CeCo | datos y competencia: la mirada de la Corte Europea
Newsletter

El tortuoso romance entre datos y competencia: la mirada de la Corte Europea

12.07.2023
CeCo Chile
12 minutos
Claves
  • El Tribunal de Justicia de la Unión Europea resolvió las consultas emitidas por la Corte Regional Superior de Düsseldorf a propósito del caso “Bundeskartellamt c. Facebook”.
  • En su decisión preliminar el Tribunal de Justicia aclaró varios asuntos relevantes, tanto sobre derecho de la competencia como de protección de datos personales.
  • Dentro de estos se encuentran las interrogantes sobre la competencia de la Bundeskartellamt para aplicar el “Reglamento General de Protección de Datos de la Unión Europea, y la justificación del tratamiento de datos de Facebook.
Keys
  • The Court of Justice of the European Union resolved the questions issued by the Higher Regional Court of Düsseldorf regarding the “Bundeskartellamt v. Facebook” case.
  • In its preliminary ruling, the Court of Justice clarified several relevant issues, both on competition law and personal data protection.
  • Among these are questions about the competence of the Bundeskartellamt to apply the General Data Protection Rules, and the justification for Facebook’s data processing.

El 4 de julio recién pasado, el Tribunal de Justicia de la Unión Europea (TJUE) se pronunció sobre la solicitud de “decisión prejudicial” (“preliminary ruling”) presentada por la Corte Regional Superior de Düsseldorf (“Corte de Düsseldorf”), para la resolución del caso “Bundeskartellamt c. Facebook” (ver nota de CeCo: Privacidad y libre competencia: el caso Facebook en Alemania). En consecuencia, ahora corresponderá a la Corte de Düsseldorf resolver el fondo del caso, teniendo en consideración los criterios interpretativos de la decisión del TJUE.

En su decisión, el TJUE nos entrega elementos jurisprudenciales útiles para abordar los problemas relacionados con el derecho de competencia y la protección de los datos personales, en el escenario de los mercados digitales. En este sentido, el pronunciamiento podría arrojar algunas luces sobre cómo dibujar la línea divisoria entre ambas disciplinas, además de aportar herramientas para distinguir entre el tratamiento lícito e ilícito de los datos de los usuarios.

A continuación, realizamos una breve contextualización del conflicto, para luego abordar los criterios adoptados por el TJUE en su decisión.

El caso “Bundeskartellamt c. Facebook”

En 2019, la Bundeskartellamt (autoridad de competencia de Alemania), sancionó a Facebook (hoy “Meta”), por abusar de su posición dominante en el mercado de redes sociales al imponer términos y condiciones de privacidad (“T&C”) que, según la autoridad, afectaban el derecho de sus usuarios a la protección de sus datos personales.

Estos T&C permitían a Facebook recopilar datos del usuario y de su dispositivo, generados a través de Instagram, WhatsApp, Oculus y Masquerade (todos servicios de su propiedad), así como también de otros sitios web o aplicaciones desarrolladas por terceros que a su vez utilizan productos de Facebook (en su versión para desarrolladores), como, por ejemplo, el botón de “me gusta” o la interfaz de inicio de sesión de Facebook. La empresa (Facebook), combinaba estos datos con los de su plataforma Facebook.com para su propio uso comercial, aún cuando no fueran generados por ella, ni tuvieran relación con el servicio de su red social (ver nota de CeCo: La historia del monopolio de datos de Meta, según Dina Srinivasan).

El tratamiento de datos de Facebook fue considerado por la Bundeskartellamt como una conducta contraria al “Reglamento General de Protección de Datos de la Unión Europea” (GDPR, por sus siglas en inglés) y a la Ley de Competencia alemana (GWB), ya que: (i) Facebook sujetaba la aceptación de los T&C al uso de su plataforma (lo que privaría el consentimiento de los usuarios); y (ii) algunos de estos datos requerían de un consentimiento “específico” por tratarse de datos correspondientes a categorías especiales de protección (“datos sensibles”), de acuerdo al artículo 9(1) del GDPR, el cual no se habría otorgado.

Según la agencia, lo anterior sólo se había hecho posible debido a que Facebook abusaba de su posición dominante en el mercado de redes sociales para usuarios privados, generando un daño consistente en una afectación ilícita de su derecho a la protección de sus datos personales. En otras palabras, la conducta abusiva de Facebook consistía en utilizar su posición dominante para imponer T&C que los usuarios no podrían rechazar, constituyendo así una especie de “abuso explotativo”.

Por lo anterior, la Bundeskartellamt prohibió a Facebook condicionar la entrega de sus servicios a la aceptación del uso y recopilación de datos personales de sus usuarios en plataformas o páginas web distintas de Facebook.com.

La contraofensiva de Facebook y los reveses del caso

La decisión de la Bundeskartellamt fue apelada por Facebook ante la Corte de Düsseldorf. Esta corte determinó suspender la ejecución de la decisión de la agencia de competencia, hasta emitir su decisión sobre el fondo del caso.

