Petición de decisión prejudicial planteada por el Oberlandesgericht Düsseldorf (Alemania) el 22 de abril de 2021 — Facebook Inc. y otros / Bundeskartellamt
(Asunto C-252/21)
Lengua de procedimiento: alemán
Órgano jurisdiccional remitente
Oberlandesgericht Düsseldorf
Partes en el procedimiento principal
Recurrentes: Facebook Inc., Facebook Ireland Ltd, Facebook Deutschland GmbH
Recurrida: Bundeskartellamt
Parte coadyuvante: Verbraucherzentrale Bundesverband e. V.
Cuestiones prejudiciales
1. a) ¿Es compatible con los artículos 51 y siguientes del Reglamento (UE) 2016/679 1 (RGPD) que la autoridad nacional de defensa de la competencia de un Estado miembro, como el Bundeskartellamt, que no es autoridad de control a efectos de los artículos 51 y siguientes del RGPD y en cuyo Estado miembro una empresa residente fuera de la Unión Europea mantiene un establecimiento que asiste en materia de publicidad, comunicación y relaciones públicas al establecimiento principal de dicha empresa, situado en otro Estado miembro y al cual le incumbe en exclusiva la responsabilidad por el tratamiento de los datos personales en todo el territorio de la Unión Europea, en su función de control de los abusos de posición dominante en el marco del Derecho de la competencia declare una infracción del RGPD por las condiciones contractuales del establecimiento principal sobre tratamiento de datos y su ejecución, y dicte una orden de cesación de dicha infracción?
b) En caso de respuesta afirmativa: ¿Es compatible con el artículo 4 TUE, apartado 3, que al mismo tiempo la autoridad de control principal del Estado miembro del establecimiento principal a efectos del artículo 56, apartado 1, del RGPD someta a una investigación las condiciones contractuales sobre tratamiento de datos de dicho establecimiento?
En caso de respuesta afirmativa a la primera cuestión:
2. a) Cuando un usuario de Internet simplemente visita páginas web o aplicaciones que cumplen los criterios del artículo 9, apartado 1, del RGPD, como aplicaciones de citas, redes sociales de contactos homosexuales, páginas web de partidos políticos o páginas web relacionadas con la salud, o introduce datos en ellas, por ejemplo al registrarse o al efectuar pedidos, y otra empresa, como Facebook Ireland, por medio de interfaces insertadas en las páginas web y aplicaciones, como «herramientas de Facebook para empresas», o mediante «cookies» o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, recoge los datos de las visitas que el usuario hace a las páginas web y aplicaciones y los datos introducidos en ellas, los combina con los datos de la cuenta de Facebook.com y los utiliza, ¿constituye la recogida y/o combinación y/o utilización un tratamiento de datos sensibles a los efectos de dicha disposición?
b) En caso de respuesta afirmativa: Cuando un usuario visita estas páginas web y aplicaciones y/o introduce datos y/o utiliza botones de función insertados en ellas («plug-ins sociales», como «me gusta», «compartir» o «Facebook Login» o «Account Kit»), pertenecientes a un operador como Facebook Ireland, ¿hace manifiestamente públicos los datos de la visita en sí y/o los datos por él introducidos, a efectos del artículo 9, apartado 2, letra e), del RGPD?
3. ¿Puede una empresa como Facebook Ireland, que explota una red social digital financiada con publicidad y en cuyas condiciones de servicio ofrece la personalización de los contenidos y la publicidad, la seguridad de red, la mejora de los productos y el disfrute coherente y fluido de todos los productos del grupo, invocar la justificación de la necesidad para la ejecución de un contrato en virtud del artículo 6, apartado 1, letra b), del RGPD o para la satisfacción de intereses legítimos en virtud de la letra f) de la misma disposición, cuando a tal fin recoge datos procedentes de otros servicios del grupo y de páginas web y aplicaciones de terceros, por medio de interfaces insertadas en ellas, como «herramientas de Facebook para empresas», o mediante «cookies» o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, y los combina con la cuenta de Facebook.com del usuario y los utiliza?
4. En un caso así,
la minoría de edad del usuario, en cuanto a la personalización de contenidos y publicidad, mejora de los productos, seguridad de red y comunicación no comercial con el usuario;
la facilitación de mediciones, análisis y demás servicios de empresa a clientes publicitarios, desarrolladores y otros colaboradores, para que puedan medir y mejorar su rendimiento;
la facilitación de comunicación comercial con el usuario, para que la empresa pueda mejorar sus productos y realizar marketing directo;
la investigación e innovación en aras del bienestar social, a fin de desarrollar el estado de la técnica y el conocimiento científico sobre importantes temas sociales, e influir así positivamente en la sociedad y en el mundo;
la información a las autoridades policiales y judiciales y la respuesta a requerimientos legales, con fines de prevención, esclarecimiento y enjuiciamiento de delitos, usos ilícitos, infracciones de las condiciones de servicio y de las directrices y demás comportamientos nocivos,
pueden constituir intereses legítimos a efectos del artículo 6, apartado 1, letra f), del RGPD, cuando a tal fin la empresa recoge datos procedentes de otros servicios del grupo y de páginas web y aplicaciones de terceros, por medio de interfaces insertadas en ellas, como «herramientas de Facebook para empresas», o mediante «cookies» o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, y los combina con la cuenta de Facebook.com del usuario y los utiliza?
5. En tal caso, ¿puede estar justificado, también con arreglo al artículo 6, apartado 1, letras c), d) y e), del RGPD, en el caso concreto, recoger datos procedentes de otros servicios del grupo y de páginas web y aplicaciones de terceros, por medio de interfaces insertadas en ellas, como «herramientas de Facebook para empresas», o mediante «cookies» o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, y combinarlos con la cuenta de Facebook.com del usuario y utilizarlos, o utilizar datos ya recogidos y combinados de otra forma lícita, por ejemplo, para responder a una petición lícita de determinados datos [letra c)], para combatir un comportamiento nocivo y mejorar la seguridad [letra d)] o para investigar por el bien de la sociedad y en aras de la protección, la integridad y la seguridad [letra e)]?
6. ¿Es posible una prestación válida y, en particular libre del consentimiento en el sentido del artículo 4, punto 11, del RGPD, frente a una empresa con posición dominante, como Facebook Ireland, especialmente a efectos de los artículos 6, apartado 1, letra a), y 9, apartado 2, letra a), del RGPD?
En caso de respuesta negativa a la primera cuestión:
7. a) ¿Está facultada la autoridad nacional de defensa de la competencia de un Estado miembro, como el Bundeskartellamt, que no es autoridad de control a efectos de los artículos 51 y siguientes del RGPD y que investiga una infracción de la prohibición de abusos en el marco del Derecho de la competencia cometida por una empresa con posición dominante, infracción que no consiste en una infracción del RGPD por sus condiciones de tratamiento de datos ni por la ejecución de estas condiciones, para hacer apreciaciones, por ejemplo, al ponderar los intereses en juego, sobre la conformidad de las condiciones de tratamiento de datos de dicha empresa y su ejecución con el RGPD?
b) En caso de respuesta afirmativa: ¿Esto también resulta de aplicación, en atención al artículo 4 TUE, apartado 3, cuando al mismo tiempo la autoridad de control principal a efectos del artículo 56, apartado 1, del RGPD somete las condiciones de tratamiento de datos de dicha empresa a una investigación?
En caso de respuesta afirmativa a la séptima cuestión, será preciso responder a las cuestiones tercera a quinta en relación con los datos procedentes del uso del servicio del grupo Instagram.
____________
1 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).