CONCLUSIONES DEL ABOGADO GENERAL
SR. ATHANASIOS RANTOS
presentadas el 20 de septiembre de 2022 (1)
Asunto C‑252/21
Meta Platforms Inc., anteriormente Facebook Inc.,
Meta Platforms Ireland Limited, anteriormente Facebook Ireland Ltd.,
Facebook Deutschland GmbH
contra
Bundeskartellamt,
con intervención de:
Verbraucherzentrale Bundesverband e. V.
[Petición de decisión prejudicial planteada por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania)]
«Procedimiento prejudicial — Reglamento (UE) 2016/679 — Protección de las personas físicas en relación con el tratamiento de datos personales — Redes sociales — Artículo 4, punto 11 — Concepto de “consentimiento” del interesado — Consentimiento dado a una empresa responsable del tratamiento en posición dominante — Artículo 6, apartado 1, letras b) a f) — Licitud del tratamiento — Tratamiento necesario para la ejecución de un contrato en el que el interesado sea parte o para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero — Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, para proteger intereses vitales del interesado o de otra persona física o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento — Artículo 9, apartado 1 y apartado 2, letra e) — Categorías especiales de datos personales — Datos personales que el interesado ha hecho manifiestamente públicos — Artículos 51 a 66 — Competencias de la autoridad nacional de defensa de la competencia — Articulación con las competencias de las autoridades de control en materia de protección de datos personales — Adopción de medidas con arreglo al Derecho de la competencia por una autoridad de un Estado miembro distinto del de la autoridad de control principal en materia de protección de datos personales»
Introducción
1. La presente petición de decisión prejudicial fue planteada por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania) en el marco de un litigio entre sociedades del grupo Meta Platforms (2) y la Bundeskartellamt (Oficina Federal de Defensa de la Competencia, Alemania), relativo a la resolución mediante la que esta última prohibió al demandante en el litigio principal el tratamiento de los datos previsto por las condiciones de servicio de su red social Facebook y la aplicación de dichas condiciones de servicio, e impuso determinadas medidas para el cese de esas actividades. (3)
2. Las cuestiones prejudiciales versan, en esencia, por una parte, sobre la competencia de una autoridad nacional de defensa de la competencia, como la Bundeskartellamt, para examinar, con carácter principal o incidental, comportamientos de una empresa a la luz de determinadas disposiciones del Reglamento (UE) 2016/679 (4) y, por otra parte, sobre la interpretación de estas en lo que respecta, en particular, al tratamiento de datos personales sensibles, a los requisitos pertinentes para la licitud del tratamiento de los datos personales y a la prestación de un consentimiento libre frente a una empresa que ocupa una posición dominante.
Marco jurídico
Derecho de la Unión
3. El artículo 4 del RGPD tiene el siguiente tenor:
«A efectos del presente Reglamento se entenderá por:
[…]
11) “consentimiento del interesado”: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;
[…]».
4. El artículo 6, apartado 1, de dicho Reglamento, titulado «Licitud del tratamiento», está redactado en los siguientes términos:
«El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.»
5. El artículo 9, apartados 1 y 2, de dicho Reglamento, titulado «Tratamiento de categorías especiales de datos personales», dispone:
«1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o [la orientación sexual] de una persona física.
2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
[…]
e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
[…]».
6. El artículo 51 de dicho Reglamento, titulado «Autoridad de control», que forma parte del capítulo VI de este, titulado a su vez «Autoridades de control independientes», prevé:
«1. Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes […] supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.
2. Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión con arreglo a lo dispuesto en el capítulo VII.
[…]»
Derecho alemán
7. El artículo 19, apartado 1, de la Gesetz gegen Wettbewerbsbeschränkungen (Ley de defensa de la competencia; en lo sucesivo, «GWB»), establece:
«Queda prohibida la explotación abusiva, por parte de una o más empresas, de una posición dominante en el mercado.» (5)
8. A tenor de lo dispuesto en el artículo 50f de la GWB:
«(1) Las autoridades de defensa de la competencia, las autoridades reguladoras, el responsable a nivel federal de protección de datos y de libertad de información, los responsables regionales de protección de datos y las autoridades competentes en el sentido del artículo 2 de la EU-Verbraucherschutzdurchführungsgesetz [Ley de aplicación del Derecho en materia de protección de los consumidores de la Unión Europea] podrán, independientemente del procedimiento elegido, intercambiar información, incluidos datos personales y secretos industriales y comerciales, en la medida en que sea necesario para el desempeño de sus funciones respectivas y utilizar esta información en el marco de sus procedimientos. […]»
Litigio principal, cuestiones prejudiciales y procedimiento ante el Tribunal de Justicia
9. Meta Platforms gestiona la oferta de la red social en línea «Facebook» en la Unión Europea (en la dirección www.facebook.com), así como otros servicios en línea, entre ellos Instagram y WhatsApp. El modelo económico de las redes sociales gestionadas por Meta Platforms consiste esencialmente, por una parte, en ofrecer servicios de red social gratuitos a los usuarios privados y, por otra parte, en vender publicidad en línea, hecha a medida para los usuarios individuales de la red social y que tiene por objeto mostrar al usuario los productos y servicios que podrían interesarle debido, en particular, a sus actitudes personales de consumo, sus intereses, su poder adquisitivo y su situación personal. El fundamento técnico de este tipo de publicidad es el establecimiento automatizado de perfiles muy detallados de los usuarios de la red y de los servicios en línea ofrecidos a nivel del grupo. (6)
10. Para la recogida y el tratamiento de los datos de los usuarios, Meta Platforms se basa en el contrato de servicio celebrado con sus usuarios mediante la activación del botón de función «Registrarse», en virtud del cual los usuarios aceptan las condiciones de servicio de Facebook. La aceptación de estas condiciones de servicio es un requisito esencial para el uso de la red social Facebook. (7) El núcleo del presente asunto reside en la práctica consistente, en primer lugar, en la recogida de datos procedentes de otros servicios propios del grupo, así como de sitios de Internet y de aplicaciones de terceros, por medio de interfaces insertadas en estos o mediante cookies instaladas en el ordenador o dispositivo móvil del usuario, en segundo lugar, en la combinación de esos datos con la cuenta de Facebook del usuario afectado y, en tercer lugar, en la utilización de dichos datos (en lo sucesivo, «práctica controvertida»).
11. La Bundeskartellamt inició un procedimiento contra Meta Platforms a raíz del cual, mediante la resolución controvertida, le prohibió el tratamiento de datos previsto en las condiciones de servicio de Facebook y la aplicación de esas condiciones, y le impuso determinadas medidas para el cese de esas actividades. La Bundeskartellamt motivó su resolución, en particular, en el hecho de que el tratamiento en cuestión constituía una explotación abusiva de la posición dominante de dicha sociedad en el mercado de las redes sociales para usuarios particulares en Alemania, en el sentido del artículo 19 de la GWB. (8)
12. El 11 de febrero de 2019, Meta Platforms interpuso recurso contra la resolución controvertida ante el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf), (9) el órgano jurisdiccional remitente, que alberga, en esencia, dudas, por una parte, sobre la posibilidad de que las autoridades nacionales de defensa de la competencia supervisen la conformidad de un tratamiento de datos con los requisitos establecidos en el RGPD, así como que constaten y sancionen la infracción de sus disposiciones, y, por otra parte, sobre la interpretación y la aplicación de determinadas disposiciones de dicho Reglamento.
