La CNMC también puede multar a las empresas por incumplir el Reglamento europeo de Protección de Datos
Una reciente sentencia del TJUE recuerda que las autoridades de defensa de la competencia pueden sancionar estas conductas
No hay duda de que el acceso y la explotación del big data es un parámetro competitivo en la economía digital. Pero esta fuente de innovación, desarrollo y de crecimiento económico debe ajustarse al ordenamiento jurídico, concretamente al respeto de la libertad de empresa y la normativa de protección de datos personales.
Una reciente sentencia de 4 de julio de 2023 del Tribunal de Justicia de la Unión Europea en el asunto C-252/21 Meta Platforms, Inc, ha venido a recordar que las autoridades de defensa de la competencia disfrutan de poderes suficientes para sancionar, por ejemplo, conductas que se consideren contrarias a la normativa de protección de datos personales; y que en nuestro país se conforma por el Reglamento Europeo de Protección de Datos Personales y por la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales.
La CNMC siempre ha podido sancionar los incumplimientos de cualquier norma, si con ello la empresa conseguía una ventaja competitiva significativa, falseaba la competencia y afectaba al interés público. Pero para entender bien el contexto y el impacto de la sentencia de 4 de julio hay que saber que la misma surge a raíz de una decisión de la autoridad de la competencia alemana de 6 de febrero de 2019 de prohibir a Facebook/Meta el tratamiento de determinados datos personales previsto en las condiciones generales de su servicio de red social Facebook.
La autoridad de competencia alemana consideró que la autorización, que se obtenía por vía de aceptación de las condiciones generales, para tratar y cruzar datos personales derivados de las consultas de páginas de Internet y aplicaciones de terceros activando los botones “me gusta” o “like” o “compartir” que estuvieran conectados con Facebook , así como los datos personales derivados de la utilización de Instagram o WhatsApp no tenía la consideración de un consentimiento válido a la luz del Reglamento europeo de Protección de Datos Personales. Por lo tanto, dichos tratamientos se prohibieron.
El proceso judicial alemán de recursos y apelaciones ha llevado al Tribunal de Justicia de la Unión Europea a manifestarse, conforme al mecanismo procesal comunitario denominado cuestión prejudicial, respecto de una serie de dudas (concretamente ocho) que asaltaron al Tribunal Superior de Düsseldorf, y que eran necesarias para poder decidir si anulaba o no la decisión de la autoridad de competencia alemana.
Pues bien, de la serie de interpretaciones que el Tribunal de Justicia de la Unión Europea realiza del Reglamento Europeo de Protección de Datos Personales hay dos que merecen especial atención y que abordan la interacción entre el ejercicio de la libertad de empresa y el respeto al derecho a la intimidad.
Así, según reza la sentencia, para que nuestra CNMC pueda también (además de la AEPD) prohibir un tratamiento de datos personales debe cumplirse una serie de requisitos. En primer lugar, que se configure en cualquier caso también como un ilícito concurrencial (en el caso de la sentencia se refería a un abuso de posición de dominio). En segundo lugar, que se motive y pruebe que ese incumplimiento de la normativa de protección de datos, por las características del tratamiento ilícito de datos personales, supone un medio diferente del ejercicio de una competencia normal. Y, por último, que esa conclusión surja de una previa y leal cooperación entre la CNMC y la AEPD.
La sentencia reconoce también que no es incompatible disfrutar de una posición de dominio y respetar la libertad de los clientes. Y es que los clientes, en su aceptación de las condiciones contractuales de tratamiento de sus datos personales, pueden haber ejercido su libre voluntad. Por tanto, disfrutar de posición de dominio no presupone la existencia de un desequilibrio manifiesto que vicie la voluntad del cliente, aunque la empresa, como cualquier otra con independencia de su cuota de mercado, tiene la carga de probar que el consentimiento fue válidamente otorgado. Así lo exige el Reglamento europeo de Protección de Datos Personales.
Hoy en día la política de privacidad de la empresa forma parte de la propuesta de valor que, unida al precio y la calidad del servicio, deben aceptar o no los clientes. Diseñar y ejecutar una determinada política de privacidad supone acometer una decisión sobre una asignación eficiente de los recursos de la compañía en su ejercicio de su libertad empresarial.
Habrá que estar atentos a las ocasiones en las que la CNMC decida, por las características del asunto y conforme a sus prioridades de actuación, testar los límites de la libertad de empresa cuando se esté afectando al derecho fundamental a la intimidad personal de los clientes multando o prohibiendo el tratamiento de sus datos. Pero nada nuevo ha nacido para el derecho español el 4 de julio.
Daniel Escoda, Socio de Callol, Coca & Asociados
