Newsletter
Suscríbete a nuestro Newsletter y entérate de las últimas novedades.
Este mes se conoció la esperada sentencia del Tribunal de Justicia de la Unión Europea (“TJUE”), en la que responde a las cuestiones prejudiciales presentadas por el Tribunal Superior Regional de Düsseldorf, Alemania, en el caso que enfrenta a la autoridad alemana de competencia (Bundeskartellamt) contra Facebook (hoy, Meta).
Hay muchos aspectos por analizar de esta sentencia, pero en este artículo nos vamos a centrar en uno de los que nos parece más controversial: la aplicación conjunta de la normativa de protección de datos personales y la normativa de libre competencia.
Para ello, cabe recordar que la Bundeskartellamt había sancionado a Facebook por un abuso explotativo de su posición dominante, al recolectar -excesivamente- y combinar datos personales de los usuarios de las plataformas y dispositivos del grupo Meta (Facebook, Instagram, Whatsapp, Oculus y Masquerade), así como de sitios web y aplicaciones de terceros con los que Facebook tenía una API (interfaz de programación de aplicaciones) que le permitía procesar sus datos. Ver un resumen del caso en esta nota de CeCo.
Un factor trascendental para la autoridad alemana fue que la forma en que Facebook obtenía el consentimiento para recolectar y usar los datos personales resultaba violatoria del Reglamento General de Protección de Datos Personales de la Unión Europea (“RGPD”). Así, el estándar para concluir que la conducta era explotativa (y un ilícito antitrust) fue el incumplimiento de la norma sectorial de protección de datos personales.
¿Es esto correcto? La calificación de si una conducta económica es anticompetitiva o no, ¿puede depender del estándar fijado en otra norma?
Uno de los puntos iniciales que debía resolver el TJUE era si la autoridad federal alemana de competencia podría declarar la existencia de una infracción del RGPD, en el contexto del análisis de una conducta de abuso de posición de dominio (cuestión prejudicial 1.a).
“Aquí habría una falsa equivalencia entre la infracción al RGPD y la infracción a las normas de competencia del TFUE. En realidad, considero que el cumplimiento o incumplimiento del RGPD no debiera informar el cumplimiento o incumplimiento de la norma antimonopolio”
La Gran Sala del Tribunal respondió afirmativamente a esta interrogante. Si bien las autoridades de competencia no son las llamadas a hacer un enforcement del RGPD, el tribunal europeo concluyó que esta última norma no impedía que una autoridad de competencia pudiera hallar un incumplimiento a la legislación de protección de datos personales como parte de su análisis antitrust: “[…] ninguna disposición de ese Reglamento prohíbe que las autoridades nacionales de defensa de la competencia concluyan, en el ejercicio de sus funciones, que un tratamiento de datos efectuado por una empresa en posición dominante y susceptible de constituir un abuso de esa posición no es conforme con dicho Reglamento” (párr. 43).
Esto ha sido recibido por algunos autores como una luz verde para que las autoridades de competencia puedan convertir las infracciones a la legislación de protección de datos personales en objeto de análisis de sus investigaciones antimonopolio (ver, por ejemplo, a Buchner y Kühling). Así parece admitirlo el TJUE, cuando razona que “excluir las normas en materia de protección de datos personales del marco jurídico que las autoridades de defensa de la competencia deben tomar en consideración al examinar un abuso de posición dominante” podría terminar por “menoscabar la efectividad del Derecho de la competencia”. Expresado en otros términos, la aplicación de las normas en materia de protección de datos personales podría ser indispensable para examinar un abuso de posición de dominio.
Para utilizar la jerga antitrust, el TJUE inferiría una suerte de “atadura” entre la infracción a la legislación de protección de datos personales y la infracción a las normas de derecho de la competencia. La segunda no se explicaría sin la primera.
Algunos autores -como Rupprecht Podszun– han afirmado que esta decisión termina por descartar la aplicación aislada del Derecho Antimonopolio. Otros autores -como Thibault Schrepel- han criticado al Tribunal por no tomar en cuenta la relación causal entre la condición dominante de la empresa y la práctica abusiva imputada (¿era necesaria la posición de dominio de Facebook para recolectar y combinar los datos personales? ¿o esta era una conducta que podría haberla hecho cualquier otro agente no dominante?). Ver el tuit de reacción de Schrepel aquí, y un post cuestionando la decisión del Bundeskartellamt aquí.
Más allá de estas discusiones, sin embargo, lo que nos parece más cuestionable del razonamiento del Tribunal es esta aparente aleación entre la legislación de protección de datos personales y la legislación de defensa de la competencia, cuando la primera no tendría por qué determinar la segunda.