13. En estas circunstancias, el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
«1) a) ¿Es compatible con los artículos 51 y siguientes del [RGPD] que la autoridad nacional de defensa de la competencia de un Estado miembro, como la Bundeskartellamt, que no es autoridad de control a efectos de los artículos 51 y siguientes del RGPD y en cuyo Estado miembro una empresa residente fuera de la Unión Europea mantiene un establecimiento que asiste en materia de publicidad, comunicación y relaciones públicas al establecimiento principal de dicha empresa, situado en otro Estado miembro y al cual le incumbe en exclusiva la responsabilidad por el tratamiento de los datos personales en todo el territorio de la Unión Europea, en su función de control de los abusos de posición dominante en el marco del Derecho de la competencia declare una infracción del RGPD por las condiciones contractuales del establecimiento principal sobre tratamiento de datos y su ejecución, y dicte una orden de cesación de dicha infracción?
b) En caso de respuesta afirmativa: ¿Es compatible con el artículo 4 TUE, apartado 3, que al mismo tiempo la autoridad de control principal del Estado miembro del establecimiento principal a efectos del artículo 56, apartado 1, del RGPD someta a una investigación las condiciones contractuales sobre tratamiento de datos de dicho establecimiento?
En caso de respuesta afirmativa a la primera cuestión:
2) a) Cuando un usuario de Internet simplemente visita páginas web o aplicaciones que cumplen los criterios del artículo 9, apartado 1, del RGPD, como aplicaciones de citas, redes sociales de contactos homosexuales, páginas web de partidos políticos o páginas web relacionadas con la salud, o introduce datos en ellas, por ejemplo al registrarse o al efectuar pedidos, y que otra empresa, como Facebook Ireland, por medio de interfaces insertadas en las páginas web y aplicaciones, como “herramientas de Facebook para empresas”, o mediante “cookies” o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, recoge los datos de las visitas que el usuario hace a las páginas web y aplicaciones y los datos introducidos en ellas, los combina con los datos de la cuenta de [Facebook] y los utiliza, ¿constituye la recogida o combinación o utilización un tratamiento de datos [personales] sensibles a los efectos de dicha disposición?
b) En caso de respuesta afirmativa: Cuando un usuario visita estas páginas web y aplicaciones o introduce datos o utiliza botones de función insertados en ellas (“plug-ins sociales”, como “me gusta”, “compartir” o “Facebook Login” o “Account Kit”), pertenecientes a un operador como Facebook Ireland, ¿hace manifiestamente públicos los datos de la visita en sí o los datos por él introducidos, a efectos del artículo 9, apartado 2, letra e), del RGPD?
3) ¿Puede una empresa como Facebook Ireland, que explota una red social digital financiada con publicidad y en cuyas condiciones de servicio ofrece la personalización de los contenidos y la publicidad, la seguridad de red, la mejora de los productos y el disfrute coherente y fluido de todos los productos del grupo, invocar la justificación de la necesidad para la ejecución de un contrato en virtud del artículo 6, apartado 1, letra b), del RGPD o para la satisfacción de intereses legítimos en virtud de la letra f) de la misma disposición, cuando a tal fin recoge datos procedentes de otros servicios del grupo y de páginas web y aplicaciones de terceros, por medio de interfaces insertadas en ellas, como “herramientas de Facebook para empresas”, o mediante “cookies” o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, y los combina con la cuenta de [Facebook] del usuario y los utiliza?
4) En un caso así,
– la minoría de edad del usuario, en cuanto a la personalización de contenidos y publicidad, mejora de los productos, seguridad de red y comunicación no comercial con el usuario;
– la facilitación de mediciones, análisis y demás servicios de empresa a clientes publicitarios, desarrolladores y otros colaboradores, para que puedan medir y mejorar su rendimiento;
– la facilitación de comunicación comercial con el usuario, para que la empresa pueda mejorar sus productos y realizar marketing directo;
– la investigación e innovación en aras del bienestar social, a fin de desarrollar el estado de la técnica y el conocimiento científico sobre importantes temas sociales, e influir así positivamente en la sociedad y en el mundo;
– la información a las autoridades policiales y judiciales y la respuesta a requerimientos legales, con fines de prevención, esclarecimiento y enjuiciamiento de delitos, usos ilícitos, infracciones de las condiciones de servicio y de las directrices y demás comportamientos nocivos,
pueden constituir intereses legítimos a efectos del artículo 6, apartado 1, letra f), del RGPD, cuando a tal fin la empresa recoge datos procedentes de otros servicios del grupo y de páginas web y aplicaciones de terceros, por medio de interfaces insertadas en ellas, como “herramientas de Facebook para empresas”, o mediante “cookies” o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, y los combina con la cuenta de [Facebook] del usuario y los utiliza?
5) En tal caso, ¿puede estar justificado, también con arreglo al artículo 6, apartado 1, letras c), d) y e), del RGPD, en el caso concreto, recoger datos procedentes de otros servicios del grupo y de páginas web y aplicaciones de terceros, por medio de interfaces insertadas en ellas, como “herramientas de Facebook para empresas”, o mediante “cookies” o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, y combinarlos con la cuenta de [Facebook] del usuario y utilizarlos, o utilizar datos ya recogidos y combinados de otra forma lícita, por ejemplo, para responder a una petición lícita de determinados datos [letra c)], para combatir un comportamiento nocivo y mejorar la seguridad [letra d)] o para investigar por el bien de la sociedad y en aras de la protección, la integridad y la seguridad [letra e)]?
6) ¿Es posible una prestación válida y, en particular libre del consentimiento en el sentido del artículo 4, punto 11, del RGPD, frente a una empresa con posición dominante, como Facebook Ireland, especialmente a efectos de los artículos 6, apartado 1, letra a), y 9, apartado 2, letra a), del RGPD?
En caso de respuesta negativa a la primera cuestión:
7) a) ¿Está facultada la autoridad nacional de defensa de la competencia de un Estado miembro, como la Bundeskartellamt, que no es autoridad de control a efectos de los artículos 51 y siguientes del RGPD y que investiga una infracción de la prohibición de abusos en el marco del Derecho de la competencia cometida por una empresa con posición dominante, infracción que no consiste en una infracción del RGPD por sus condiciones de tratamiento de datos ni por la ejecución de estas condiciones, para hacer apreciaciones, por ejemplo, al ponderar los intereses en juego, sobre la conformidad de las condiciones de tratamiento de datos de dicha empresa y su ejecución con el RGPD?
b) En caso de respuesta afirmativa: ¿Esto también resulta de aplicación, en atención al artículo 4 TUE, apartado 3, cuando al mismo tiempo la autoridad de control principal a efectos del artículo 56, apartado 1, del RGPD somete las condiciones de tratamiento de datos de dicha empresa a una investigación?
