CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:537

Asunto C‑252/21

Meta Platforms Inc., anteriormente Facebook Inc.,
Meta Platforms Ireland Ltd, anteriormente Facebook Ireland Ltd,
y
Facebook Deutschland GmbH

contra

Bundeskartellamt

(Petición de decisión prejudicial planteada por el Oberlandesgericht Düsseldorf)

Sentencia del Tribunal de Justicia (Gran Sala) de 4 de julio de 2023

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Redes sociales en línea — Abuso de posición dominante por parte del operador de tal red — Abuso consistente en el tratamiento de datos personales de los usuarios de dicha red previsto en las condiciones generales del servicio de esta — Competencias de una autoridad de defensa de la competencia de un Estado miembro para concluir que dicho tratamiento no es conforme con ese Reglamento — Articulación con las competencias de las autoridades nacionales encargadas del control de la protección de los datos personales — Artículo 4 TUE, apartado 3 — Principio de cooperación leal — Artículo 6, apartado 1, párrafo primero, letras a) a f), del Reglamento 2016/679 — Licitud del tratamiento de datos — Artículo 9, apartados 1 y 2 — Tratamiento de categorías especiales de datos personales — Artículo 4, punto 11 — Concepto de “consentimiento”»

1. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Redes sociales en línea — Abuso de posición dominante por el operador de tal red — Abuso consistente en el tratamiento de datos personales de los usuarios de esa red previsto por las condiciones generales del servicio de esta — Competencias de una autoridad nacional de defensa de la competencia para concluir que ese tratamiento no es conforme con dicho Reglamento — Alcance — Articulación con las competencias de las autoridades nacionales encargadas del control de la protección de los datos personales — Obligación de cooperación leal de la autoridad de defensa de la competencia nacional con las autoridades nacionales de control

[Art. 4 TUE, ap. 3; art. 102 TFUE; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts. 51, 55 a 58 y 60 a 65]

(véanse los apartados 48 a 59, 62 y 63, y el punto 1 del fallo)

2. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Tratamiento de categorías especiales de datos personales — Concepto — Recogida, por el operador de una red social en línea, mediante interfaces integradas, cookies o tecnologías de almacenamiento similares, de los datos procedentes de la consulta de sitios de Internet y aplicaciones, así como de los datos introducidos por el usuario de esa red social — Puesta en relación del conjunto de esos datos con la cuenta de la red social de ese usuario y utilización de dichos datos por ese operador — Inclusión — Requisito

[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, considerando 51 y art. 9, ap. 1]

(véanse el apartado 73 y el punto 2 del fallo)

3. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Tratamiento de categorías especiales de datos personales — Prohibición — Excepciones — Tratamiento que versa sobre datos manifiestamente hechos públicos por el interesado — Datos relativos a la consulta, por un usuario de una red social en línea, de sitios de Internet o de aplicaciones en relación con una o varias categorías especiales de datos, recogidos por el operador de esa red social a través de cookies o de tecnologías de almacenamiento similares — Exclusión — Introducción de datos en tales sitios de Internet o en tales aplicaciones o activación de los botones de selección incluidos en ellos, o de botones que permiten al usuario identificarse en esos sitios o en esas aplicaciones utilizando identificadores de conexión ligados a su cuenta de usuario de la red social en línea — Inclusión — Requisito

[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts. 9, aps. 1 y 2, letra e)]

(véanse los apartados 84 y 85 y el punto 3 del fallo)

4. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Requisitos para la licitud de un tratamiento de datos personales — Tratamiento necesario para la ejecución de un contrato que vincula al interesado — Concepto — Recogida, efectuada por un operador de una red social en línea, de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece ese operador o de la consulta por esos usuarios de sitios de Internet o de aplicaciones de terceros — Puesta en relación de esos datos con la cuenta de la red social de esos usuarios y utilización de dichos datos — Inclusión — Requisito

[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, art. 6, ap. 1, párr. 1, letra b)]

(véanse los apartados 91 a 93, 97 a 104 y 125 y el punto 4 del fallo)

5. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Requisitos para la licitud de un tratamiento de datos personales — Tratamiento necesario para los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que no prevalezcan los intereses o las libertades y derechos fundamentales del interesado que exijan una protección de los datos — Concepto — Recogida, efectuada por un operador de una red social en línea, de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece ese operador o de la consulta por esos usuarios de sitios de Internet o de aplicaciones de terceros — Puesta en relación de esos datos con la cuenta de la red social de esos usuarios y utilización de dichos datos — Inclusión — Requisitos

[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, considerandos 47 y 49, art. 6, ap. 1, párr. 1, letra f)]

(véanse los apartados 105 a 124 y 126 y el punto 5 del fallo)

6. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Requisitos para la licitud de un tratamiento de datos personales — Tratamiento necesario para la protección de los intereses vitales del interesado o de otra persona física — Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento — Concepto — Recogida, efectuada por un operador de una red social en línea, de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece ese operador o de la consulta por esos usuarios de sitios de Internet o de aplicaciones de terceros — Puesta en relación de esos datos con la cuenta de la red social de esos usuarios y utilización de dichos datos — Exclusión — Comprobación que incumbe al órgano jurisdiccional nacional

[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, considerando 46, art. 6, ap. 1, párr. 1, letras d) y e)]

(véanse los apartados 137 y 139 y el punto 7 del fallo)

7. Protección de las personas físicas en lo que respecta al tratamiento de datos personales Reglamento (UE) 2016/679 — Requisitos para la licitud de un tratamiento de datos personales — Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento — Concepto — Recogida, efectuada por un operador de una red social en línea, de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece ese operador o de la consulta por esos usuarios de sitios de Internet o de aplicaciones de terceros — Puesta en relación de esos datos con la cuenta de la red social de esos usuarios y utilización de dichos datos — Inclusión — Requisitos

[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts. 6, ap. 1, párr. 1, letra c)]

(véanse el apartado 138 y el punto 6 del fallo)

8. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Concepto de consentimiento — Posición dominante en las redes sociales en línea ocupada por el operador de una red social en línea — Circunstancia que no obsta para un consentimiento válido de los usuarios de tal red para el tratamiento de sus datos efectuado por ese operador — Circunstancia que constituye un elemento relevante para determinar la validez y, en particular, la libertad del consentimiento así prestado por los usuarios de esa red social — Carga de la prueba que incumbe al operador de dicha red social

[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, considerandos 42 y 43 y arts. 4, punto 11, 6, ap. 1, párr. 1, letra a), y 9, ap. 2, letra a)]

(véanse los apartados 143 a 154 y el punto 8 del fallo)

Resumen

La sociedad Meta Platforms es propietaria de la red social en línea «Facebook», gratuita para usuarios privados. El modelo de negocio de esta red social se basa en la financiación mediante la publicidad en línea, que se realiza a medida para sus usuarios individuales. Este tipo de publicidad tiene como fundamento técnico el establecimiento automatizado de perfiles detallados de los usuarios de la red y de los servicios en línea ofrecidos a nivel del grupo. Así pues, para poder utilizar dicha red social, los usuarios deben aceptar, en el momento de registrarse, las condiciones generales establecidas por Meta Platforms, que remiten a las políticas de utilización de los datos y de las cookies establecidas por dicha sociedad. En virtud de estas últimas, además de los datos que estos usuarios proporcionan directamente en el momento de su registro, Meta Platforms recoge también datos relativos a las actividades de dichos usuarios dentro y fuera de la red social y los relaciona con las cuentas de Facebook de los usuarios de que se trata. En cuanto a estos últimos datos, también denominados «datos off Facebook», se trata, por una parte, de los datos relativos a la consulta de páginas de Internet y de aplicaciones de terceros y, por otra parte, de los datos relativos a la utilización de otros servicios en línea pertenecientes al grupo Meta (entre ellos, Instagram y WhatsApp). La visión global de los datos así recogidos permite extraer conclusiones detalladas sobre las preferencias e intereses de estos mismos usuarios.