“[L]a conformidad o no conformidad de tales actividades con las disposiciones del RGPD puede constituir, en su caso, un indicio relevante, entre las circunstancias pertinentes del caso concreto (…) [E]n el marco del examen de un abuso de posición dominante por parte de una empresa en un mercado determinado, puede resultar necesario que la autoridad de defensa de la competencia del Estado miembro de que se trate examine también la conformidad de las actividades de dicha empresa con normas distintas de las incluidas en el Derecho de la competencia, como son las normas en materia de protección de datos personales establecidas en el RGPD”.
Estos son extractos de los párrafos 47 y 48 de la sentencia del TJUE. Como se observa, en ellos el Tribunal da por cierta una premisa: la aparente necesidad que podría tener una autoridad de competencia de verificar el cumplimiento o no de otra norma sectorial (en este caso, de protección de datos personales) para analizar un supuesto abuso de posición de dominio.
Pero esta premisa no está demostrada. Está enunciada solamente como conjetura (“puede resultar necesario”). ¿Por qué sería relevante para la autoridad de competencia verificar si se cumple o no el RGPD? ¿Cómo el incumplimiento de la legislación de protección de datos personales se convierte en un indicio, a su vez, del incumplimiento de las normas de libre competencia?
Aquí habría una falsa equivalencia entre la infracción al RGPD y la infracción a las normas de competencia del Tratado de Funcionamiento de la Unión Europea. En realidad, considero que el cumplimiento o incumplimiento del RGPD no debiera informar el cumplimiento o incumplimiento de la norma antimonopolio.
Así, por ejemplo, una conducta como la recolección de datos personales podría infringir algún principio del RGPD (por ejemplo, no cumplir cabalmente con el principio de información) y aun así ser completamente inocuo para la competencia económica porque no afecta, en los hechos, las decisiones de los consumidores. En sentido inverso, una empresa podría cumplir con el RGPD (por ejemplo, negarse a compartir o portar datos personales con un tercero) y, aun así, la conducta podría tener efectos restrictivos sensibles para la competencia.
Es cierto que, idealmente, las dos normas debieran cumplirse coherentemente. Y de hecho, podría ser problemático para una empresa que las normas de libre competencia y protección de datos personales involucren mandatos de conducta contradictorios. Pero nuestro argumento no favorece ni niega la armonización de dichas normas. Es más simple que eso: la infracción de una ley no determina la infracción de otra.
Y esto tiene que ver con una realidad clara: las normas de protección de datos personales y de libre competencia protegen objetivos distintos. No podemos presumir que el incumplimiento de la primera dañe los fines de la segunda. Paradójicamente, en otra parte de la sentencia, el TJUE admite esta diferencia (“las autoridades de control, por una parte, y las autoridades nacionales de defensa de la competencia, por otra, ejercen funciones diferentes y persiguen objetivos y misiones que les son propios”, párr. 44). Sin embargo, no parece advertir que esta distinción de funciones podría tornar cuando menos en innecesario que la agencia de competencia analice la compatibilidad de una conducta económica con las reglas de protección de datos personales.
En un artículo, escrito junto con Piero Malca (de próxima publicación en The Virginia Journal of Law and Technology), sostenemos precisamente que el estándar de la legislación de protección de datos personales es distinto al estándar de bienestar del consumidor que tradicionalmente se aplica en el Derecho de la Competencia. Y aunque si bien se podría construir una teoría de daño anticompetitivo contra Facebook por la recolección y combinación de datos personales, esta no tendría por qué aplicar el estándar de consentimiento libre e informado del RGPD.
El lenguaje del Tribunal Europeo, aunque inclinado hacia la aplicación “atada” del Derecho de la Competencia y la Protección de Datos Personales, está formulado de manera condicional (“puede constituir […] un indicio relevante”, “puede resultar necesario”). Es decir, el criterio adoptado en la sentencia admitiría salvedades y eventuales casos donde no se requiera la aplicación conjunta de normativas.
Deja el sinsabor, no obstante, de no haber evaluado, en el caso concreto, si resultaba necesaria la aplicación del estándar del RGPD para concluir que el grupo Meta abusó (o no) de su posición de dominio.
Aun así, otras jurisdicciones nacionales podrían utilizar un criterio distinto y distanciarse de la práctica alemana de la aplicación concomitante de las normativas de competencia y protección de datos personales.
En la acera opuesta, por ejemplo, se encuentra el criterio adoptado por la Corte Suprema de EE.UU. en el famoso caso Trinko. Aquí, la Corte Suprema rechazó establecer una responsabilidad antitrust sobre Verizon por negarse a proporcionar a sus competidoras un acceso a los soportes de sus sistemas operativos, pese a que la regulación sectorial, la Telecommunications Act, lo exigía. Para la Corte, el cumplimiento de esta nueva obligación regulatoria no creaba una obligación de contratar antitrust. Dicho de otro modo, cada instrumento normativo demandaba su aplicación independiente.
Si lo trasladamos al caso de Facebook, la recolección y combinación de datos que realiza el gigante de las redes sociales podría ser ilegal desde la perspectiva del RGPD, pero eso no la convierte -al menos no automáticamente- en anticompetitiva.