En caso de respuesta afirmativa a la séptima cuestión, será preciso responder a las cuestiones tercera a quinta en relación con los datos procedentes del uso del servicio del grupo Instagram.»
14. Han presentado observaciones escritas Meta Platforms, los Gobiernos alemán, checo, italiano y austriaco, la Bundeskartellamt, la Verbraucherzentrale Bundesverband e. V. (asociación de consumidores, Alemania) y la Comisión Europea. Estas partes también presentaron observaciones orales en la vista celebrada el 10 de mayo de 2022.
Análisis
15. Las cuestiones prejudiciales que son objeto del presente asunto, relativas a la interpretación de varias disposiciones del RGPD, se refieren, fundamentalmente, en primer lugar, a la competencia de una autoridad de defensa de la competencia para constatar y sancionar una infracción de las normas en materia de tratamiento de datos personales y sus obligaciones de cooperación con la autoridad principal en el sentido del RGPD (cuestiones prejudiciales primera y séptima); en segundo lugar, a la prohibición del tratamiento de datos personales sensibles y a las condiciones aplicables al consentimiento para su utilización (segunda cuestión prejudicial); en tercer lugar, a la licitud del tratamiento de datos personales a la luz de determinadas justificaciones (cuestiones prejudiciales tercera a quinta), y, en cuarto lugar, a la validez de un consentimiento para el tratamiento de datos personales dado a una empresa que ocupa una posición dominante (sexta cuestión prejudicial).
16. En los puntos siguientes trataré, en un primer momento, las cuestiones prejudiciales primera y séptima y, a continuación, las demás cuestiones prejudiciales, en el orden en que han sido formuladas, agrupando las cuestiones prejudiciales tercera a quinta.
Sobre la primera cuestión prejudicial
17. Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si, al perseguir infracciones de las normas de competencia, una autoridad de defensa de la competencia puede, por una parte, pronunciarse con carácter principal (10) sobre la infracción de las normas relativas al tratamiento de datos del RGPD por una empresa cuyo establecimiento principal, al cual le incumbe en exclusiva la responsabilidad del tratamiento de los datos personales en todo el territorio de la Unión, está situado en otro Estado miembro y, por otra parte, dictar una orden de cesación de dicha infracción [primera cuestión prejudicial, letra a)] y, en caso de respuesta afirmativa, si la autoridad de control principal competente en virtud del artículo 56, apartado 1, de la RGPD puede someter a una investigación las condiciones sobre tratamiento de datos de dicha empresa [primera cuestión prejudicial, letra b)].
18. No obstante, sin perjuicio de que el órgano jurisdiccional remitente compruebe este extremo, considero que, en la resolución controvertida, la Bundeskartellamt no sancionó una infracción del RGPD por Meta Platforms, sino que procedió, únicamente a efectos de la aplicación de las normas de competencia, a la investigación de una violación de la prohibición de abuso de posición dominante que se imputaba a Meta Platforms, teniendo en cuenta, entre otras cosas, la falta de conformidad del comportamiento de esta empresa con las disposiciones del RGPD.
19. Por consiguiente, en mi opinión, en la medida en que se refiere a la posibilidad de que una autoridad de defensa de la competencia se pronuncie con carácter principal sobre la infracción de las normas del RGPD y dicte una orden de cesación de dicha infracción en el sentido de dicho Reglamento, la primera cuestión prejudicial, letra a), es inoperante. (11)
20. De ello se deduce que la primera cuestión prejudicial, letra b), que está supeditada a que se dé una respuesta afirmativa a la primera cuestión prejudicial, letra a), es igualmente inoperante. (12)
Sobre la séptima cuestión prejudicial
21. Mediante su séptima cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si una autoridad de defensa de la competencia puede, al perseguir infracciones de las normas de competencia, determinar con carácter incidental (13) si las condiciones de tratamiento de los datos y su ejecución son conformes con el RGPD [séptima cuestión prejudicial, letra a)] y, en caso de respuesta afirmativa, si un examen por la autoridad de defensa de la competencia también es posible cuando esas condiciones están sujetas al mismo tiempo a una investigación por parte de la autoridad de control principal competente [séptima cuestión prejudicial, letra b].
22. En lo que atañe, en primer lugar, a la séptima cuestión prejudicial, letra a), considero que si bien una autoridad de defensa de la competencia no es competente para declarar una infracción del RGPD, (14) este Reglamento no se opone, en principio, a que, en el ejercicio de sus propias competencias y poderes, otras autoridades distintas de las autoridades de control puedan tener en cuenta, con carácter incidental, la compatibilidad de un comportamiento con las disposiciones del RGPD. Así sucede, en mi opinión, en lo que respecta al ejercicio, por una autoridad de defensa de la competencia, de las facultades que le confieren el artículo 102 TFUE y el artículo 5, párrafo primero, del Reglamento (CE) n.o 1/2003 (15) o cualquier otra norma nacional correspondiente. (16)
23. En efecto, en el ejercicio de sus competencias, una autoridad de defensa de la competencia debe apreciar, en particular, si el comportamiento examinado consiste en recurrir a medios distintos de los propios de una competencia basada en los méritos, habida cuenta del contexto jurídico y económico en el que se inscribe dicho comportamiento. (17) A este respecto, la conformidad o la falta de conformidad de dicho comportamiento con las disposiciones del RGPD, no en sí mismo pero teniendo en cuenta todas las circunstancias del caso concreto, puede ser un indicio importante para determinar si ese comportamiento constituye un recurso a medios que rigen una competencia normal, debiendo precisarse que el carácter abusivo o no abusivo de un comportamiento a la luz del artículo 102 TFUE no se desprende de su conformidad o de su falta de conformidad con el RGPD o con otras normas jurídicas. (18)
24. Por consiguiente, considero que el examen de un abuso de posición dominante en el mercado puede justificar que una autoridad de defensa de la competencia interprete normas que no están comprendidas en el ámbito de aplicación del Derecho de la competencia, como las del RGPD, (19) precisando que tal examen se efectúa de manera incidental (20) y no prejuzga la aplicación de dicho Reglamento realizada por las autoridades de control competentes. (21)
25. En lo que atañe, en segundo lugar, a la séptima cuestión prejudicial, letra b), el órgano jurisdiccional remitente plantea la cuestión de cuáles son, en el marco de la aplicación del principio de cooperación leal consagrado en el artículo 4 TUE, apartado 3, las obligaciones que, frente la autoridad de control principal competente en el sentido del RGPD, tiene una autoridad de defensa de la competencia al interpretar las disposiciones del referido Reglamento, y, más concretamente, cuando el mismo comportamiento que es examinado por la autoridad de defensa de la competencia es objeto de examen por la autoridad de control principal competente.
