase, en particular, en la doctrina, Hijmans, H., «Article 51 Supervisory authority», The EU General Data Protection Regulation (GDPR): A Commentary, Oxford, 2020, p. 869). Lo mismo sucede con los demás instrumentos de cooperación preexistentes al previsto por el RGPD, como el sistema de cooperación entre las autoridades de defensa de la competencia (véase, en particular, el capítulo IV del Reglamento n.o 1/2003).
( 27 ) Véanse, en este sentido, las conclusiones de la Abogada General Trstenjak presentadas en el asunto Gorostiaga Atxalandabaso/Parlamento (C‑308/07 P, EU:C:2008:498), punto 89.
( 28 ) Véase, en particular, la sentencia de 2 de junio de 2022, Skeyes (C‑353/20, EU:C:2022:423), apartado 52 y jurisprudencia citada. En mi opinión, cabe extraer, en su caso, del sistema de cooperación establecido por el RGPD, así como del establecido en el ámbito de la competencia, orientaciones sobre los pasos a seguir, debiendo precisarse que, a falta de disposiciones ad hoc, el deber de diligencia que recae sobre la autoridad de defensa de la competencia no llega hasta el extremo de someterla a obligaciones detalladas como, en particular, las previstas en el marco del procedimiento de cooperación y de coherencia regulado en el capítulo VII del RGPD (por ejemplo, no puede esperarse de la autoridad de defensa de la competencia que envíe un proyecto de decisión a la autoridad de control competente en el sentido de dicho Reglamento con miras a que esta emita su dictamen).
( 29 ) Véase, en particular, por analogía, por lo que respecta a un ámbito cubierto por la normativa de la Unión en materia farmacéutica, la sentencia de 23 de enero de 2018, F. Hoffmann-La Roche y otros (C‑179/16, EU:C:2018:25), apartados 58 a 64.
( 30 ) En otras palabras, esta decisión forma parte del marco jurídico y fáctico que la autoridad de defensa de la competencia está obligada a examinar, pudiendo extraer sus propias conclusiones de ello desde el punto de vista de la aplicación del Derecho de la competencia (véase la nota 18 de las presentes conclusiones).
( 31 ) Habida cuenta del papel y de las funciones de las autoridades nacionales de control en el sistema de cooperación establecido por el RGPD, considero que una interacción con la autoridad nacional de control puede bastar, por sí sola, para cumplir las obligaciones de diligencia y cooperación leal de la autoridad de defensa de la competencia, en particular cuando esta no tiene la posibilidad (teniendo en cuenta los procedimientos de Derecho nacional aplicables) o los medios (en particular lingüísticos) para interactuar de manera satisfactoria con la autoridad de control principal de otro Estado miembro.
( 32 ) O, en su caso, cuando dicha autoridad esté en otro Estado miembro, la autoridad nacional de control (véase la nota 31 de las presentes conclusiones).
( 33 ) Debiendo tenerse presente que la interpretación dada por una autoridad de defensa de la competencia a determinadas disposiciones del RGPD en el ejercicio de sus facultades no prejuzga la interpretación y la aplicación de estas por parte de las autoridades de control competentes en el sentido de dicho Reglamento (véase la nota 21 de las presentes conclusiones).
( 34 ) La Bundeskartellamt alega, a este respecto, que se basó en el Derecho alemán de la competencia, que le permite mantener intercambios con las autoridades nacionales de control en el sentido del RGPD.
( 35 ) Ello es tanto más cierto cuanto que, como alega la Bundeskartellamt, la autoridad de control federal alemana y la autoridad de control principal irlandesa le confirmaron que esta última no había iniciado ningún procedimiento con respecto a las mismas prácticas que las examinadas por esta.
( 36 ) El órgano jurisdiccional remitente se refiere, en particular, a la consulta por el usuario de páginas web o de aplicaciones y a la introducción de datos en esas páginas o aplicaciones (como aplicaciones de citas o redes sociales de contactos homosexuales, páginas web de partidos políticos o páginas web relacionadas con la salud), que generan datos protegidos por la disposición en cuestión.
