El Tribunal de Justicia de la Unión Europea aclara las relaciones entre las autoridades de defensa de la competencia y protección de datos

Según el Tribunal de Justicia de la Unión Europea una autoridad de defensa de la competencia de un Estado miembro puede concluir, en el marco del examen de un abuso de posición dominante por parte de una empresa, que las condiciones generales del servicio de dicha empresa relativas al tratamiento de los datos personales y la aplicación de esas condiciones no son conformes con el Reglamento General de Protección de Datos (RGPD) cuando esa conclusión sea necesaria para declarar la existencia de tal abuso.

No obstante, en virtud de la obligación de cooperación leal entra autoridades, la autoridad de defensa de competencia no puede apartarse de las decisiones de las autoridades de protección de datos, a las que debe consultar y pedir cooperación.

El Tribunal de Justicia de la Unión Europea (TJUE), en su Sentencia de 4 de julio de 2023, asunto C-252/21, Meta Platforms y otros, se ha enfrentado al delicado tema de las relaciones entre las autoridades de defensa de la competencia y de protección de datos. 

Los hechos que dan lugar a la Sentencia son los siguientes: Meta Platforms Ireland gestiona la oferta de la red social en línea Facebook en la Unión y promueve servicios que son gratuitos para los usuarios privados. El modelo económico de Facebook se basa en la financiación a través de la publicidad en línea, que se hace a medida para los usuarios individuales de la red social, en función, en particular, de sus actitudes de consumo, intereses, poder adquisitivo y situación personal. Tal publicidad es técnicamente posible mediante el establecimiento automatizado de perfiles detallados de los usuarios de la red. A tal fin, además de los datos que los usuarios proporcionan al registrarse, también se recogen, dentro y fuera de esa red social y de los servicios prestados por Meta, otros datos relativos a dichos usuarios y a sus dispositivos, de los que es posible extraer conclusiones detalladas sobre sus preferencias e intereses. Para el tratamiento de dichos datos, Meta se basa en el contrato de servicio al que se adhieren los usuarios y la aceptación de las condiciones generales. Por lo que respecta al tratamiento de datos personales, las condiciones generales remiten a las políticas de datos y de cookies establecidas por Meta. En virtud de estas últimas, Meta recoge datos acerca de los usuarios y los dispositivos, que versan sobre las actividades de los usuarios dentro y fuera de la red social, y relaciona esos datos con las cuentas de Facebook de los usuarios. En cuanto a los datos relativos a las actividades fuera de la red social («datos off Facebook»), se trata, por un lado, de los datos sobre la consulta de páginas de Internet y de aplicaciones de terceros, conectadas a Facebook a través de interfaces de programación y, por otro lado, de los datos relativos a la utilización de otros servicios en línea pertenecientes al grupo Meta, entre los que se encuentran Instagram y WhatsApp.

La Autoridad Federal Alemana de Defensa de la Competencia inició un procedimiento contra Meta y Facebook y acordó prohibir que en las condiciones generales se supeditara el uso de la red social Facebook por parte de usuarios privados al tratamiento de sus «datos off Facebook», y que procedieran, sin el consentimiento de estos, al tratamiento de esos datos. Además, les obligó a adaptar esas condiciones generales de manera que de ellas se dedujera claramente que dichos datos no se utilizarían sin el consentimiento del usuario afectado, y aclaró que tal consentimiento no es válido cuando constituye un requisito para el uso de la red social. La Autoridad motivó su resolución en el hecho de que el tratamiento de los datos de los usuarios afectados constituía una explotación abusiva de la posición dominante de dicha sociedad en el mercado de las redes sociales en línea para usuarios privados en Alemania, en particular debido a que el tratamiento de los «datos off Facebook» no es conforme con el RGPD.

Meta recurrió la resolución ante el Tribunal Superior Regional de Düsseldorf y éste planteó cuestión prejudicial ante el TJUE en la que, entre otros temas de enorme alcance en materia de protección de datos que ahora no podemos analizar, cuestiona si la autoridad de defensa de la competencia de un Estado miembro en su función de control de los abusos de posición dominante en el marco del Derecho de la competencia puede declarar una infracción del RGPD y, en caso afirmativo, si es posible que al mismo tiempo la autoridad de protección de datos pueda someter a una investigación las condiciones contractuales sobre tratamiento de datos.

El Tribunal es consciente de que el acceso a los datos personales y la posibilidad del tratamiento de estos se han convertido en un parámetro significativo de la competencia entre empresas de la economía digital. Por lo tanto, excluir las normas en materia de protección de datos personales del marco jurídico que las autoridades de defensa de la competencia deben tomar en consideración al examinar un abuso de posición dominante ignoraría la realidad de esta evolución económica y podría menoscabar la efectividad del Derecho de la competencia en el seno de la Unión.