26. En el presente asunto, el examen, si bien incidental, de un comportamiento de una empresa a la luz de las normas del RGPD por parte de una autoridad de defensa de la competencia conlleva el riesgo de divergencias entre esta y las autoridades de control respecto de la interpretación del citado Reglamento, lo que, en principio, puede menoscabar la interpretación uniforme del RGPD. (22)
27. El Derecho de la Unión no establece normas detalladas sobre la cooperación entre una autoridad de defensa de la competencia y las autoridades de control en el sentido del RGPD en tal situación. Más concretamente, ni el mecanismo de cooperación entre las autoridades competentes en el sentido del RGPD al aplicar dicho Reglamento (23) ni otras normas precisas sobre la cooperación entre autoridades administrativas, como las relativas a la cooperación entre las autoridades de defensa de la competencia y a la cooperación entre estas y la Comisión al aplicar las normas de competencia, (24) son aplicables en el presente asunto.
28. Dicho esto, al interpretar el RGPD, una autoridad de defensa de la competencia está no obstante vinculada por el principio de cooperación leal consagrado en el artículo 4 TUE, apartado 3, en virtud del cual la Unión y los Estados miembros, incluidas sus autoridades administrativas, (25) se respetarán y asistirán mutuamente en el cumplimiento de las misiones derivadas de los Tratados. En particular, el párrafo tercero de dicha disposición prevé que los Estados miembros ayudarán a la Unión en el cumplimiento de su misión y se abstendrán de toda medida que pueda poner en peligro la consecución de los objetivos de la Unión. (26) Además, al igual que cualquier otra autoridad administrativa encargada de la aplicación del Derecho de la Unión, una autoridad de defensa de la competencia está vinculada por el principio de buena administración como principio general del Derecho de la Unión, que contiene en particular un amplio deber de diligencia de las autoridades. (27)
29. Así, a falta de normas precisas sobre los mecanismos de cooperación, que, en su caso, corresponde adoptar al legislador de la Unión, una autoridad de defensa de la competencia, al interpretar las disposiciones del RGPD, está sujeta, al menos, a obligaciones de información y de cooperación respecto de las autoridades competentes en el sentido de dicho Reglamento, en aplicación de las normas nacionales que regulan sus competencias (principio de autonomía procesal de los Estados miembros) y dentro del respeto de los principios de equivalencia y efectividad. (28)
30. De ello se desprende, en mi opinión, que, cuando la autoridad de control principal competente se haya pronunciado sobre la aplicación de determinadas disposiciones del RGPD respecto de una práctica idéntica o similar, la autoridad de defensa de la competencia no podrá, en principio, apartarse de la interpretación de dicha autoridad, que es la única competente para la aplicación del citado Reglamento, (29) y deberá, en la medida de lo posible y respetando, en particular, el derecho de defensa de los interesados, cumplir cualesquiera decisiones adoptadas por esta en relación con el mismo comportamiento, (30) y, de existir dudas en el caso concreto sobre la interpretación de la autoridad competente, deberán consultarse con ella o, en su caso, cuando esta se encuentre en otro Estado miembro, con la autoridad nacional de control. (31)
31. Además, a falta de una decisión de la autoridad de control competente, incumbe no obstante a la autoridad de defensa de la competencia informar a esta (32) y cooperar con ella cuando dicha autoridad haya iniciado el examen de la misma práctica o haya manifestado su intención de hacerlo y, en su caso, esperar el resultado del examen efectuado por esta antes de iniciar su propia apreciación, en la medida en que sea adecuado y no prejuzgue, en particular, que la autoridad de defensa de la competencia respete un plazo razonable de investigación y el derecho de defensa de los interesados. (33)
32. En el presente asunto, me parece que el hecho de haber comenzado a cooperar con las autoridades de control responsables a nivel nacional (34) y de haberse puesto en contacto asimismo, de manera informal, con la autoridad de control principal irlandesa, circunstancias que han sido mencionadas por la Bundeskartellamt y que corresponde verificar al órgano jurisdiccional remitente, puede bastar para concluir que dicha autoridad ha cumplido sus obligaciones de diligencia y de cooperación leal. (35)
33. En conclusión, propongo que se responda a la séptima cuestión prejudicial que los artículos 51 a 66 del RGPD deben interpretarse en el sentido de que una autoridad de defensa de la competencia, en el marco de sus facultades en el sentido de las normas en materia de competencia, puede examinar, con carácter incidental, la conformidad de las prácticas examinadas con las normas del RGPD, teniendo en cuenta cualquier decisión o investigación de la autoridad de control competente en virtud del RGPD e informando y, en su caso, consultando a la autoridad nacional de control.
Sobre la segunda cuestión prejudicial
34. Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 9, apartado 1, del RGPD debe interpretarse en el sentido de que la práctica controvertida, cuando se refiere a la consulta de páginas web y de aplicaciones de terceros, (36) está comprendida en el tratamiento de datos personales sensibles enumerados en esa disposición, (37) que está prohibido, (38) [segunda cuestión prejudicial, letra a)] y, en caso de respuesta afirmativa, si el artículo 9, apartado 2, letra e), de dicho Reglamento debe interpretarse en el sentido de que un usuario hace manifiestamente públicos, en el sentido de esta disposición, por una parte, los datos que son revelados al consultar páginas web y aplicaciones o, por otra parte, los que son introducidos o que resultan de la utilización de botones de función integrados en estas páginas web o aplicaciones (39) [segunda cuestión prejudicial, letra b)].
35. Por lo que respecta, en primer lugar, a la segunda cuestión prejudicial, letra a), he de recordar que, en virtud del artículo 9, apartado 1, del RGPD, el tratamiento de datos personales sensibles está prohibido. La protección especial de estos datos trae causa, como se desprende del considerando 51 de dicho Reglamento, del hecho de que, por su naturaleza, son especialmente sensibles desde el punto de vista de los derechos fundamentales y las libertades fundamentales y de que su tratamiento podría generar riesgos importantes para tales libertades y derechos. Además, pese al carácter algo oscuro del tenor de esta disposición, (40) no me parece que, como supone el órgano jurisdiccional remitente, introduzca una diferencia sustancial entre los datos personales que son sensibles porque «revelan» una determinada situación y los datos que son sensibles por sí mismos. (41)
36. En el presente asunto, pienso que está claro que la práctica controvertida constituye un tratamiento de datos personales que puede estar comprendido en principio en el ámbito de aplicación de dicha disposición y estar prohibido cuando los datos tratados «revelen» alguna de las situaciones sensibles que esta prevé. Por lo tanto, es preciso determinar si, y en qué medida, la consulta de sitios de Internet y de aplicaciones o la introducción de datos en ellos pueden «revelar» alguna de las situaciones sensibles contempladas en dicha disposición.
37. A este respecto, dudo que sea pertinente (y posible en todos los casos) distinguir entre, por una parte, un mero interés del interesado respecto de cierta información y, por otra parte, su inclusión en una de las categorías contempladas en la disposición en cuestión. (42) Aunque las posiciones de las partes en el litigio principal difieren a este respecto, (43) considero que la respuesta a esta cuestión únicamente puede buscarse en cada caso concreto y habida cuenta de cada una de las actividades que componen la práctica controvertida.