( 37 ) En lo sucesivo «datos personales sensibles». Este término se refiere al tratamiento de datos personales que revelan el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, así como al tratamiento de datos genéticos, de datos biométricos dirigidos a identificar de manera unívoca a una persona física, de datos relativos a la salud o de datos relativos a la vida sexual o la orientación sexual de una persona física.
( 38 ) Debo señalar, incidentalmente, que la Bundeskartellamt alberga dudas en cuanto a la pertinencia de esta cuestión para la solución del litigio, debido a que, en su resolución, esta tuvo en cuenta un consentimiento en el sentido del artículo 6, apartado 1, letra a), del RGPD y no un consentimiento con arreglo al artículo 9, apartado 2, letra a), de este.
( 39 ) El órgano jurisdiccional remitente se refiere, a este respecto, a los «plugins» sociales, como los botones «me gusta» o «compartir», al «Facebook Login» (es decir, a la posibilidad de identificarse utilizando los identificadores de conexión vinculados a la cuenta de Facebook) y al «account kit» (es decir, a la posibilidad de identificarse en una aplicación o en un sitio, no necesariamente conexo a Facebook, con un número de teléfono o una dirección de correo electrónico, sin necesidad de contraseña).
( 40 ) Asimismo, observo una incoherencia importante entre la versión francesa del RGPD que, en la primera frase de esta disposición, se refiere a un tratamiento de datos personales que «revela» determinadas situaciones sensibles, y la versión alemana (así como, en particular, las versiones griega e italiana), que se refiere a un tratamiento de datos personales que «revelan» estas situaciones. Salvo error por mi parte, la versión francesa de esta disposición contradice la mayoría de las demás versiones lingüísticas. Por otra parte, en el contexto de dicha disposición me parece más lógico vincular el verbo «revelar» a los datos, ya que, a continuación, son los datos los que son objeto de análisis y no el tratamiento. Esto se desprende asimismo de la versión francesa del tenor del considerando 51 del RGPD, que precisa que entre los datos personales sensibles «debe[n] incluirse […] los datos de carácter personal que revelen el origen racial o étnico» (el subrayado es mío).
( 41 ) En mi opinión, no sería conforme con el espíritu del artículo 9, apartado 1, del RGPD (y del Reglamento), que es proteger determinados datos sensibles de la persona, distinguir, por ejemplo, entre, por una parte, el origen racial o étnico, que implica la prohibición de tratar no solo los datos que lo indican directamente, sino también los que revelan esta situación y, por otra parte, los datos genéticos, cuya prohibición de tratamiento no se extiende a los datos que revelan esa situación, debiendo precisarse que no siempre es evidente que debe distinguirse entre, por una parte, los datos que revelan ciertas situaciones (por ejemplo, el origen racial o étnico) y, por otra parte, los datos que se refieren a otras situaciones (por ejemplo, la salud). A este respecto, debo señalar que, si bien el artículo 9, apartado 1, del RGPD se refiere, en particular, a los datos relativos a la salud, el artículo 4, punto 15, de este define los «datos relativos a la salud» como los «datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud» (el subrayado es mío). Como da a entender el Gobierno alemán, es posible que esta incoherencia en el tenor de dicha disposición tan solo constituya un intento no especialmente exitoso de distinguir entre meros datos con un contenido informativo directo y «metadatos» cuyo contenido informativo solo aparece en un contexto concreto, mediante una evaluación o una conexión.
( 42 ) En principio, como alega el demandante en el litigio principal, estos dos aspectos son diferentes. En efecto, el mero hecho de que un usuario haya accedido a un sitio de Internet o haya interactuado con él no revela necesariamente en sí información sobre sus creencias, su salud, o sus opiniones políticas, ya que el interés por un sitio de Internet no revela automáticamente la adhesión a las ideas difundidas o a las categorías representadas por ese sitio. Este es el caso, en particular, de la consulta de un sitio de un partido político o que propone una ideología política particular, consulta que no implica necesariamente que se comparta dicha ideología, sino que puede efectuarse por curiosidad, o incluso con un espíritu crítico respecto de la referida ideología.