Teniendo esto en cuenta, el TJUE señala que las autoridades de protección de datos y las autoridades de defensa de la competencia ejercen funciones y persiguen objetivos diferentes. Parte de la base de que según el RGPD corresponde a las autoridades de protección de datos controlar su aplicación y hacerlo aplicar. Pero añade que ninguna disposición del Reglamento prohíbe que las autoridades de defensa de la competencia concluyan, en el ejercicio de sus funciones, que un tratamiento de datos efectuado por una empresa en posición dominante y susceptible de constituir un abuso de esa posición no es conforme con dicho Reglamento. En consecuencia, en el marco del examen de un abuso de posición dominante, puede resultar necesario que la autoridad de defensa de la competencia, en el ejercicio de sus funciones, examine también la conformidad de las actividades de una empresa con normas distintas de las incluidas en el Derecho de la competencia, como son las normas en materia de protección de datos personales establecidas en el RGPD. El Tribunal aclara que actuando así las autoridades de defensa de la competencia no suplantan a las autoridades de protección de datos, pues aquéllas no controlan la aplicación de dicho Reglamento ni lo hacen aplicar con la finalidad de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y facilitar la libre circulación de datos personales en la Unión. Además, al limitarse a señalar la falta de conformidad de un tratamiento de datos con el RGPD solo al efecto de declarar la existencia de un abuso de posición dominante y al imponer medidas dirigidas al cese de ese abuso sobre una base jurídica derivada del Derecho de la competencia, tales autoridades no ejercen ninguna de las funciones y poderes reservados a la autoridad de protección de datos en virtud del artículo 58 de dicho Reglamento.

Ahora bien, el TJUE señala que en el supuesto de que una autoridad de defensa de la competencia considere necesario pronunciarse sobre la conformidad o no con el RGPD de un tratamiento de datos personales, debe cooperar con la autoridad de protección de datos para garantizar una aplicación coherente del citado Reglamento. Y ello debido a que, si bien ni el RGPD ni ningún otro instrumento del Derecho de la Unión establecen normas específicas a este respecto, no es menos cierto que todas las autoridades nacionales implicadas están vinculadas por el principio de cooperación leal, consagrado en el artículo 4 TUE, apartado 3, cuando aplican el RGPD. En virtud de este principio, los Estados miembros, incluidas sus autoridades administrativas, deben respetarse y asistirse mutuamente en el cumplimiento de las misiones derivadas de los Tratados, adoptar todas las medidas apropiadas para asegurar el cumplimiento de las obligaciones derivadas de los actos de las instituciones de la Unión y abstenerse de toda medida que pueda poner en peligro la consecución de los objetivos de la Unión. De modo que cuando las autoridades de defensa de la competencia tienen que examinar, en el ejercicio de sus competencias, la conformidad de una actividad de una empresa con las disposiciones del RGPD, deben ponerse de acuerdo y cooperar lealmente con las autoridades de protección de datos, estando todas ellas obligadas a respetar sus respectivos poderes y competencias, de modo que se observen las obligaciones derivadas del RGPD y los objetivos de este y quede preservado su efecto útil. En consecuencia, dado que el examen, por parte de una autoridad de defensa de la competencia, de una actividad de una empresa a la luz de las normas del RGPD puede implicar el riesgo de divergencias entre tal autoridad y las autoridades de protección de datos en cuanto a la interpretación de dicho Reglamento, dicha autoridad debe comprobar si esa actividad o una actividad similar ya ha sido objeto de una decisión por parte de la autoridad de protección de datos o incluso por parte del Tribunal de Justicia. Si es así, y esto es esencial, la autoridad de defensa de la competencia no puede apartarse de ella, aunque conserva su libertad para deducir sus propias conclusiones desde el punto de vista de la aplicación del Derecho de la competencia.

Por otra parte, cuando albergue dudas sobre el alcance de la apreciación efectuada por la autoridad de protección de datos, o cuando la actividad en cuestión o una actividad similar sean, al mismo tiempo, objeto de examen por parte de esa autoridad, o incluso cuando considere, en ausencia de investigación de la misma, que una actividad de una empresa no es conforme con las disposiciones del RGPD, la autoridad de defensa de la competencia debe consultar a esas autoridades y solicitar su cooperación, con el fin de disipar sus dudas o de determinar si, antes de iniciar su propia apreciación, no procede esperar a la adopción de una decisión por parte de la autoridad de control interesada. Por su parte, la autoridad de protección de datos deberá responder en un plazo razonable, comunicándole la información de la que disponga que permita disipar las dudas de esa autoridad sobre el alcance de la apreciación efectuada por la autoridad de protección de datos. Y el TJUE va más allá, pues afirma que en caso de que la autoridad de protección de datos no dé una respuesta en un plazo razonable, la autoridad de defensa de la competencia podrá proseguir su propia investigación.

En conclusión, el TJUE reconoce que nada impide que las autoridades de defensa de la competencia analicen, en el ejercicio de sus funciones, si una empresa cumple con el RGPD, pero establece una obligación de cooperación leal con las autoridades de protección de datos, a las que deberán consultar y de cuya opinión no podrán en ningún caso separarse.