38. Si bien, como señala el Gobierno alemán, la mera recogida de datos personales sensibles relativos a la consulta de un sitio de Internet o de una aplicación no constituye, por sí sola, necesariamente un tratamiento de datos personales sensibles en el sentido de dicha disposición, (44) la combinación de esos datos con la cuenta de Facebook del usuario de que se trate o su utilización son comportamientos que, en cambio, podrían constituir más fácilmente ese tratamiento. El elemento decisivo a efectos de la aplicación del artículo 9, apartado 1, del RGPD es, en mi opinión, la posibilidad de que los datos tratados permitan elaborar el perfil del usuario según las categorías que se desprenden de la enumeración de datos personales sensibles efectuada por esta disposición. (45)
39. En este contexto, para poder determinar si un tratamiento de datos está comprendido en el ámbito de aplicación de dicha disposición, puede resultar útil distinguir, en su caso, por una parte, el tratamiento de los datos que pueden clasificarse prima facie en la categoría de datos personales sensibles y que permiten por sí solos elaborar el perfil del interesado y, por otra parte, el tratamiento de datos que no son sensibles por sí mismos pero que requieren una actividad posterior de agrupación para extraer conclusiones plausibles a fin de elaborar el perfil del interesado.
40. Sentado lo anterior, es preciso indicar que la existencia de una clasificación en el sentido de esta disposición es independiente de si tal clasificación es verdadera o correcta. (46) Lo que importa es la posibilidad de que dicha clasificación entrañe un riesgo importante para las libertades fundamentales y los derechos fundamentales del interesado, como se recuerda en el considerando 51 del RGPD, posibilidad que es independiente de su veracidad.
41. Por último, en cuanto a la solicitud del órgano jurisdiccional remitente de que se dilucide si la finalidad de la utilización es pertinente a efectos de la apreciación en cuestión, (47) considero, contrariamente a lo que afirma el demandante en el litigio principal, que, en principio, no se exige que el responsable del tratamiento trate estos datos «sabiendo y con la intención de deducir directamente de ellos categorías especiales de información». En efecto, el objetivo de la disposición en cuestión consiste básicamente en evitar, de forma objetiva, riesgos importantes para las libertades fundamentales y los derechos fundamentales de los interesados, generados por el tratamiento de datos personales sensibles, con independencia de cualquier elemento subjetivo, como la intención del responsable del tratamiento.
42. En lo que atañe, en segundo lugar, a la segunda cuestión prejudicial, letra b), he de recordar que, en virtud del artículo 9, apartado 2, letra e), del RGPD, la prohibición del tratamiento de datos personales sensibles no será de aplicación cuando el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos. Además, la referencia, en el tenor de esta disposición, al adverbio «manifiestamente» y el hecho de que dicha disposición constituya una excepción al principio de prohibición del tratamiento de datos personales sensibles (48) exigen una aplicación particularmente estricta de esta excepción, debido a los importantes riesgos para los derechos fundamentales y las libertades fundamentales de los interesados. (49) Para que pueda aplicarse esta excepción, el usuario debe, a mi modo de ver, ser plenamente consciente de que, mediante un acto explícito, (50) hace públicos datos personales. (51)
43. En el presente asunto, considero que un comportamiento que consiste en consultar sitios de Internet y aplicaciones, en introducir datos en esos sitios y esas aplicaciones y en accionar botones de función integrados en ellos no puede, en principio, asimilarse a un comportamiento que haga manifiestamente públicos los datos personales sensibles del usuario en el sentido del artículo 9, apartado 2, letra e) del RGPD.
44. Más concretamente, he de señalar que, en principio, la consulta de sitios de Internet y de aplicaciones únicamente pone los datos de consulta a disposición del administrador de la página web o de la aplicación en cuestión y de los terceros a los que este transmita la referida información, como el demandante en el litigio principal. (52) De igual modo, si bien, mediante la introducción de datos en sitios de Internet y aplicaciones, el interesado puede facilitar, de forma directa y voluntaria, información sobre determinados datos de carácter personal sensibles, procede observar asimismo que esta información únicamente está a disposición del administrador del sitio o de la aplicación en cuestión y de los terceros a los que este transmita tal información. Por lo tanto, excluyo que estos comportamientos puedan poner de manifiesto la voluntad de poner tales datos a disposición del público en general. (53) Además, si bien es evidente que, mediante la activación de botones de función integrados en sitios de Internet o en aplicaciones, (54) el interesado expresa claramente la voluntad de compartir determinada información con un público externo al sitio de Internet o a la aplicación en cuestión, considero que, como subraya la Bundeskartellamt, mediante este comportamiento la persona en cuestión es consciente de compartir información con un círculo determinado de personas, a menudo definido por el propio usuario, (55) y no con el público en general. (56)
45. En lo tocante, por último, a la pertinencia de un eventual consentimiento dado por el usuario en el sentido del artículo 5, apartado 3, de la Directiva 2002/58 para que los datos personales puedan obtenerse a través de «chivatos» (cookies) o de tecnologías similares, mencionado por el órgano jurisdiccional remitente, considero que este consentimiento, habida cuenta de su objetivo específico, no puede justificar por sí solo el tratamiento de datos personales sensibles obtenidos por estos medios. (57) En efecto, dicho consentimiento, que resulta necesario para instalar un medio técnico de captación de determinadas actividades del usuario (58) no afecta al tratamiento de datos personales sensibles y no puede asimilarse a la voluntad de hacer manifiestamente públicos estos datos en el sentido del artículo 9, apartado 2, letra e), del RGPD. (59)
46. En conclusión, propongo que se responda a la segunda cuestión prejudicial que, por una parte, el artículo 9, apartado 1, del RGPD debe interpretarse en el sentido de que la prohibición de tratamiento de datos personales sensibles puede incluir el tratamiento de datos efectuado por un operador de una red social en línea consistente en la recogida de datos personales de un usuario cuando consulte otros sitios de Internet o aplicaciones o introduzca allí tales datos, en la combinación de esos datos con la cuenta de usuario de la red social y en su utilización, siempre que la información tratada, individualmente considerada o agrupada, permita elaborar el perfil del usuario según las categorías que se desprenden de la enumeración de datos personales sensibles contenida en dicha disposición y que, por otra parte, el artículo 9, apartado 2, letra e), del RGPD debe interpretarse en el sentido de que un usuario no hace manifiestamente públicos los datos que revela al consultar páginas web y aplicaciones o que introduce en esas páginas web o aplicaciones o que resultan de la utilización de botones de función integrados en las mismas.