( 43 ) Según Meta Platforms, el hecho de que un usuario haya accedido a un sitio de Internet o haya interactuado con él no revela en sí información sensible, puesto que, aunque se observase o utilizase un interés por un sitio de Internet, ello no constituiría un tratamiento de datos personales sensibles. Esto solo sería así si los usuarios se categorizaran a través de esos datos. Por lo tanto, los datos objeto de la práctica controvertida solo estarían comprendidos en la protección prevista en el artículo 9, apartado 1, del RGPD si se refiriesen a una de las categorías contempladas por esta y son tratados subjetivamente con conocimiento de causa y con la intención de extraer de ellos esas categorías de información. Según la interpretación, en mi opinión demasiado estricta, de la Bundeskartellamt, en cambio, el mero hecho de que el interesado consulte una página web determinada o utilice una aplicación determinada cuyo objeto principal esté comprendido en los ámbitos contemplados en el artículo 9, apartado 1, del RGPD ya abre el ámbito de la protección conferida por esta disposición. La protección de los datos personales sensibles no depende de la intención del responsable del tratamiento de utilizar esos datos, puesto que los derechos del interesado ya se ven afectados por el hecho de que los referidos datos queden excluidos de su esfera de influencia.
( 44 ) En efecto, como ha reconocido el Comité Europeo de Protección de Datos (CEPD), el mero hecho de que un proveedor de medios sociales procese grandes cantidades de datos que potencialmente podrían utilizarse para inferir categorías especiales de datos no significa automáticamente que el tratamiento entre en el ámbito del artículo 9 del RGPD [véase CEPD, Directrices 8/2020, de 13 de abril de 2021, sobre la focalización de los usuarios de medios sociales (en lo sucesivo, «Directrices CEPD 8/2020»), apartado 124].
( 45 ) Tal interpretación permitiría, en mi opinión, evitar la situación, lamentada por el demandante en el litigio principal, en la que, en esencia, el responsable del tratamiento infringe por defecto el RGPD, al no poder impedir la eventual recepción (en particular a través de medios automatizados) de información que tenga una relación indirecta con las categorías de datos sensibles, sin perjuicio de la obligación, que incumbe al responsable del tratamiento, de aplicar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adaptado al riesgo, de conformidad con el artículo 32 del RGPD.
( 46 ) Véanse, en este sentido, las Directrices CEPD 8/2020, apartado 125.
( 47 ) El órgano jurisdiccional remitente menciona, a este respecto, la personalización de la red social y de la publicidad, la seguridad de la red, la mejora de los servicios, la prestación de servicios de medición y análisis para los anunciantes, la investigación en aras del bienestar social, el hecho de responder a requerimientos legales, el cumplimiento de obligaciones legales, la protección de intereses vitales de usuarios y de terceros y el desempeño de tareas en aras del interés público.
( 48 ) Véase, por analogía, la sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:970), apartado 89, y jurisprudencia citada, sobre la interpretación del artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (DO 2009, L 337, p. 11).
( 49 ) Véase también el dictamen 6/2014, pp. 10 y 11, del Grupo de Trabajo «artículo 29», órgano consultivo independiente creado en virtud del artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), y sustituido por el CEPD desde la adopción del RGPD.
( 50 ) En mi opinión, este requisito es muy similar al del consentimiento del interesado.
( 51 ) Procede recordar que, de conformidad con el artículo 5, apartado 2, del RGPD, la carga de la prueba de que los datos personales se tratan con arreglo a la norma del RGPD recae sobre el responsable del tratamiento.
( 52 ) Por otra parte, si bien es probable que un usuario atento sea consciente de que la información de conexión es accesible al administrador del sitio de Internet o de la aplicación en cuestión, no es tan evidente, a mi parecer, que también sea consciente de que dicha información también está a disposición del administrador de su cuenta de Facebook.
( 53 ) A lo sumo, el usuario es consciente de su «relación» con el administrador del sitio o de la aplicación y los terceros a los que este transmita esa información, si bien es posible que ni siquiera sea consciente de dicha relación puesto que, según las circunstancias, podría tener la impresión de revelar información, en su caso de manera anónima, a un simple dispositivo.
( 54 ) Se trata de botones como «me gusta», «compartir», etc. (véase la nota 39 de las presentes conclusiones).
( 55 ) Por ejemplo, Facebook ofrece al usuario, en sus preferencias, varias opciones para compartir la información disponible en su cuenta de Facebook.
