Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
Partes
Demandantes: Meta Platforms Inc., anteriormente Facebook Inc., Meta Platforms Ireland Limited, anteriormente Facebook Ireland Ltd. y Facebook Deutschland GmbH
Demandada: Bundeskartellamt
Con intervención de: Verbraucherzentrale Bundesverband eV
Pretensión de la parte demandante
Cuestiones prejudiciales
1. |
|
| |
Fallo
El principal argumento del Fallo 1. es el siguiente: sin perjuicio del cumplimiento de su obligación de cooperación leal con las autoridades de control, una autoridad de defensa de la competencia de un Estado miembro puede concluir, en el marco del examen de un abuso de posición dominante por parte de una empresa, con arreglo al artículo 102 TFUE, que las condiciones generales del servicio de dicha empresa relativas al tratamiento de los datos personales y la aplicación de esas condiciones no son conformes con el citado Reglamento, cuando esa conclusión sea necesaria para declarar la existencia de tal abuso. |
Se incluyen a continuación los textos integrales de las pretensiones de la demandante como el fallo del Tribunal de Justicia Europeo.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com
___________________________________________________________________
Sentencia del Tribunal de Justicia (Gran Sala) de 4 de julio de 2023 (petición de decisión prejudicial planteada por el Oberlandesgericht Düsseldorf — Alemania) — Meta Platforms Inc., anteriormente Facebook Inc., Meta Platforms Ireland Limited, anteriormente Facebook Ireland Ltd., Facebook Deutschland GmbH / Bundeskartellamt
[Asunto C-252/21, (1) Meta Platforms y otros (Condiciones generales del servicio de una red social)]
(Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Reglamento (UE) 2016/679 - Redes sociales en línea - Abuso de posición dominante por parte del operador de tal red - Abuso consistente en el tratamiento de datos personales de los usuarios de dicha red previsto en las condiciones generales del servicio de esta - Competencias de una autoridad de defensa de la competencia de un Estado miembro para concluir que dicho tratamiento no es conforme con ese Reglamento - Articulación con las competencias de las autoridades nacionales encargadas del control de la protección de los datos personales - Artículo 4 TUE, apartado 3 - Principio de cooperación leal - Artículo 6, apartado 1, párrafo primero, letras a) a f), del Reglamento 2016/679 - Licitud del tratamiento de datos - Artículo 9, apartados 1 y 2 - Tratamiento de categorías especiales de datos personales - Artículo 4, punto 11 - Concepto de «consentimiento»)
(2023/C 296/03)
Lengua de procedimiento: alemán
Órgano jurisdiccional remitente
Oberlandesgericht Düsseldorf
Partes en el procedimiento principal
Demandantes: Meta Platforms Inc., anteriormente Facebook Inc., Meta Platforms Ireland Limited, anteriormente Facebook Ireland Ltd. y Facebook Deutschland GmbH
Demandada: Bundeskartellamt
Con intervención de: Verbraucherzentrale Bundesverband eV
Fallo
1) | Los artículos 51 y siguientes del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), así como el artículo 4 TUE, apartado 3, deben interpretarse en el sentido de que, sin perjuicio del cumplimiento de su obligación de cooperación leal con las autoridades de control, una autoridad de defensa de la competencia de un Estado miembro puede concluir, en el marco del examen de un abuso de posición dominante por parte de una empresa, con arreglo al artículo 102 TFUE, que las condiciones generales del servicio de dicha empresa relativas al tratamiento de los datos personales y la aplicación de esas condiciones no son conformes con el citado Reglamento, cuando esa conclusión sea necesaria para declarar la existencia de tal abuso. A la vista de esta obligación de cooperación leal, la autoridad nacional de defensa de competencia no puede apartarse de una decisión de la autoridad nacional de control competente o de la autoridad de control principal competente relativa a esas condiciones generales o a condiciones generales similares. Cuando albergue dudas sobre el alcance de tal decisión, o cuando esas condiciones o condiciones similares sean, al mismo tiempo, objeto de examen por parte de las citadas autoridades, o incluso cuando considere, en ausencia de investigación o de decisión de dichas autoridades, que las condiciones en cuestión no son conformes con el Reglamento 2016/679, la autoridad de defensa de la competencia debe consultar a esas mismas autoridades de control y solicitar la cooperación de estas para disipar sus dudas o para determinar si, antes de iniciar su propia apreciación, no procede esperar a la adopción de una decisión por parte de estas. Si no plantean objeciones ni responden en un plazo razonable, la autoridad nacional de defensa de la competencia puede proseguir su propia investigación. |
