El TJUE declara que una autoridad nacional de defensa de la competencia puede constatar, en el marco del examen de un abuso de posición dominante, una infracción del Reglamento General de Protección de Datos (LA LEY 6637/2016), aunque matiza sobre las condiciones para que pueda hacerlo.
Surge el litigio en relación con la red social Facebook porque al darse de alta en ella, los usuarios aceptan la recogida de datos relativos a las actividades dentro y fuera de la red social. En particular, los «datos off Facebook» que son datos sobre consulta de páginas de Internet y de aplicaciones de terceros o de otros servicios en línea pertenecientes al grupo Meta, tales como Instagram, WhatsApp y otros, de forma que la recogida de estos datos permite personalizar los mensajes publicitarios destinados a los usuarios.
La Autoridad Federal de Defensa de la Competencia alemana prohibió esa práctica alegando que constituía una explotación abusiva de la posición dominante en el mercado de las redes sociales pero el Tribunal Superior Regional de lo Civil y Penal de Düsseldorf alberga dudas sobre la posibilidad de que las autoridades nacionales de defensa de la competencia controlen, en el ejercicio de sus competencias, la conformidad de un tratamiento de datos personales con lo exigido por el RGPD.
El TJUE entiende que cuando sea necesario, es posible que en el marco del examen de un abuso de posición dominante por parte de una empresa en un mercado determinado, la autoridad de defensa de la competencia del Estado miembro de que se trate, pueda examinar también la conformidad de las actividades de la empresa con normas distintas de las incluidas en el Derecho de la competencia, como son las normas en materia de protección de datos personales establecidas en el RGPD, pero siempre y en todo caso, sin olvidar su obligación de cooperación leal con las autoridades de control.
Y añade que si así fuera, esto es, cuando una autoridad nacional de defensa de la competencia señala una infracción del RGPD en el marco de la declaración de un abuso de posición dominante, no suplanta a las autoridades de control porque no controla la aplicación del Reglamento ni lo hace aplicar con la finalidad de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y facilitar la libre circulación de datos personales en la Unión porque se debe limitar a señalar la falta de conformidad de un tratamiento de datos con el RGPD solo al efecto de declarar la existencia de un abuso de posición dominante y al imponer medidas dirigidas al cese de ese abuso sobre una base jurídica derivada del Derecho de la competencia, pero no hace uso de los poderes reservados a la autoridad de control.
Hace referencia la sentencia a que en la actualidad, el acceso a los datos personales y la posibilidad del tratamiento de estos, se ha convertido en un parámetro significativo de la competencia entre empresas de la economía digital, por lo que excluir las normas en materia de protección de datos personales del marco jurídico en que se amparan las autoridades de defensa de la competencia supondría ignorar la realidad de esta evolución económica y podría menoscabar la efectividad del Derecho de la competencia en el seno de la Unión.
El TJUE insiste en la necesidad de cooperación y lo enfoca en el sentido de que cuando la autoridad nacional de defensa de la competencia considera que es necesario examinar la conformidad de una actividad de una empresa a la luz del RGPD, debe comprobar previamente si esa actividad o una actividad similar ya ha sido objeto de una decisión por parte de la autoridad de control nacional competente o por parte de la autoridad de control principal, o incluso por parte del Tribunal de Justicia, y en caso de ser así, no podrá apartarse de ella, aunque conserva su libertad para deducir sus propias conclusiones desde el punto de vista de la aplicación del Derecho de la competencia.
Importante limitación hace el Tribunal en relación a categorías especiales de datos que revelan el origen étnico o racial, las opiniones políticas o las convicciones religiosas, o de datos relativos a la salud, la vida sexual o la orientación sexual de una persona física, y declara que en el supuesto de que un usuario de una red social en línea consulte sitios de Internet o aplicaciones en relación con una o con varias de las categorías especiales y, en su caso, introduzca datos en ellos registrándose o efectuando pedidos en línea, el tratamiento de datos personales por parte del operador de esa red social en línea, consistente en la recogida, mediante interfaces integradas, cookies o tecnologías de almacenamiento similares, de los datos resultantes de la consulta de esos sitios y aplicaciones, así como de los datos introducidos por el usuario, en la puesta en relación del conjunto de esos datos con la cuenta de la red social de este y en la utilización de dichos datos por el operador, debe considerarse como un «tratamiento de categorías especiales de datos personales» que como tal, está prohibido cuando tal tratamiento de datos permita revelar información comprendida en alguna de esas categorías, con independencia de que tal información afecte a un usuario de esa red o a cualquier otra persona física.
Por último el TJUE aborda la cuestión de si los usuarios tienen la posibilidad de decidir, sobre la base de una configuración efectuada con conocimiento de causa, que los datos introducidos en los sitios de Internet o en las aplicaciones -cuando interaccionan en las redes con los botones «me gusta» o «compartir»-, resulten accesibles al público en general o a un número más o menos limitado de personas seleccionadas, y se resuelve entendiendo que cuando un usuario de una red social en línea consulta sitios de Internet o aplicaciones, no hace manifiestamente públicos los datos relativos a tal consulta recogidos por el operador de esa red social en línea a través de cookies o de tecnologías de almacenamiento similares; solo cuando introducen datos voluntariamente en un sitio de Internet o en una aplicación o activan botones de selección integrados en ellos, se puede entender que han expresado claramente, sobre la base de una configuración individual efectuada con pleno conocimiento de causa, su decisión de que tales datos resulten accesibles a un número ilimitado de personas.