( 56 ) En efecto, no puede excluirse que, en casos específicos, el usuario desee efectivamente mediante tales actos transmitir información que le concierna a un número indeterminado de personas. Por ejemplo, es posible que el usuario haya configurado las opciones para compartir contenido de su cuenta de Facebook de manera que todos los usuarios de esta red social puedan acceder a los contenidos de su perfil, de lo que es consciente. Sin embargo, incluso en tales circunstancias, no es evidente que el usuario, mediante tal comportamiento, haya querido sin duda alguna expresar la intención de hacer manifiestamente públicos los datos personales de que se trata, habida cuenta del carácter estricto de la excepción en cuestión (véase el punto 42 de las presentes conclusiones).
( 57 ) Véase, en este sentido, la sentencia de 29 de julio de 2019, Fashion ID (C‑40/17, EU:C:2019:629), apartados 87 a 89.
( 58 ) Concretamente «chivatos (cookies)» (véase el considerando 25 de la Directiva 2002/58).
( 59 ) Por otra parte, este consentimiento tampoco puede asimilarse a un consentimiento explícito para el tratamiento de dichos datos en el sentido del artículo 9, apartado 2, letra a), del RGPD. Tampoco puede resultar pertinente un consentimiento para la elaboración de perfiles en el sentido del artículo 22, apartado 1, letra c), del RGPD, cuyo objeto se limita evidentemente a los tratamientos para la elaboración de perfiles.
( 60 ) En lo que atañe a la quinta cuestión prejudicial, el órgano jurisdiccional remitente ha incluido en la práctica controvertida —además de la recogida, la combinación con la cuenta de Facebook del usuario y la utilización de datos procedentes de otros servicios del grupo, así como de sitios Internet y de aplicaciones terceros (véase el punto 10 de las presentes conclusiones)—, asimismo «[la utilización de] datos ya recogidos y combinados de otra forma lícita […] [con la cuenta de Facebook del usuario]».
( 61 ) Artículo 6, apartado 1, letra b), del RGPD.
( 62 ) Artículo 6, apartado 1, letra f), del RGPD.
( 63 ) Artículo 6, apartado 1, letra f), del RGPD.
( 64 ) A saber, la minoría de edad de los usuarios, la prestación de servicios de medición, de análisis y demás servicios de empresa, la facilitación de comunicaciones comerciales a los usuarios, la investigación e innovación en aras del bienestar social y el intercambio de información con las autoridades policiales y la respuesta a requerimientos legales.
( 65 ) Artículo 6, apartado 1, letra c), del RGPD.
( 66 ) Artículo 6, apartado 1, letra d), del RGPD.
( 67 ) Artículo 6, apartado 1, letra e), del RGPD.
( 68 ) En efecto, la cuarta cuestión prejudicial parece invitar al Tribunal de Justicia a pronunciarse sobre la aplicación, más que sobre la interpretación, del artículo 6, apartado 1, letra f), del RGPD y la quinta cuestión prejudicial no precisa los motivos por los que el órgano jurisdiccional remitente alberga dudas acerca de la interpretación del artículo 6, apartado 1, letras c), d) y e), de dicho Reglamento.
( 69 ) Véase CEPD, Directrices 2/2019, de 8 de octubre de 2019, sobre el tratamiento de datos personales en virtud del artículo 6, apartado 1, letra b), del RGPD en el contexto de la prestación de servicios en línea a los interesados (en lo sucesivo, «Directrices CEPD 2/2019»), apartado 1.
( 70 ) A este respecto, si bien las partes en el litigio principal están de acuerdo, en esencia, sobre la premisa de que, a efectos de la aplicación de las justificaciones en cuestión, se requiere un análisis caso por caso, sus posturas difieren en cuanto a las consecuencias prácticas de esta premisa. La Bundeskartellamt subraya que incumbe al responsable del tratamiento demostrar de manera detallada qué datos serán tratados específicamente en qué escenario de utilización y alega, en particular, que el demandante en el litigio principal se limitó a exponer que el conjunto del tratamiento de los datos procedentes de fuentes externas a Facebook es necesario para cada uno de los fines del tratamiento de los datos enunciados en las condiciones de servicio. Meta Platforms Ireland, en cambio, considera que, sin examinar las particularidades de cada tratamiento, la Bundeskartellamt no podía descartar que la práctica controvertida pudiera basarse en las justificaciones en cuestión y, por lo tanto, no podía concluir la incompatibilidad de dicha práctica con el RGPD.
