Newsletter
Suscríbete a nuestro Newsletter y entérate de las últimas novedades.
Desde hace al menos 15 años, los datos personales se han trasformado en un insumo clave para ciertos modelos de negocios (especialmente en los denominados mercados digitales). En efecto, el acceso, almacenamiento y manejo de información de los usuarios forma parte del servicio que se ofrecen en estos mercados, los que suelen funcionar como mercados de dos o más lados (típicamente un lado es para los usuarios y otro para los anunciantes).
El uso de datos personales por parte de los agentes económicos -especialmente los grandes- genera preocupaciones tanto en términos de libre competencia como de privacidad. Desde la perspectiva de la libre competencia, la concentración de datos en una empresa genera condiciones que pueden llevar a comportamientos anticompetitivos (p. ej., discriminación, ventas atadas), aun cuando los datos hayan sido recolectados legalmente. Por otro lado, desde la perspectiva de la privacidad, ciertas prácticas de tratamiento de datos, aunque sean pro-competitivas, pueden afectar los derechos de privacidad y seguridad de las personas. En este marco, esta nota revisa el working paper “The intersection between competition and data privacy” (“Reporte OCDE”), elaborado por Carolina Abate (División de Competencia de la OCDE), y Giuseppe Bianco y Francesca Casalini (ambos de la División de Política de Economía Digital de la OCDE). El Reporte OCDE advierte sobre la intersección y traslape de ambos marcos regulatorios, además de desafíos y oportunidades de cooperación entre las agencias respectivas.
De acuerdo al Reporte OCDE, históricamente, el derecho de competencia ha mantenido una postura «separatista» frente al derecho de privacidad. Esta postura se fundaría en la concepción más economicista del derecho de competencia, según la cual el objetivo de esta rama es el bienestar del consumidor entendido como precios bajos y mayor producción. Otro fundamento es que el enforcement -casuístico- de libre competencia en esta materia llevaría a imponer estándares de privacidad distintos para cada empresa, lo que a su vez podría distorsionar la competencia (p. ej., Declaración de la FTC en caso Google/DoubleClick, 2007).
Sin embargo, el reporte también constata que, con el avance tecnológico y el despliegue de la economía digital, ha emergido una postura “integracionista” (ver artículo de Javiera Sepúlveda). Dos hitos relevantes de esta postura fueron la declaración conjunta de las agencias de competencia de Francia y Alemania (de 2016), y el caso de Facebook -actual Meta- en Alemania, de 2019 (ver nota CeCo “El tortuoso romance entre datos y competencia”). En este, el Tribunal de Justicia de la Unión Europea (TJUE), en línea con el Bundeskartellamt alemán, estableció que: (i) el tratamiento de datos personales es una variable competitiva (asociada a la calidad del producto/servicio), y (ii) una agencia de competencia podría declarar una infracción a la legislación de datos personales (como el GDPR de la UE) cuando ello sea necesario para declarar, a su vez, la existencia de un abuso de posición dominante (ver párr. 51 de la sentencia). Para una visión crítica de este razonamiento, ver columna de A. Calderón.
Un abuso de posición dominante asociado a datos personales puede ser de carácter explotativo o exclusorio. Una hipótesis de abuso explotativo es el ya mencionado caso de Facebook en Alemania (2019), consistente en una degradación de las políticas de privacidad de datos de los usuarios, que permitía una colección excesiva de datos. La forma de analizar estos casos pueden ser dos: considerar la reducción de la privacidad como una degradación de la calidad del servicio (Kemp, 2020), o bien, utilizar la teoría de daño de precios excesivos. Para esta última, las autoridades expresan el valor de los datos en términos monetarios, para luego, determinar si este es excesivo o no (Robertson, 2020). Por otra parte, los abusos exclusorios se pueden manifestar de distintas formas. En primer lugar, pueden tomar la forma de una venta atada: una empresa dominante condiciona la provisión de sus servicios en el mercado principal (típicamente, una plataforma digital) a la aceptación de una política de privacidad que le permite unificar los datos personales de los usuarios recolectados en servicios distintos al principal (mercados secundarios). Esta conducta permite obtener ventajas de datos que pueden excluir o dificultar la entrada de nuevos competidores.