2) | El artículo 9, apartado 1, del Reglamento 2016/679 debe interpretarse en el sentido de que, en el supuesto de que un usuario de una red social en línea consulte sitios de Internet o aplicaciones en relación con una o con varias de las categorías contempladas en dicha disposición y, en su caso, introduzca datos en ellos registrándose o efectuando pedidos en línea, el tratamiento de datos personales por parte del operador de esa red social en línea, consistente en la recogida, mediante interfaces integradas, cookies o tecnologías de almacenamiento similares, de los datos resultantes de la consulta de esos sitios y aplicaciones, así como de los datos introducidos por el usuario, en la puesta en relación del conjunto de esos datos con la cuenta de la red social de este y en la utilización de dichos datos por el operador, debe considerarse como un «tratamiento de categorías especiales de datos personales», con arreglo a la citada disposición, que, en principio, está prohibido, sin perjuicio de las excepciones previstas en ese artículo 9, apartado 2, cuando dicho tratamiento de datos permita revelar información comprendida en alguna de esas categorías, con independencia de que tal información afecte a un usuario de esa red o a cualquier otra persona física. |
3) | El artículo 9, apartado 2, letra e), del Reglamento 2016/679 debe interpretarse en el sentido de que, cuando un usuario de una red social en línea consulta sitios de Internet o aplicaciones en relación con una o con varias de las categorías contempladas en el artículo 9, apartado 1, de este Reglamento, no hace manifiestamente públicos, con arreglo a la primera de esas disposiciones, los datos relativos a dicha consulta recogidos por el operador de esa red social en línea a través de cookies o de tecnologías de almacenamiento similares. Cuando ese usuario introduce datos en tales sitios de Internet o en tales aplicaciones o cuando activa botones de selección integrados en esos sitios y en esas aplicaciones, como son los botones «me gusta» o «compartir» o los botones que permiten al usuario identificarse en esos sitios o aplicaciones utilizando los identificadores de conexión vinculados a su cuenta de usuario de la red social, su número de teléfono o su dirección de correo electrónico, tal usuario solo hace manifiestamente públicos, en el sentido de dicho artículo 9, apartado 2, letra e), los datos así introducidos o resultantes de la activación de esos botones en el supuesto de que haya manifestado explícitamente su opción previa, en su caso sobre la base de una configuración individual efectuada con pleno conocimiento de causa, de que los datos que le conciernen resulten accesibles públicamente a un número ilimitado de personas. |
4) | El artículo 6, apartado 1, párrafo primero, letra b), del Reglamento 2016/679 debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, solo puede considerarse necesario para la ejecución de un contrato en el que los interesados son partes, con arreglo a esta disposición, si dicho tratamiento es objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual destinada a esos mismos usuarios, de manera que el objeto principal del contrato no podría alcanzarse sin ese tratamiento. |
5) | El artículo 6, apartado 1, párrafo primero, letra f), del Reglamento 2016/679 debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, solo puede considerarse necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, con arreglo a esa disposición, si dicho operador ha indicado a los usuarios de los que se han obtenido los datos un interés legítimo perseguido por el tratamiento de estos, si el referido tratamiento se lleva a cabo dentro de los límites de lo estrictamente necesario para la satisfacción de ese interés legítimo y si de una ponderación de los intereses en conflicto se desprende, habida cuenta de todas las circunstancias pertinentes, que los intereses o las libertades y los derechos fundamentales de esos usuarios no prevalecen sobre el citado interés legítimo del responsable del tratamiento o de un tercero. |