( 71 ) El artículo 6, apartado 1, letra a), del RGPD prevé el consentimiento del usuario.
( 72 ) A este respecto, las Directrices CEPD 2/2019, en el apartado 16, precisan, en particular, que los principios de limitación de la finalidad [artículo 5, apartado 1, letra b), del RGPD] y de minimización de datos [artículo 5, apartado 1, letra c), del RGPD] son especialmente relevantes en los contratos de servicios en línea, que normalmente no se negocian de manera individualizada, en virtud del elevado riesgo de que los responsables del tratamiento intenten incluir unas cláusulas con la intención de maximizar la posible recogida y los posibles usos de los datos, sin especificar de manera precisa dicha finalidad ni respetar la obligación de minimización de los datos.
( 73 ) Según las Directrices CEPD 2/2019, apartado 2, esta disposición garantiza la libertad de empresa, consagrada en el artículo 16 de la Carta, y refleja el hecho de que, en ocasiones, no es posible cumplir las obligaciones contractuales contraídas con el interesado a menos que este proporcione determinados datos personales. Ha de precisarse que el segundo supuesto previsto por esta disposición, relativo a la necesidad de tratamiento para la aplicación de medidas precontractuales a petición del interesado, no es pertinente en el presente asunto. Lo mismo puede decirse de la cuestión de la existencia de un contrato válido tanto en relación con el Derecho de los contratos aplicable como con los demás requisitos legales, incluidos los relativos a los contratos celebrados con consumidores [véase, en particular, la Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores (DO 1993, L 95, p. 29)], que no es objeto de la remisión prejudicial.
( 74 ) Véase, por lo que respecta a la norma correspondiente al artículo 6, apartado 1, letra b), del RGPD, enunciada en el artículo 7, letra e), de la Directiva 95/46, la sentencia de 16 de diciembre de 2008, Huber (C‑524/06, EU:C:2008:724), apartado 52.
( 75 ) Por otra parte, si bien la mera referencia o mención al tratamiento de datos personales en un contrato no es suficiente para considerar incluido dicho tratamiento en el ámbito de aplicación del artículo 6, apartado 1, letra b), es posible que el tratamiento sea objetivamente necesario, aunque no se mencione expresamente en el contrato, sin perjuicio de las obligaciones de transparencia que incumben al responsable del tratamiento (véanse las Directrices CEPD 2/2019, apartado 27).
( 76 ) Véanse las Directrices CEPD 2/2019, apartado 25.
( 77 ) Véanse, en este sentido, la sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert (C‑92/09 y C‑93/09, EU:C:2010:662), apartado 86 y las Directrices CEPD 2/2019, apartado 25. A este respecto, dichas Directrices, en los apartados 27 a 32, se refieren en particular a que el tratamiento debe ser objetivamente necesario para un fin que forme parte de la prestación del servicio contractual al interesado y el responsable del tratamiento debe estar en condiciones de demostrar que el objeto principal del contrato específico con el interesado no puede alcanzarse si no se lleva a cabo el tratamiento concreto de los datos personales en cuestión. En el apartado 33, dichas Directrices ofrecen una serie de preguntas que pueden servir de orientación a este respecto.
( 78 ) Véanse las Directrices CEPD 2/2019, apartado 32.
( 79 ) Véanse las Directrices CEPD 2/2019, apartado 37.
( 80 ) A este respecto, el Gobierno austriaco observa, de manera pertinente, que, anteriormente, el demandante en el litigio principal permitía a los usuarios de Facebook elegir entre una presentación cronológica o una presentación personalizada de los contenidos de la sección de noticias, lo que demuestra que es posible una modalidad alternativa.