En su pronunciamiento de admisibilidad de fecha 20 de agosto de 2019, la Corte de Düsseldorf cuestionó que exista un nexo causal entre la infracción de las normas del GDPR, y la posición dominante detentada por Facebook. También cuestionó que la Budeskartellamt fuera competente para declarar una infracción a las normas de libre competencia.

Sin embargo, el 23 de junio de 2020, el Tribunal Supremo alemán (Bundesgerichtshof), al revisar la resolución de admisibilidad de la Corte de Düsseldorf, determinó anular la decisión de dicha corte de suspender el cumplimiento de la decisión del Budeskartellamt. Asimismo, controvirtió la posición de la Corte de Düsseldorf sobre la supuesta ausencia de nexo causal entre dominancia y tratamiento de datos, dejando así el pronunciamiento de fondo en manos de esta última (ver nota de CeCo: El traspié de Facebook ante el Tribunal Supremo alemán).

En este complejo escenario, la Corte de Düsseldorf solicitó al TJUE emitir una decisión prejudicial orientada a resolver una serie de dudas. Lo anterior, con miras a resolver el asunto de fondo de una manera que sea consistente con la interpretación del TJUE sobre la legislación de la Unión Europea relevante en este caso (GDPR y TFUE).

Tales dudas dicen relación con: (i) la competencia de la Budeskartellamt para aplicar las normas del GDPR; (ii) si la dominancia de Facebook privaba el consentimiento de su carácter “válido”, en los términos del GDPR; y (iii) si el tratamiento de datos personales realizado por Facebook se encontraba justificado.

Todas estas preguntas fueron respondidas por el TJUE en su decisión del 4 de julio, por lo que la Corte de Düsseldorf ya tendría todos los insumos necesarios para poder resolver el fondo del conflicto.

La respuesta a los primeros dos puntos anteriores nos entrega algunos insumos útiles para marcar la línea divisoria entre el derecho de la competencia y la protección de los datos personales. Por lo anterior, estos serán tratados de forma separada al tercer punto, que nos entrega aprendizajes respecto de cuándo el tratamiento de datos puede encontrarse justificado.

Aprendizajes de libre competencia

Sobre la competencia de la Bundeskartellamt para aplicar el GDPR

Respecto de este primer punto, el TJUE señaló que, en principio, la autoridad encargada fiscalizar el cumplimiento del GDPR es la que dicha regulación expresamente mandata a ejercer dicho control (i.e., la “autoridad de control” que cada Estado de la UE deberá constituir), no siendo este el caso de la Bundeskartellamt (agencia de competencia). Según este: “las autoridades de control, por una parte, y las autoridades nacionales de defensa de la competencia, por otra, ejercen funciones diferentes y persiguen objetivos y misiones que les son propios” (TJUE, 2023, p. 15).

Sin embargo, aquello no impediría que una agencia de competencia declare una infracción al GDPR cuando aquello sea necesario para declarar a su vez la existencia de un abuso de posición dominante. Esto, salvo que exista un pronunciamiento previo e incompatible con dicha declaración de infracción, emanado de la “agencia de datos” respectiva.

De acuerdo con el TJUE, para que lo anterior ocurra, la autoridad de competencia debe demostrar una actitud de “cooperación leal” con la agencia de datos, remitiéndole consultas sobre el caso, compartiéndole información de que disponga, y otorgándole un plazo razonable para que esta le comunique su parecer. En este sentido, “[s]i no plantean objeciones ni responden en un plazo razonable, la autoridad nacional de defensa de la competencia puede proseguir su propia investigación” (TJUE, 2023, p. 31).

Además, en ningún caso la agencia de competencia podría contradecir la competencia que tiene la agencia de datos en materia de fiscalización del GDPR, ni tampoco irrogarse la competencia exclusiva para conocer de estos asuntos.

Sobre el consentimiento y la dominancia

El razonamiento del TJUE para responder el segundo punto, fue adelantado en buena medida por el Abogado General del TJUE, Athanasios Rantos, en sus recomendaciones presentadas ante el TJUE en septiembre del año pasado. Según Rantos:

“la mera circunstancia de que la empresa que administra una red social disfrute de una posición dominante […] no puede, por sí sola, privar al consentimiento del usuario de dicha red para el tratamiento de sus datos personales de su carácter válido […] No obstante, tal circunstancia incide en la apreciación de la libertad del consentimiento en el sentido de dicha disposición(Conclusiones del Abogado General, 2022).

En el mismo sentido, el TJUE falló señalando que la dominancia de una plataforma puede ser considerada como un factor a considerar para analizar si el consentimiento para el tratamiento de datos fue otorgado libremente, especialmente si este está condicionado a la prestación del servicio. La carga de la prueba, en cualquier caso, correspondería al responsable del tratamiento de datos, quien debería, por medio de signos “positivos”, demostrar que el tratamiento de datos fue consentido (TJUE, 2023, p. 30).