Mediante resolución de 6 de febrero de 2019, el Bundeskartellamt (Autoridad Federal de Defensa de la Competencia, Alemania) prohibió a Meta Platforms, por una parte, supeditar, en las condiciones generales vigentes en ese momento, (1) el uso de la red social Facebook por usuarios privados residentes en Alemania al tratamiento de sus datos off Facebook y, por otra parte, proceder, sin su consentimiento, al tratamiento de dichos datos. Además, la Autoridad Federal de Defensa de la Competencia le obligó a adaptar esas condiciones generales de modo que se desprendiera claramente de ellas que dichos datos no serían recogidos, puestos en relación con las cuentas de usuarios de Facebook y utilizados sin el consentimiento de los usuarios afectados. Por último, la citada autoridad subrayó que tal consentimiento no era válido cuando constituía un requisito para la utilización de la red social. Motivó su decisión por el hecho de que el tratamiento de los datos en cuestión, que no era conforme con el RGPD, (2) constituía una explotación abusiva de la posición dominante de Meta Platforms en el mercado de las redes sociales en línea.

Meta Platforms recurrió esa resolución ante el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania). Al albergar dudas, por un lado, sobre la posibilidad de que las autoridades de defensa de la competencia controlen la conformidad de un tratamiento de datos personales con las exigencias formuladas en el RGPD y, por otro lado, sobre la interpretación y la aplicación de determinadas disposiciones de dicho Reglamento, el Tribunal Regional Superior de Düsseldorf planteó una petición de decisión prejudicial al Tribunal de Justicia.

Mediante su sentencia, el Tribunal de Justicia, constituido en Gran Sala, se pronuncia sobre la competencia de una autoridad nacional de defensa de la competencia para concluir que un tratamiento de datos personales no es conforme con el RGPD, así como sobre su articulación con las competencias de las autoridades nacionales encargadas del control de la protección de datos. (3) Además, aporta precisiones sobre la posibilidad del tratamiento, por parte de un operador de una red social, de datos personales «sensibles» de sus usuarios, sobre las condiciones de licitud del tratamiento de datos efectuado por tal operador y sobre la validez del consentimiento, prestado por esos usuarios para tal tratamiento, a una empresa en posición dominante en el mercado nacional de las redes sociales en línea.

Apreciación del Tribunal de Justicia

En primer lugar, por lo que respecta a la competencia de una autoridad de defensa de la competencia para concluir que un tratamiento de datos personales no es conforme con el RGPD, el Tribunal de Justicia considera que, sin perjuicio del cumplimiento de su obligación de cooperación leal (4) con las autoridades de control de la protección de datos, tal autoridad puede concluir, en el marco del examen de un abuso de posición dominante por parte de una empresa, (5) que las condiciones generales del servicio fijadas por dicha empresa en materia de tratamiento de los datos personales y la aplicación de esas condiciones no son conformes con el citado Reglamento, cuando esa conclusión sea necesaria para declarar la existencia de ese abuso. No obstante, cuando una autoridad de defensa de la competencia señala una infracción del RGPD en el marco de la declaración de un abuso de posición dominante, no suplanta a las autoridades de control.

Así pues, habida cuenta del principio de cooperación leal, cuando las autoridades de defensa de la competencia se ven obligadas, en el ejercicio de sus competencias, a examinar la conformidad con las disposiciones del RGPD de una actividad de una empresa, deben ponerse de acuerdo y cooperar lealmente con las autoridades nacionales de control interesadas o con la autoridad de control principal. Todas estas autoridades están entonces obligadas a respetar sus respectivos poderes y competencias, de modo que se observen las obligaciones derivadas del RGPD y los objetivos de este y quede preservado su efecto útil. De ello se deduce que cuando, en el examen destinado a comprobar la existencia de un abuso de posición dominante por parte de una empresa, una autoridad de defensa de la competencia considera necesario examinar la conformidad de una actividad de dicha empresa con las disposiciones del RGPD, dicha autoridad debe comprobar si esa actividad o una actividad similar ya ha sido objeto de una decisión por parte de la autoridad de control nacional competente o por parte de la autoridad de control principal, o incluso por parte del Tribunal de Justicia. Si es así, la autoridad de defensa de la competencia no puede apartarse de ella, aunque conserva su libertad para deducir sus propias conclusiones desde el punto de vista de la aplicación del Derecho de la competencia.