( 81 ) Sin perjuicio de la apreciación del órgano jurisdiccional remitente, no creo que la recogida y la utilización de datos personales fuera de Facebook puedan ser necesarias para la prestación de los servicios ofrecidos en el marco del perfil de Facebook, de modo que el consentimiento dado inicialmente para acceder a la red social (a saber, la apertura de un perfil de Facebook) pueda comprender válidamente el tratamiento de datos personales del usuario fuera de Facebook. En efecto, en tal circunstancia, la utilización de los servicios en cuestión está supeditada a un consentimiento que no es necesario para la ejecución del contrato y, de conformidad con el artículo 7, apartado 4, del RGPD, el órgano jurisdiccional remitente deberá tener en cuenta en la mayor medida posible esta circunstancia (que, de conformidad con el considerando 43 del RGPD, constituye una presunción de invalidez del consentimiento que incumbe al responsable del tratamiento desvirtuar en el sentido del artículo 7, apartado 1, del RGPD). Además, tal consentimiento tampoco respetaría, en mi opinión, la norma que impone un consentimiento separado respecto a las diferentes operaciones de tratamiento de datos personales (véase la tercera parte del punto 74 de las presentes conclusiones), puesto que nada vincula el consentimiento inicial del usuario al abrir la cuenta de Facebook a un posible consentimiento dado por este para el tratamiento de datos de carácter personal fuera de Facebook. Por otra parte, incluso en el caso de un eventual consentimiento posterior, dado específicamente para la utilización de los datos fuera de Facebook, es importante examinar si el responsable del tratamiento ofrece la opción de un servicio equivalente que no implique prestar el consentimiento para el tratamiento de datos personales con fines adicionales [véase CEPD, Directrices 5/2020, de 4 de mayo de 2020, sobre el consentimiento en el sentido del reglamento (UE) 2016/679 (en lo sucesivo «Directrices CEPD 5/2020), apartado 37, que precisan asimismo, en el apartado 38, que el responsable del tratamiento no puede remitir a un servicio equivalente prestado por otro operador].
( 82 ) Como señala el Gobierno austriaco, me parece decisivo comprobar, a este respecto, que los diferentes productos del grupo pueden utilizarse de manera independiente entre sí y que la utilización de cada servicio se basa en un contrato de utilización independiente. Por otra parte, como observa la Bundeskartellamt, más que considerarlo necesario para el funcionamiento de los servicios del grupo, el disfrute coherente y fluido de estos servicios debería considerarse como un interés del usuario, de modo que, en principio, parece más oportuno que sea su elección.
( 83 ) Véase, por analogía, la sentencia de 4 de mayo de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336), apartado 28, relativa a la norma correspondiente al artículo 6, apartado 1, letra f), del RGPD, enunciada en el artículo 7, letra f), de la Directiva 95/46.
( 84 ) Como se ha señalado en las conclusiones del Abogado General Bobek presentadas en el asunto Fashion ID (C‑40/17, EU:C:2018:1039), punto 122, el concepto de «interés legítimo» en el marco de la Directiva 95/46 resultaba bastante flexible y abierto. En efecto, como alega el demandante en el litigio principal, el Tribunal de Justicia ha reconocido varios intereses como legítimos [véanse, en particular, las sentencias de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 81; de 19 de octubre de 2016, Breyer,C‑582/14, EU:C:2016:779, apartado 55; de 4 de mayo de 2017, Rīgas satiksme,C‑13/16, EU:C:2017:336, apartado 29; de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles), C‑136/17, EU:C:2019:773, apartado 53; de 11 de diciembre de 2019, Asociaţia de Proprietari bloc M5A-ScaraA,C‑708/18, EU:C:2019:1064, apartado 59, y de 17 de junio de 2021, M.I.C.M.,C‑597/19, EU:C:2021:492, apartados 108 y 109]. La misma conclusión debe extraerse, en mi opinión, del RGPD, cuyo considerando 47 menciona en particular, a modo ejemplificativo, la situación en la que el interesado es cliente del responsable del tratamiento o está a su servicio y el tratamiento de datos personales con fines de prevención del fraude o con fines de mercadotecnia directa, y cuyo considerando 49 menciona la seguridad de la red y de la información, así como de los servicios ofrecidos.
( 85 ) Lo que implica, en mi opinión, la exigencia de precisar qué operación de tratamiento se basa en qué interés legítimo.