Complementando lo anterior, según el TJUE, existiría una carencia de opciones para que los usuarios puedan “personalizar” el tratamiento de datos que no son esenciales para el funcionamiento de la plataforma (como lo serían los datos recopilados de sitios de terceros). Esta circunstancia, sería un indicio de que el consentimiento no fue otorgado libremente, siendo resultado de un “desequilibrio manifiesto” entre Facebook y los usuarios (en el sentido del considerando 43 del RGPD).

Aprendizajes sobre datos personales

Sobre el alcance de los datos sensibles

En materia de datos personales, la Corte de Düsseldorf le preguntó al TJUE si acaso los datos recopilados de sitios web o aplicaciones de terceros (que utilizan las herramientas para desarrolladores de Facebook), y cuyos sitios estén relacionados con -pero no constituyan por sí mismos- datos sensibles (dentro de las categorías del artículo 9 “1” RGPD), son también datos de esta naturaleza (es decir, “sensibles”).

Tal sería el caso, por ejemplo, de un sitio web dirigido a un público con una orientación sexual determinada, y que utilice la interfaz de inicio de sesión de Facebook.com, permitiéndole a la plataforma extraer (mediante cookies) sus propias conclusiones relativas a la orientación sexual de sus usuarios.

De acuerdo con el TJUE, aquello sí debe ser considerado como un tratamiento de “categorías especiales de datos personales”, debiéndose cumplir alguna de las condiciones establecidas en el artículo 9 del GDPR para ser considerado lícito (p. ej. consentimiento explícito para el fin específico, cumplimiento de obligaciones legales, protección de intereses legítimos, etc.).

Sobre la justificación del tratamiento de datos de Facebook

Dado a que el tratamiento de datos de la plataforma involucraba datos sensibles, la licitud de este se encuentra condicionada a la procedencia de alguna de las causales del artículo 9 del GDPR.

En este sentido, la Corte de Düsseldorf le preguntó al TJUE: (i) si acaso el hecho de que un usuario visite un sitio de terceros introduciendo datos implicaba hacer “manifiestamente públicos” dichos datos; (ii) si los servicios prestados por Facebook (con su carácter de personalizados) son un “contrato” cuya ejecución justificaría el tratamiento de datos; (iii) si los servicios entregados por Facebook permiten acreditar un “interés legítimo” del usuario cuyos datos son tratados; y (iv) si sería procedente este tratamiento para el cumplimiento de obligaciones legales.

Todas estas circunstancias serían “excepciones” a la ilicitud del tratamiento de datos sensibles, por lo que de su respuesta depende el pronunciamiento de fondo de la Corte de Düsseldorf.

Respecto del primer punto, el TJUE señaló que sólo se puede considerar que un dato se ha hecho manifiestamente público, si el usuario tenía (o es esperable que haya tenido) pleno conocimiento de que estos datos son accesibles a un número ilimitado de personas.

Respecto del segundo punto, el TJUE expresó que el tratamiento debe ser:

objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual destinada a esos mismos usuarios, de manera que el objeto principal del contrato no podría alcanzarse sin ese tratamiento” (TJUE, 2023, p. 32).

La sugerencia del TJUE, respecto del punto anterior, es que el servicio de red social de Facebook no cumpliría con estas condiciones, sin perjuicio de que se trate de algo que la Corte de Düsseldorf deba ponderar al resolver el fondo.

Por último, sobre el tercer y cuarto punto, el TJUE señaló que el interés legítimo o el cumplimiento de una obligación legal solo serían una justificación válida si se han respetado los límites de lo estrictamente necesario para esto. Además, sobre el interés legítimo, señaló que este jamás puede prevalecer sobre los derechos fundamentales de los usuarios.

Conclusiones

El pronunciamiento del TJUE viene a entregar herramientas para distinguir la frontera entre el derecho de la competencia y la protección de los datos personales, así como entre lo que es considerado un tratamiento lícito de datos personales, y lo que no.

Si bien la posición de Meta se ve puesta en “jaque” con este pronunciamiento, la última palabra la tendrá la Corte de Düsseldorf, quien podría eventualmente considerar que la conducta de Facebook no era ilícita. Lo anterior, por existir “suficiente consentimiento” por parte del usuario, o por proceder alguna de las causales de justificación para el tratamiento de datos sensibles.

En este sentido, algunos se han mostrado críticos frente a la estrategia adoptada por la Bundeskartellamt, señalando que este caso habría podido resolverse desde la óptica de los precios excesivos (ver: F. Bostoen, 2019). Esto, considerando que: (i) los datos son el “medio de intercambio” que la plataforma exige a sus consumidores a cambio de los servicios de red social (ver: J. M. Newman, 2015); y (ii) que los T&C de la plataforma darían cuenta de que se trata de un “precio” que “no tiene una relación razonable con el producto intercambiado” (en el sentido del pronunciamiento del TJUE en el caso “United Brands”; ver nota de CeCo: ¿Se deben sancionar los precios excesivos?: revisión técnica y medicamentos en Europa).

Enlaces relacionados:

También te puede interesar

Sebastián Cañas O. | CeCo Chile