6) | El artículo 6, apartado 1, párrafo primero, letra c), del Reglamento 2016/679 debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, está justificado, con arreglo a esta disposición, cuando sea efectivamente necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, en virtud de una disposición del Derecho de la Unión o del Derecho del Estado miembro de que se trate, dicha base jurídica responda a un objetivo de interés público y sea proporcionada al objetivo legítimo perseguido y ese tratamiento se lleve a cabo sin sobrepasar los límites de lo estrictamente necesario. |
7) | El artículo 6, apartado 1, párrafo primero, letras d) y e), del Reglamento 2016/679 debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, no puede, en principio y sin perjuicio de la comprobación que haya de efectuar el órgano jurisdiccional remitente, considerarse necesario para proteger intereses vitales del interesado o de otra persona física, con arreglo a la letra d), o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, conforme a la letra e). |
8) | Los artículos 6, apartado 1, párrafo primero, letra a), y 9, apartado 2, letra a), del Reglamento 2016/679 deben interpretarse en el sentido de que el hecho de que el operador de una red social en línea ocupe una posición dominante en el mercado de las redes sociales en línea no impide, como tal, que los usuarios de tal red puedan prestar válidamente su consentimiento, con arreglo al artículo 4, punto 11, de dicho Reglamento, al tratamiento de sus datos personales efectuado por ese operador. No obstante, esta circunstancia constituye un elemento relevante para determinar si el consentimiento ha sido efectivamente prestado válidamente y, en particular, libremente, lo que incumbe probar a dicho operador. |
______________________________________________________________________________
Petición de decisión prejudicial planteada por el Oberlandesgericht Düsseldorf (Alemania) el 22 de abril de 2021 — Facebook Inc. y otros / Bundeskartellamt
(Asunto C-252/21)
(2021/C 320/20)
Lengua de procedimiento: alemán
Órgano jurisdiccional remitente
Oberlandesgericht Düsseldorf
Partes en el procedimiento principal
Recurrentes: Facebook Inc., Facebook Ireland Ltd, Facebook Deutschland GmbH
Recurrida: Bundeskartellamt
Parte coadyuvante: Verbraucherzentrale Bundesverband e. V.
Cuestiones prejudiciales
1. |
En caso de respuesta afirmativa a la primera cuestión: |
2. |
|
3. | ¿Puede una empresa como Facebook Ireland, que explota una red social digital financiada con publicidad y en cuyas condiciones de servicio ofrece la personalización de los contenidos y la publicidad, la seguridad de red, la mejora de los productos y el disfrute coherente y fluido de todos los productos del grupo, invocar la justificación de la necesidad para la ejecución de un contrato en virtud del artículo 6, apartado 1, letra b), del RGPD o para la satisfacción de intereses legítimos en virtud de la letra f) de la misma disposición, cuando a tal fin recoge datos procedentes de otros servicios del grupo y de páginas web y aplicaciones de terceros, por medio de interfaces insertadas en ellas, como «herramientas de Facebook para empresas», o mediante «cookies» o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, y los combina con la cuenta de Facebook.com del usuario y los utiliza? |
4. | En un caso así,
|
5. | En tal caso, ¿puede estar justificado, también con arreglo al artículo 6, apartado 1, letras c), d) y e), del RGPD, en el caso concreto, recoger datos procedentes de otros servicios del grupo y de páginas web y aplicaciones de terceros, por medio de interfaces insertadas en ellas, como «herramientas de Facebook para empresas», o mediante «cookies» o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, y combinarlos con la cuenta de Facebook.com del usuario y utilizarlos, o utilizar datos ya recogidos y combinados de otra forma lícita, por ejemplo, para responder a una petición lícita de determinados datos [letra c)], para combatir un comportamiento nocivo y mejorar la seguridad [letra d)] o para investigar por el bien de la sociedad y en aras de la protección, la integridad y la seguridad [letra e)]? |
6. | ¿Es posible una prestación válida y, en particular libre del consentimiento en el sentido del artículo 4, punto 11, del RGPD, frente a una empresa con posición dominante, como Facebook Ireland, especialmente a efectos de los artículos 6, apartado 1, letra a), y 9, apartado 2, letra a), del RGPD? En caso de respuesta negativa a la primera cuestión: |
7. |
En caso de respuesta afirmativa a la séptima cuestión, será preciso responder a las cuestiones tercera a quinta en relación con los datos procedentes del uso del servicio del grupo Instagram. |
(1) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).
No hay comentarios:
Publicar un comentario