( 86 ) Véanse las sentencias de 4 de mayo de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336), apartado 30, y de 17 de junio de 2021, M.I.C.M. (C‑597/19, EU:C:2021:492), apartado 110.
( 87 ) Véanse, en este sentido, las sentencias de 4 de mayo de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336), apartado 31, y de 17 de junio de 2021, M.I.C.M. (C‑597/19, EU:C:2021:492), apartado 111. El Tribunal de Justicia ha recordado, a este respecto, que el artículo 7, letra f), de la Directiva 95/46 [que corresponde al artículo 6, apartado 1, letra f), del RGPD] se opone a que un Estado miembro excluya de manera categórica y generalizada la posibilidad de someter a un tratamiento determinadas categorías de datos personales, sin permitir una ponderación de los derechos e intereses en conflicto en cada caso concreto, precisando que un Estado miembro no puede establecer con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto respecto de tales categorías, sin permitir un resultado diferente en atención a las circunstancias particulares de cada caso concreto (sentencia de 19 de octubre de 2016, Breyer,C‑582/14, EU:C:2016:779, apartado 62 y jurisprudencia citada).
( 88 ) El dictamen 6/2014 del Grupo de Trabajo «artículo 29» expone consideraciones interesantes a este respecto en su apartado III.3.4.
( 89 ) En efecto, según el considerando 49 del RGPD, el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, como precisa esta disposición, constituye un interés legítimo del responsable del tratamiento interesado. En lo anterior cabría incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos. Asimismo, debo señalar que, con arreglo al artículo 32 del RGPD, entre otros, el responsable del tratamiento aplica, en particular, medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y que, de conformidad con el artículo 5, apartado 1, letra f), de dicho Reglamento, los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales.
( 90 ) Por lo tanto, es preciso comprobar en qué medida el tratamiento de datos personales externos al sitio o a la aplicación de Facebook resulta necesario para garantizar la seguridad de este último. Si bien el órgano jurisdiccional remitente señala, a este respecto, la posibilidad de utilizar los datos de WhatsApp en funciones de filtrado de «spam» (utilizando información procedente de las cuentas de WhatsApp que envían «spam» para adoptar medidas contra las cuentas de Facebook correspondientes) y de datos de Instagram para incurrir en comportamientos dudosos o ilícitos, dudo que el demandante en el litigio principal pueda arrogarse el derecho a tratar datos personales con fines de «policía» en sentido amplio, habida cuenta de que, según la jurisprudencia del Tribunal de Justicia, en el ámbito (distinto, pero conexo) de los datos relativos a las comunicaciones electrónicas, ni siquiera las medidas legislativas que establecen, con carácter preventivo, una conservación generalizada e indiferenciada de los datos de tráfico y de localización son compatibles con la Directiva 2002/58 (véase la sentencia de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 168). Por otra parte, en el supuesto de que la necesidad de garantizar la seguridad de la red responda a una exigencia legal, el responsable del tratamiento puede invocar la justificación específica prevista en el artículo 6, apartado 1, letra c), del RGPD.
( 91 ) De conformidad con el artículo 6, apartado 1, letras c), d) y e), del RGPD.
( 92 ) Véase el punto 48 de las presentes conclusiones.
( 93 ) Habida cuenta de la amplia gama de intereses legítimos reconocidos por la jurisprudencia (véase el punto 60 de las presentes conclusiones). Por ejemplo, me parece evidente, en principio, que la protección de los menores puede justificar la adopción de medidas de protección adecuadas a fin de prohibirles el acceso a contenidos inadecuados o peligrosos.
( 94 ) En efecto, de conformidad con el artículo 13, apartado 1, letras c) y d), del RGPD, incumbe, en particular, al responsable del tratamiento indicar, respecto de cada finalidad de tratamiento, los intereses legítimos perseguidos por él o por un tercero.