Los abusos exclusorios asociados a datos también pueden manifestarse en fusiones. Una fusión puede dar lugar a una acumulación y combinación de datos que refuerce el poder de mercado de la entidad fusionada. Esta acumulación puede generar barreras de entrada, o bien, un cierre de mercado por bloqueo de insumos (siendo los datos acumulados dicho insumo)(ver nota CeCo “OCDE: Teorías de daño en las fusiones digitales”).
El Reporte OCDE indica que la relevancia del derecho de la competencia para la regulación de datos es menos clara. Sin embargo, señala que las autoridades de protección de datos cada vez están mirando con mayor interés los casos de libre competencia para reflexionar acerca de qué manera dichos casos pueden ser utilizados para reforzar el enforcement de la regulación de datos. En este marco, un primer elemento del derecho de competencia que podría ser importante para el enforcement de datos personales es el desbalance entre el usuario (titular de los datos) y el controlador de datos (empresa), cuando el origen de este desbalance es el poder de mercado del controlador. En este sentido, el párrafo 43 del preámbulo del GDPR indica que el consentimiento no debería servir de base legal para el tratamiento de datos cuando existe un “desequilibrio claro” entre el titular y el responsable de dicho tratamiento.
En esta línea, el concepto de “responsabilidad especial” que la jurisprudencia del derecho de competencia de la UE aplica a los agentes dominantes, podría ser utilizado por las autoridades de protección de datos para reforzar las obligaciones de compliance que recaen sobre las empresas responsables del tratamiento de datos. Algo de esto ya ha sido recepcionado por algunas autoridades de protección de datos, que han establecido el desequilibrio (imbalance) como factor de agravación de multas: ver European Data Protection Board Guidelines y la UK Information Commissioner’s Office (ICO) Data Protection Fining Guidance.
Un segundo elemento del derecho de competencia que podría incidir en las políticas de enforcement de las agencias de protección de datos es la noción de que un mercado más competitivo podría conducir a políticas de privacidad más robustas (es decir, más favorables para los consumidores). Esto, ya sea en términos de la calidad de las políticas de manejo de datos que proponen las empresas, como en la relación calidad-precio de los productos/servicios ofrecidos. Un ejemplo de la correlación positiva entre competencia y privacidad sería la política de transparencia de rastreo (tracking) adoptada por Apple, que exige a los usuarios aceptar explícitamente (opt-in) la función de rastreo que contienen algunas apps, acerca de la interacción de los usuarios con apps de terceros (para una perspectiva crítica, ver columna de A. Ribera).
Fuente: Sitio web de Apple
Así, por ejemplo, de acuerdo al Reporte OCDE, en un escenario de baja competencia podrían hacer que ciertos derechos específicos de los titulares de datos devengan ineficaces (como el derecho a retirar el consentimiento sin detrimento, o a acceder a los datos personales que están siendo tratados). Esto por dos razones: (i) de existir pocas empresas en el mercado, será más difícil para la autoridad acceder a un benchmark para fijar un estándar de comportamiento concreto, y (ii) al reducirse las alternativas de cambio del titular de datos, será difícil para él retirar el consentimiento sin detrimento.
Como se vio en los párrafos anteriores, la intersección entre la labor de las autoridades de competencia y de protección de datos se basa en la necesidad, de cada una, de utilizar conceptos y/o consideraciones del campo de la otra. Así, la autoridad de competencia ha tenido que considerar cómo los datos se recolectan, usan y transfieren, mientras que la de datos ha comenzado a emplear aspectos como la posición de mercado, presencia de lock-in y efectos de red, entre otros.
En esta intersección, el Reporte OCDE identifica un espacio de convergencia (en que ambas autoridades se complementan y refuerzan mutuamente), y otro de divergencia (en que se crean tensiones que podrían perjudicar a una o ambas).
Por ejemplo, un espacio de convergencia se presenta cuando el enforcement de la regulación de datos personales permite reducir las ventajas competitivas asociadas a la extracción excesiva de datos por parte de una firma dominante. Por otro lado, un espacio de divergencia surge cuando la regulación de datos personales -especialmente cuando esta es reciente- impone obstáculos a nuevos entrantes y favorece a los incumbentes (que ya han recolectado los datos, de forma previa a la nueva regulación). Esto último estaría actualmente ocurriendo en la industria de IA generativa.