Sobre las cuestiones prejudiciales tercera a quinta
47. Mediante sus cuestiones prejudiciales tercera a quinta, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 6, apartado 1, letras b), c), d), e) y f), del RGPD debe interpretarse en el sentido de que la práctica controvertida (60) está comprendida en el ámbito de aplicación de una de las justificaciones previstas en dichas disposiciones y, más concretamente:
— el carácter necesario para la ejecución del contrato (61) o la satisfacción de intereses legítimos, (62) teniendo en cuenta que Meta Platforms gestiona una red social financiada con publicidad y que ofrece, en sus condiciones de servicio, la personalización de los contenidos y de la publicidad, la seguridad de la red, la mejora de los productos y el disfrute coherente y fluido de todos los productos del grupo (tercera cuestión prejudicial);
— la satisfacción de estos intereses legítimos (63) en el contexto de determinadas situaciones (64) (cuarta cuestión prejudicial);
— la necesidad de responder a una petición lícita de determinados datos, (65) la necesidad de combatir un comportamiento nocivo y mejorar la seguridad (66) o los fines de investigación por el bien de la sociedad y en aras de la protección, la integridad y la seguridad (67) (quinta cuestión prejudicial).
48. Con carácter preliminar, pese a algunas dudas sobre la admisibilidad de las cuestiones prejudiciales cuarta y quinta, (68) propongo que se responda conjuntamente a las cuestiones prejudiciales tercera a quinta, en la medida en que las indicaciones que expondré más adelante, principalmente en relación con la tercera cuestión prejudicial también podrán ser útiles para el órgano jurisdiccional remitente al aplicar las disposiciones objeto de las cuestiones prejudiciales cuarta y quinta.
49. Con carácter principal, he de señalar que, con arreglo al artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), los datos de carácter personal se tratarán de modo leal, para fines concretos y sobre la base de un fundamento legítimo previsto por la ley. A este respecto, el artículo 6, apartado 1, del RGPD precisa que el tratamiento de estos datos solo será lícito si se cumple alguna de las seis condiciones enunciadas en dicha disposición. (69)
50. En el presente asunto, antes de nada, considero que las cuestiones prejudiciales tercera a quinta requieren un análisis detallado caso por caso de las diferentes cláusulas de las condiciones de servicio de Facebook en el contexto de la práctica controvertida, ya que no es posible determinar si, con respecto a esta práctica, «una empresa como [Meta Platforms]» puede invocar, de forma global, todas (o algunas de) las justificaciones enumeradas en el artículo 6, apartado 1, del RGPD, aunque no quepa excluir que dicha práctica o algunas de sus actividades puedan, en algunos casos, estar comprendidas en el ámbito de aplicación de dicho artículo. (70)
51. A continuación, el tratamiento previsto por las disposiciones citadas se efectúa, en el presente asunto, sobre la base de las condiciones generales del contrato impuestas por el responsable del tratamiento, sin el consentimiento del interesado, (71) o incluso contra su voluntad, lo que, en mi opinión, requiere una interpretación estricta de las justificaciones en cuestión, en particular con el fin de evitar que se eluda el requisito del consentimiento. (72)
52. Por último, ha de recordarse que, con arreglo al artículo 5, apartado 2, del RGPD, incumbe al responsable del tratamiento la carga de la prueba de que los datos personales son tratados según la norma de dicho Reglamento y que, de conformidad con el artículo 13, apartado 1, letra c), de dicho Reglamento, incumbe al responsable del tratamiento de datos personales precisar los fines del tratamiento al que están destinados los datos y la base jurídica del tratamiento.
Sobre la tercera cuestión prejudicial
53. En primer lugar, según el artículo 6, apartado 1, letra b), del RGPD, el tratamiento de datos personales será lícito en la medida en que sea necesario para la ejecución de un contrato en el que el interesado es parte. (73)
54. A este respecto, he de recordar que el concepto de «necesidad» no está definido en la legislación de la Unión, sino que constituye, según la jurisprudencia, un concepto autónomo del Derecho de la Unión. (74) Para que el tratamiento sea necesario para la ejecución del contrato, no basta con que se efectúe al ejecutar el contrato, se mencione en el contrato, (75) o resulte simplemente útil para la ejecución del contrato. (76) Según la jurisprudencia del Tribunal de Justicia, el tratamiento debe ser objetivamente necesario para la ejecución del contrato, en el sentido de que no deben existir otras soluciones realistas y menos intrusivas, (77) habida cuenta asimismo de las expectativas razonables del interesado. (78) Esto conlleva asimismo que, cuando el contrato incluya varios servicios o elementos de un servicio independientes que pueden ejecutarse de manera independiente entre sí, la aplicabilidad del artículo 6, apartado 1, letra b), del RGPD debe evaluarse en el contexto de cada uno de dichos servicios por separado. (79)
55. En el marco de esta justificación, el órgano jurisdiccional remitente menciona la personalización de los contenidos y el disfrute coherente y fluido de los productos (o más bien de los servicios) del grupo.
56. En lo que respecta a la personalización de los contenidos, me parece que si bien tal actividad puede hasta cierto punto redundar en interés del usuario, en la medida en que permite presentar, en particular en la «sección de noticias», contenidos que, de conformidad con una evaluación automatizada, corresponden a los intereses del usuario, no es evidente que también sea necesaria para la prestación del servicio de la red social en cuestión, de modo que el tratamiento de datos personales con este fin no requiera el consentimiento de dicho usuario. (80) A efectos de este examen, también debe tenerse en cuenta que la práctica controvertida no se refiere al tratamiento de datos relativos al comportamiento del usuario dentro de la página o de la aplicación Facebook, sino al tratamiento de datos procedentes de fuentes externas y, por lo tanto, potencialmente ilimitados. Me pregunto, pues, en qué medida este tratamiento puede corresponder a las expectativas de un usuario medio y, más en general, cuál es el «grado de personalización» que este puede esperar del servicio en el que se registra. (81)
57. Por lo que respecta al disfrute coherente y fluido de los servicios del grupo, he de observar que una relación entre los diferentes servicios ofrecidos por el demandante en el litigio principal, por ejemplo, entre Facebook e Instagram, puede ciertamente resultar útil para el usuario, o incluso a veces este puede desear tal relación. Sin embargo, dudo que un tratamiento de los datos personales procedentes de otros servicios del grupo (en particular de Instagram) sea necesario para la prestación de los servicios de Facebook. (82)
58. En segundo lugar, según el artículo 6, apartado 1, letra f), del RGPD, el tratamiento de datos personales será lícito en la medida en que sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
59. Según la jurisprudencia del Tribunal de Justicia, la disposición en cuestión fija tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito: primero, que el responsable del tratamiento o el tercero o terceros a quienes se comuniquen los datos persigan un interés legítimo; segundo, que el tratamiento sea necesario para la satisfacción de ese interés legítimo y, tercero, que no prevalezcan los derechos fundamentales y libertades fundamentales del interesado en la protección de los datos. (83)
60. Por lo que respecta, antes de nada, a la satisfacción de intereses legítimos, he de recordar que el RGPD y la jurisprudencia reconocen una amplia gama de intereses considerados legítimos, (84) debiendo precisarse que, de conformidad con el artículo 13, apartado 1, letra d), del RGPD, incumbe al responsable del tratamiento indicar los intereses legítimos perseguidos en el marco del artículo 6, apartado 1, letra f), del RGPD. (85)
61. Por lo que atañe, a continuación, al requisito de que el tratamiento de datos sea necesario para la satisfacción del interés legítimo perseguido, según la jurisprudencia del Tribunal de Justicia, las excepciones y restricciones al principio de protección de los datos de carácter personal deben establecerse sin sobrepasar los límites de lo estrictamente necesario. (86) Por lo tanto, debe existir, una relación estrecha entre el tratamiento y el interés perseguido, a falta de alternativas más respetuosas con la protección de datos personales, puesto que no es suficiente que el tratamiento sea simplemente útil para el responsable del tratamiento.