( 95 ) En la sentencia de 11 de noviembre de 2020, Orange Romania (C‑61/19, EU:C:2020:901), apartados 35 y 36, y jurisprudencia citada, el Tribunal de Justicia precisó que el tenor del artículo 4, apartado 11, del RGPD, que define el «consentimiento del interesado», resulta más estricto que el del artículo 2, letra h), de la Directiva 95/46, puesto que requiere una manifestación de voluntad «libre, específica, informada e inequívoca» del interesado, que adopte la forma de una declaración o de «una clara acción afirmativa» que marque su aceptación del tratamiento de datos personales que le conciernen.
( 96 ) Como subraya el CEPD, el término «libre» implica elección y control reales por parte de los interesados (véanse, las Directrices CEPD 5/2020, apartado 13). El mismo apartado precisa, en particular, que el consentimiento no se ha dado libremente si, por una parte, el interesado se siente obligado a dar su consentimiento o sufrirá consecuencias negativas si no lo da y, por otra parte, el consentimiento está incluido como una parte no negociable de las condiciones generales. En consecuencia, no se considerará que el consentimiento se ha prestado libremente si el interesado no puede negar o retirar su consentimiento sin perjuicio. En tal caso, como subraya el demandante en el litigio principal, el único inconveniente que el interesado debe aceptar es que el servicio pueda, en su caso, no tener la misma funcionalidad o calidad, en la medida en que el tratamiento de los datos respecto de los que no se ha dado el consentimiento sea técnicamente necesario para ello.
( 97 ) A este respecto, las Directrices CEPD 5/2020 mencionan el engaño, la intimidación, la coerción o consecuencias negativas importantes si un interesado no da su consentimiento y recuerdan que incumbe al responsable del tratamiento demostrar que dicha persona pudo ejercer una elección libre o real a la hora de dar y retirar su consentimiento (apartado 47).
( 98 ) Además de las situaciones relativas a las relaciones con autoridades públicas y a las relaciones laborales, mencionadas en el considerando 43, que no son pertinentes en el presente asunto, el apartado 24 de las Directrices CEPD 5/2020 se refiere, en particular, a situaciones en las que el interesado no puede realmente elegir o en las que existe riesgo de engaño, intimidación, coerción o consecuencias negativas importantes (por ejemplo, costes adicionales sustanciales) si no da su consentimiento.
( 99 ) Esta cuestión coincide parcialmente con la que constituye el objeto de la primera parte de la tercera cuestión prejudicial (véanse los puntos 53 a 57 de las presentes conclusiones). El considerando 43, segunda frase, del RGPD precisa que, en tal situación, se presume que el consentimiento no se ha dado libremente (según el apartado 26 de las Directrices CEPD 5/2020, el RGPD garantiza que el tratamiento de los datos para los que se ha solicitado consentimiento no se convierta directa o indirectamente en una contraprestación de un contrato), ya que la utilización de la expresión «se presume» indica claramente que los casos en los que el consentimiento es válido tendrán un carácter sumamente excepcional (véase el apartado 35 de dichas Directrices). Además, mediante el uso de la expresión «entre otras cosas» el artículo 7, apartado 4, del RGPD se ha redactado de manera no exhaustiva, lo que significa que puede haber otras circunstancias que entren en el ámbito de aplicación de esta disposición, incluida cualquier influencia o presión inadecuada ejercida sobre el interesado y que impide que este ejerza su libre voluntad (Directrices CEPD 5/2020, apartado 14).
( 100 ) El considerando 32 del RGPD precisa, en particular, que el consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines y que, cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. A este respecto, las Directrices CEPD 5/2020 se refieren a la «disociación» del consentimiento como obstáculo a su libertad (apartado 44).
( 101 ) Tal situación favorece, en particular, la imposición de las condiciones que no son necesarias para la ejecución del contrato (véanse los puntos 53 a 57 de las presentes conclusiones).
( 102 ) Dicho de otro modo, como señala la Comisión, el grado de poder de mercado relativo de la empresa que es decisivo para la validez del consentimiento en virtud del RGPD no puede equipararse necesariamente al nivel de posición dominante en el mercado en el sentido del artículo 102 TFUE.
( 103 ) Evidentemente, si bien la existencia de una posición dominante no se opone, por sí sola, a la posibilidad de dar un consentimiento libre para el tratamiento de los datos personales, la inexistencia de tal posición no basta, por sí sola, para garantizar en cualquier circunstancia que tal consentimiento se dé válidamente.