A continuación, se presentan algunos espacios específicos que expresan la interacción entre convergencia y divergencia en el tratamiento de datos: portabilidad e interoperabilidad, y acceso obligatorio a datos.
En primer lugar, respecto a portabilidad, esta se refiere a medidas que facilitan la transferencia de datos del usuario entre una empresa y otra, conforme a su voluntad. En términos de convergencia, la portabilidad impide el lock-in de los usuarios y promueve su libre elección (pudiendo así elegir proveedores que ofrezcan mejores productos o condiciones de privacidad). Por otro lado, en términos de divergencia, la portabilidad podría perjudicar la privacidad si ella, además de aumentar el flujo de datos personales entre empresas, flexibiliza demasiado la forma de ejercer dicha portabilidad.
En segundo lugar, la interoperabilidad es una medida que permite que dos softwares o hardwares interactúen entre sí. Esta puede ser impuesta como remedio en un caso de libre competencia, o bien, como una medida regulatoria ex ante (como ocurre en la DMA). En este ámbito, la interoperabilidad fortalece la competencia, pues disminuye barreras de entrada y aumenta la contestabilidad de mercados. No obstante, volviendo a la divergencia, la interoperabilidad, al igual que la portabilidad, implica un mayor nivel de exposición de los datos de los usuarios, así como a su ciberseguridad (especialmente considerando que la interoperabilidad supone transferencias de datos entre distintos sistemas informático, en tiempo real).
En tercer y último lugar, el acceso obligatorio de datos se refiere a las situaciones en las cuales una autoridad de competencia ordena -como remedio- la entrega de un conjunto de datos por parte de una empresa a otra, usualmente en base a la doctrina de la facilidad esencial. Si bien esta medida está pensada para fortalecer la competencia, puede divergir de la protección de datos personales cuando su implementación pasa por alto la exigencia de consentimiento de los usuarios (titulares de los datos personales). Al respecto, el Reporte OCDE señala que una forma práctica de implementar estas medidas es a través del envío de notificaciones a los usuarios (avisando del traspaso de datos) y un sistema de opt-out dentro de un plazo determinado.
La “defensa de privacidad” se refiere a los casos en que una empresa acusada de posición dominante se rehúsa a traspasarle a otra empresa los datos que controla, en base al peligro que dicho traspaso generaría para la privacidad de los usuarios (Ohlhausen, 2019). Esta defensa, según el Reporte OCDE, podría ser instrumentalizada para justificar conductas potencialmente anticompetitivas (Colangelo, 2023). Así, por ejemplo, en una demanda reciente del DoJ contra Apple se denunció el supuesto “escudo de privacidad” (privacy shield) con el que dicha empresa pretendería justificar ciertas conductas anticompetitivas.
Por todo lo señalado en esta nota, las actividades de las agencias de competencia y protección de datos pueden traslaparse, generando un riesgo de vulneración al principio de non bis in idem y decisiones contradictorias.
Por ello, el Reporte OCDE indica que es necesaria la cooperación y diálogo entre las autoridades. En esta tarea, diferentes jurisdicciones han presentado distintas aproximaciones. El Reporte describe la situación de Reino Unido, Estados Unidos y Colombia, condensada en la Tabla 1 (en la cual se agregó Chile).
Tabla 1: Autoridades de Libre Competencia y Protección de Datos
Fuente: Elaboración propia en base a Reporte OCDE
Esta situación plantea interrogantes sobre el estado actual del marco regulatorio chileno, en que no existe una autoridad específica encargada de la legislación sobre privacidad. La aplicación de la actual ley de protección de datos (Ley 19.628, de 1999) recae actualmente en los jueces civiles. Esto podría cambiar con la probable aprobación del Proyecto de Ley de Protección de Datos Personales (Boletín Nº11.144-07), que crea una agencia administrativa con facultades de investigación y sanción.
Por último, un aspecto relevante de intersección entre libre competencia y datos que no es tratado en el Reporte OCDE es la tensión que existe entre la facultad de las agencias de competencia para requerir información a los agentes económicos, y la protección de los datos personales que dicha información podría contener. Al respecto, ver nota CeCo sobre la litigación entre ciertas universidades y la FNE por entrega de información de alumnos.