62. Por último, en lo tocante a la ponderación, por una parte, de los intereses del responsable del tratamiento y, por otra parte, de los intereses o las libertades fundamentales y los derechos fundamentales del interesado, según la jurisprudencia del Tribunal de Justicia, incumbe al órgano jurisdiccional remitente ponderar los intereses en juego. (87) Además, como se señala en el considerando 47 del RGPD, en el marco de esta ponderación es indispensable tener en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable del tratamiento y determinar si el interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin.
63. En el marco de esta justificación, el órgano jurisdiccional remitente menciona la personalización de la publicidad, la seguridad de la red y la mejora de los productos.
64. Por lo que respecta, en primer lugar, a la personalización de la publicidad, del considerando 47 del RGPD se desprende que el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo del responsable del tratamiento. No obstante, por lo que respecta a la necesidad del tratamiento, es preciso señalar que los datos en cuestión proceden de fuentes externas a Facebook y se plantea, por lo tanto, la cuestión de cuál es el «grado de personalización» de la publicidad objetivamente necesaria a este respecto. En lo que atañe a la ponderación de los intereses en juego, procede, en mi opinión, tener en cuenta la naturaleza del interés legítimo en cuestión (en el presente asunto, un interés puramente económico), así como el impacto del tratamiento en el usuario, incluidas sus expectativas razonables, y las posibles medidas de salvaguardia que pueda adoptar el responsable del tratamiento. (88)
65. A continuación, pueden formularse consideraciones similares por lo que respecta a la seguridad de la red. En efecto, si bien tal justificación puede constituir un interés legítimo del responsable del tratamiento, (89) no es tan evidente concluir que el tratamiento es necesario en el presente asunto, habida cuenta asimismo de que los datos en cuestión proceden de fuentes externas a Facebook. (90) En cualquier caso, ha de recordarse que incumbe al responsable del tratamiento precisar los fines de seguridad en los que se base eventualmente cada tratamiento.
66. Por último, en lo que respecta a la mejora de los productos, si las mejoras relacionadas con la seguridad, que se enmarcan en la justificación específica examinada anteriormente, quedan excluidas, me parece que tal justificación debería redundar más bien en interés del usuario que en el del responsable del tratamiento de los datos. Desde esta perspectiva, es difícil comprender en qué medida podría constituir un interés legítimo del responsable y eludir el consentimiento del usuario. En relación con el requisito de la necesidad y la ponderación de los derechos e intereses en juego, me remito a las consideraciones anteriores.
Sobre las cuestiones prejudiciales cuarta y quinta
67. La cuarta cuestión prejudicial, que constituye, en esencia, una ampliación de la segunda parte de la tercera cuestión prejudicial, tiene por objeto que se dilucide si la repetición de algunas de las situaciones previstas supone la existencia de un interés legítimo en el sentido del artículo 6, apartado 1, letra f), del RGPD, mientras que, mediante su quinta cuestión prejudicial, el órgano jurisdiccional remitente desea saber si la necesidad de responder a una petición lícita de determinados datos, la de combatir un comportamiento nocivo y de mejorar la seguridad o de investigar por el bien de la sociedad y la de mejorar la protección, la integridad y la seguridad constituyen justificaciones aplicables a la práctica controvertida. (91)
68. Con independencia de la admisibilidad de estas cuestiones, (92) considero con carácter general que no cabe excluir, por lo que se refiere a la cuarta cuestión prejudicial, que algunas de las cláusulas que configuran la práctica controvertida puedan quedar justificadas por intereses legítimos en las circunstancias mencionadas por el órgano jurisdiccional remitente (93) y, por lo que se refiere a la quinta cuestión prejudicial, que, en determinadas situaciones, la práctica controvertida pueda estar justificada por las disposiciones citadas.
69. Sin embargo, de la resolución de remisión no se desprende si Meta Platforms Ireland indicó, y en qué medida, respecto de cada finalidad de tratamiento y tipología de datos tratados, los intereses legítimos concretamente perseguidos o las demás justificaciones eventualmente pertinentes en el presente asunto. (94) Por lo tanto, corresponde al órgano jurisdiccional remitente, habida cuenta de las indicaciones anteriores, examinar en qué medida, en las circunstancias mencionadas por dicho órgano jurisdiccional, la práctica controvertida está justificada, por la existencia de intereses legítimos de Meta Platforms Ireland en el tratamiento de datos en el sentido del artículo 6, apartado 1, letra f), del RGPD o por cualquier otra de las condiciones previstas en el artículo 6, apartado 1, letras c), d) y e), de dicho Reglamento.
Sobre la respuesta a las cuestiones prejudiciales tercera a quinta
70. En conclusión, propongo que se responda a las cuestiones prejudiciales tercera a quinta que el artículo 6, apartado 1, letras b), c), d), e) y f), del RGPD debe interpretarse en el sentido de que la práctica controvertida o algunas de las actividades que la conforman pueden estar comprendidas en las excepciones previstas en estas disposiciones, siempre que cada modalidad de tratamiento de datos examinada cumpla las condiciones previstas respecto de la justificación específicamente formulada por el responsable del tratamiento y que, por lo tanto:
— el tratamiento sea objetivamente necesario para la prestación de los servicios relativos a la cuenta de Facebook;
— el tratamiento sea necesario para la satisfacción de un interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos y no afecte de manera desproporcionada a los derechos fundamentales y libertades fundamentales del interesado;
— el tratamiento sea necesario para responder a una petición lícita de determinados datos, de combatir un comportamiento nocivo y de mejorar la seguridad o con fines de investigación por el bien de la sociedad y en aras de la protección, la integridad y la seguridad.
Sobre la sexta cuestión prejudicial
71. Mediante su sexta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 6, apartado 1, letra a), y el artículo 9, apartado 2, letra a), del RGPD deben interpretarse en el sentido de que es posible una prestación válida y libre del consentimiento en el sentido del artículo 4, punto 11, de dicho Reglamento, frente a una empresa con posición dominante en el mercado nacional de las redes sociales en línea para usuarios privados.
