CeCo | El apalancamiento de datos personales y los sistemas de Inteligencia Artificial

https://centrocompetencia.com/wp-content/themes/Ceco

El apalancamiento de datos personales y los sistemas de Inteligencia Artificial

6.08.2025
CeCo España
Alba Ribera M. Doctora en Derecho de la Competencia en la Universidad Carlos III de Madrid. Experta en Derecho de la Competencia por la Universidad Carlos III de Madrid y la London School of Economics and Political Sciences (LSE). Docente de Análisis Económico del Derecho y de la Competencia en Universidad Villanueva. Editora de la revista Journal of European Competition Law & Practice (JECLAP) y del blog Kluwer Competition Law Blog.

El valor de los datos personales en la forma en la que operan las plataformas digitales es innegable. Y lo ha venido siendo desde hace un tiempo. Las empresas que operaban en mercados digitales se alimentaban de los datos personales generados por sus usuarios para ofrecer productos y servicios más personalizados y, de esta forma, obtenían una ventaja competitiva. En aquellos supuestos en los que estas empresas digitales apalancaban su posición de poder de mercado para nutrir sus propios servicios de forma anticompetitiva, el Derecho de libre competencia respondió al reto. 

Con el crecimiento en el uso de tecnologías como los sistemas de Inteligencia Artificial (IA), este tipo de conductas generan aún más incertidumbre en diversas áreas del Derecho. Por ejemplo, hace pocos días, WeTransfer, el famoso servicio de intercambio de archivos en línea, anunció que un cambio en sus términos y condiciones le permitiría acceder a los archivos de los usuarios que subieran contenido (para transferirlo a sus contactos), para así poder entrenar a su tecnología de IA. Ante la reacción de muchos usuarios, WeTransfer tuvo que confirmar que no utilizaría modelos de machine learning – o cualquier tipo de IA – para procesar el contenido de sus usuarios. 

“la política de competencia no puede suplantar al régimen de protección de datos personales. A la normativa de libre de competencia le debe resultar indiferente si una combinación de datos puede originar la re-identificación de un usuario para determinar si existe un potencial daño anticompetitivo”.

Otras empresas digitales de mayor calado, como Meta, han adoptado una estrategia similar al anunciar que utilizarían el contenido que sus usuarios de Instagram y Facebook cuelgan en sus cuentas públicas para entrenar sus herramientas de IA generativa. La empresa digital ofrece a sus usuarios sitos en la Unión Europea la posibilidad de deshabilitar esta vinculación entre sus redes sociales y el entrenamiento de su IA. Ante esta situación, el Tribunal Regional de Colonia conoció de una acción (en su fase preliminar) contra Meta por vulnerar la normativa de protección de datos y el Reglamento de Mercados Digitales, al combinar y procesar datos personales sin el consentimiento de sus usuarios. 

El fenómeno del scraping frente a la aplicación del Reglamento de Mercados Digitales 

De acuerdo con estudios recientes, la mayoría de los sistemas de IA generativa se han entrenado mediante la técnica del scraping. El scraping consiste en extraer todos los datos y contenido de una determinada página web para luego reutilizarla para otro propósito distinto. Esta actividad ya puede generar problemas, de manera frontal, con los principios de minimización y de limitación de la finalidad de los datos que almacena y procesa el responsable de un tratamiento de datos personales. En principio, el responsable del tratamiento de datos personales solamente debe procesar aquellos datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Además, este procesamiento de datos debe realizarse con unos fines determinados, explícitos y legítimos, y el responsable debe asegurar que no serán tratados ulteriormente de manera incompatible a dichos fines. Precisamente por este motivo las autoridades de protección de datos ya han planteado que el entrenamiento de las principales herramientas de IA generativa entra en contradicción directa con regímenes en materia de privacidad y protección de datos. 

Desde la perspectiva de libre competencia, la pregunta es otra. Por lo general, no debería importarnos tanto cuántos datos puede almacenar una empresa con poder de mercado, sino cómo los utilizará una vez los ha obtenido. De esta forma, se ha sancionado por parte de una autoridad de competencia en el pasado que el incumplimiento del principio de minimización puede dar lugar a una infracción en esta materia (como sucedió en el caso de la autoridad alemana de competencia, ver aquí).  Como el operador dominante ostenta una posición a la que ningún otro operador se puede equiparar, existe un nexo causal entre su capacidad de explotar grandes cantidades de datos de sus usuarios y su utilización en su ecosistema, tanto en el mismo mercado en el que opera principalmente como en mercados descendentes.

Partiendo de este tipo de cosas, el artículo 5.2 del Reglamento de Mercados Digitales prohíbe a los guardianes de acceso (entre los que se incluye Meta) combinar y usar de forma cruzada los datos personales de sus usuarios en sus distintos servicios, sin su consentimiento previo. Volviendo al ejemplo de Meta, esta combinación de dos de sus servicios (sus redes sociales, Facebook e Instagram) con su modelo de IA LLaMA, violaría frontalmente la disposición del artículo 5.2, precisamente porque Meta puede apalancar su posición de mercado desde sus redes sociales hacia el desarrollo de una tecnología a la que no pueden acceder otros operadores igualmente eficientes. 

La resolución (preliminar) del Tribunal alemán

Ante este conflicto, el Tribunal Regional de Colonia rechazó la petición de las partes demandantes al solicitar la suspensión de los efectos de esta combinación de datos realizada por Meta, tanto por su incumplimiento en sede de normativa de protección de datos como en aplicación del Reglamento de Mercados Digitales. 

Son especialmente llamativos, sin embargo, los argumentos que el Tribunal presentó al efecto para alcanzar tales conclusiones. Por ejemplo, el Tribunal establece que no puede existir, posiblemente, una violación de la obligación del artículo 5.2 porque la combinación de datos definida en el Reglamento de Mercados Digitales exige que ese intercambio de datos origine la creación de perfiles de usuarios que luego puedan ser reutilizados por el guardián de acceso. Según el Tribunal, el artículo 5.2 no es de aplicación en este caso en concreto porque esos datos personales se incorporarán en una infraestructura de datos conformada en torno a un silo, que no permitirá la combinación ni la re-identificación de los usuarios concretos que se originen de esos datos personales. 

Este argumento en concreto es por el que se nos deben disparar todas las alarmas ya que la política de competencia no puede suplantar al régimen de protección de datos personales. A la normativa de libre de competencia le debe resultar indiferente si una combinación de datos puede originar la re-identificación de un usuario para determinar si existe un potencial daño anticompetitivo. Lo que debería importarle a la política de competencia es si un operador con poder de mercado puede, sin atender a los requisitos legales previstos al efecto, apalancar esta posición para generar ventajas competitivas artificiales que no habría conseguido en ausencia de la conducta. 

Desde mi punto de vista, si atendemos al ejemplo de Meta, la respuesta es clara: si existe, de facto, combinación entre los servicios del guardián de acceso, entonces este deberá plantearse si ejerce la posibilidad de solicitar el consentimiento de sus usuarios para poder combinar esos datos. En ausencia de esa elección, toda combinación que se realice en esa dirección, queda prohibida por el Reglamento de Mercados Digitales y, como tal, debe ser perseguida.

También te puede interesar

Regístrate de forma gratuita para seguir leyendo este contenido

Contenido exclusivo para los usuarios registrados de CeCo