72. Con carácter preliminar, he de recordar que el artículo 6, apartado 1, letra a), y el artículo 9, apartado 2, letra a), del RGPD establecen la obligación de que el interesado dé su consentimiento, respectivamente en lo que se refiere al tratamiento de datos personales en general y al tratamiento de datos personales sensibles. Además, según el artículo 4, punto 11, del RGPD, a efectos de dicho Reglamento, se entenderá por «consentimiento» del interesado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. (95)
73. Por lo que se refiere, más concretamente, al requisito de la «libertad» del consentimiento, que es la única que se pone en entredicho en el presente asunto, procede observar que, con arreglo al considerando 42 del RGPD, el consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección (96) o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. (97) Además, como se prevé en el artículo 7, apartado 1, del RGPD (y se recuerda en el considerando 42 de dicho texto), cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
74. Por lo que respecta al presente asunto, ha de recordarse, antes de nada, que, como pone de relieve el considerando 43, primera frase, del RGPD, el consentimiento no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal cuando exista un «desequilibro claro» entre el interesado y el responsable del tratamiento; (98) a continuación, que, a tenor del artículo 7, apartado 4, del RGPD, al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de ese contrato, (99) y, por último, que, de conformidad con el considerando 43, segunda frase, del RGPD, se presume asimismo que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto. (100)
75. En el presente asunto, considero que una posible posición dominante en el mercado por parte del responsable del tratamiento de datos personales que administra una red social incide en la apreciación de la existencia de un consentimiento libre por parte del usuario de dicha red. En efecto, la existencia una situación de poder de mercado del responsable del tratamiento de datos personales puede crear un desequilibro claro de las relaciones de fuerza, en el sentido indicado en el punto 74 de las presentes conclusiones. (101) No obstante, debe indicarse, por una parte, que, para que dicha situación de poder de mercado sea pertinente desde el punto de vista de la aplicación del RGPD, no debe equipararse necesariamente al nivel de posición dominante en el sentido del artículo 102 TFUE (102) y, por otra parte, que esta única circunstancia no puede privar, en principio, al consentimiento de validez. (103)
76. Por lo tanto, la validez de un consentimiento deberá examinarse caso por caso, a la luz de los demás elementos mencionados en los puntos 73 y 74 de las presentes conclusiones y habida cuenta de todas las circunstancias del caso y de que incumbe al responsable del tratamiento demostrar que el interesado dio su consentimiento para el tratamiento de los datos personales que le conciernen.
77. En conclusión, propongo que se responda a la sexta cuestión prejudicial que el artículo 6, apartado 1, letra a), y el artículo 9, apartado 2, letra a), del RGPD deben interpretarse en el sentido de que la mera circunstancia de que la empresa que administra una red social disfrute de una posición dominante en el mercado nacional de las redes sociales en línea para usuarios privados no puede, por sí sola, privar al consentimiento del usuario de dicha red para el tratamiento de sus datos personales de su carácter válido en el sentido del artículo 4, apartado 11, del RGPD. No obstante, tal circunstancia incide en la apreciación de la libertad del consentimiento en el sentido de dicha disposición, que incumbe demostrar al responsable del tratamiento, habida cuenta, en su caso, de la existencia de un desequilibrio claro de las relaciones de fuerza entre el interesado y el responsable del tratamiento, de la posible obligación de prestar consentimiento para el tratamiento de datos personales distintos de los estrictamente necesarios para la prestación de los servicios en cuestión, de la necesidad de que el consentimiento sea específico para cada finalidad de tratamiento y de la necesidad de evitar que la retirada del consentimiento suponga un perjuicio para el usuario que retire su consentimiento.
Conclusión
78. Habida cuenta de las consideraciones anteriores, propongo al Tribunal de Justicia que responda a las cuestiones prejudiciales planteadas por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania) del siguiente modo:
«1) Los artículos 51 a 66 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
deben interpretarse en el sentido de que:
una autoridad de defensa de la competencia, en el marco de sus facultades en el sentido de las normas en materia de competencia, puede examinar, con carácter incidental, la conformidad de las prácticas examinadas con las normas de dicho Reglamento, teniendo en cuenta cualquier decisión o investigación de la autoridad de control competente en virtud del citado Reglamento e informando y, en su caso, consultando a la autoridad nacional de control.
2) El artículo 9, apartado 1, del Reglamento 2016/679
debe interpretarse en el sentido de que:
la prohibición de tratamiento de datos personales sensibles puede incluir el tratamiento de datos efectuado por un operador de una red social en línea que consiste en la recogida de datos personales de un usuario cuando consulte otros sitios de Internet o aplicaciones o introduzca allí tales datos, en la combinación de esos datos con la cuenta de usuario de la red social y en su utilización, siempre que la información tratada, individualmente considerada o agrupada, permita elaborar el perfil del usuario según las categorías que se desprenden de la enumeración de datos personales sensibles contenida en dicha disposición.
El artículo 9, apartado 2, letra e), de dicho Reglamento
debe interpretarse en el sentido de que:
un usuario no hace manifiestamente públicos los datos que revela al consultar páginas web y aplicaciones o que introduce en esas páginas web o aplicaciones o que resultan de la utilización de botones de función integrados en las mismas.
3) El artículo 6, apartado 1, letras b), c), d), e) y f), del Reglamento 2016/679
debe interpretarse en el sentido de que:
la práctica consistente, en primer lugar, en la recogida de datos procedentes de otros servicios propios del grupo, así como de sitios de Internet y de aplicaciones de terceros, por medio de interfaces insertadas en estos o mediante «cookies» instaladas en el ordenador o dispositivo móvil del usuario, en segundo lugar, en la combinación de esos datos con la cuenta de Facebook del usuario afectado y, en tercer lugar, en la utilización de dichos datos o algunas de las actividades que la conforman pueden estar comprendidas en las excepciones previstas en estas disposiciones, siempre que cada modalidad de tratamiento de datos examinada cumpla las condiciones previstas respecto de la justificación específicamente formulada por el responsable del tratamiento y que, por lo tanto:
– el tratamiento sea objetivamente necesario para la prestación de los servicios relativos a la cuenta de Facebook;
– el tratamiento sea necesario para la satisfacción de un interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos y no afecte de manera desproporcionada a los derechos fundamentales y libertades fundamentales del interesado;
– el tratamiento sea necesario para responder a una petición lícita de determinados datos, de combatir un comportamiento nocivo y de mejorar la seguridad o con fines de investigación por el bien de la sociedad y en aras de la protección, la integridad y la seguridad.
4) El artículo 6, apartado 1, letra a), y artículo 9, apartado 2, letra a), del Reglamento 2016/679
deben interpretarse en el sentido de que:
la mera circunstancia de que la empresa que administra una red social disfrute de una posición dominante en el mercado nacional de las redes sociales en línea para usuarios privados no puede, por sí sola, privar al consentimiento del usuario de dicha red para el tratamiento de sus datos personales de su carácter válido en el sentido del artículo 4, número 11, de dicho Reglamento. No obstante, tal circunstancia incide en la apreciación de la libertad del consentimiento en el sentido de dicha disposición, que incumbe demostrar al responsable del tratamiento, habida cuenta, en su caso, de la existencia de un desequilibrio claro de las relaciones de fuerza entre el interesado y el responsable del tratamiento, de la posible obligación de prestar consentimiento para el tratamiento de datos personales distintos de los estrictamente necesarios para la prestación de los servicios en cuestión, de la necesidad de que el consentimiento sea específico para cada finalidad de tratamiento y de la necesidad de evitar que la retirada del consentimiento suponga un perjuicio para el usuario que retire su consentimiento.»