Cuando albergue dudas sobre el alcance de la apreciación efectuada por la autoridad nacional de control competente o por la autoridad de control principal, o cuando la actividad en cuestión o una actividad similar sean, al mismo tiempo, objeto de examen por parte de esas autoridades, o incluso cuando considere, en ausencia de investigación de tales autoridades, que una actividad de una empresa no es conforme con las disposiciones del RGPD, la autoridad de defensa de la competencia debe consultar a esas autoridades y solicitar su cooperación, con el fin de disipar sus dudas o de determinar si, antes de iniciar su propia apreciación, no procede esperar a la adopción de una decisión por parte de la autoridad de control interesada. Si no plantean objeciones ni responden en un plazo razonable, la autoridad nacional de defensa de la competencia puede proseguir su propia investigación.

En segundo lugar, por lo que respecta al tratamiento de categorías especiales de datos personales, (6) el Tribunal de Justicia estima que, en el supuesto de que un usuario de una red social en línea consulte sitios de Internet o aplicaciones en relación con una o con varias de estas categorías y, en su caso, introduzca datos en ellos registrándose o efectuando pedidos en línea, el tratamiento de datos personales por parte del operador de esa red social en línea (7) debe considerarse como un «tratamiento de categorías especiales de datos personales», con arreglo al artículo 9, apartado 1, del RGPD, cuando dicho tratamiento de datos permita revelar información comprendida en alguna de esas categorías especiales, con independencia de que tal información afecte a un usuario de esa red o a cualquier otra persona física. Dicho tratamiento de datos está, en principio, prohibido, sin perjuicio de determinadas excepciones. (8)

A este último respecto, el Tribunal de Justicia precisa que, cuando un usuario de una red social en línea consulta sitios de Internet o aplicaciones en relación con una o con varias de dichas categorías especiales de datos, no hace manifiestamente públicos (9) los datos relativos a dicha consulta recogidos por el operador de esa red social en línea a través de cookies o de tecnologías de almacenamiento similares. Por otra parte, cuando introduce datos en esos sitios de Internet o aplicaciones o activa botones de selección integrados en ellos, como son los botones «me gusta» o «compartir» o los botones que permiten al usuario identificarse en esos sitios o aplicaciones utilizando los identificadores de conexión vinculados a su cuenta de usuario de la red social, su número de teléfono o su dirección de correo electrónico, tal usuario solo hace manifiestamente públicos los datos así introducidos o resultantes de la activación de esos botones en el supuesto de que haya manifestado explícitamente su opción previa, en su caso sobre la base de una configuración individual efectuada con pleno conocimiento de causa, de que los datos que le conciernen resulten accesibles públicamente a un número ilimitado de personas.

En tercer lugar, en lo que atañe más en general a los requisitos de licitud de un tratamiento de datos personales, el Tribunal de Justicia recuerda que, en virtud del RGPD, el tratamiento de datos personales solo será lícito si el interesado dio su consentimiento para uno o varios fines específicos. (10)A falta de tal consentimiento, o cuando este no se haya prestado de forma libre, específica, informada e inequívoca, tal tratamiento está, no obstante, justificado cuando cumple alguno de los requisitos de necesidad, (11) que deben interpretarse restrictivamente. Pues bien, el tratamiento de datos personales de sus usuarios efectuado por un operador de una red social en línea solo puede considerarse necesario para la ejecución del contrato en el que esos usuarios son partes si dicho tratamiento es objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual destinada a esos mismos usuarios, de manera que el objeto principal del contrato no podría alcanzarse sin ese tratamiento.

Además, según el Tribunal de Justicia, el tratamiento de datos personales en cuestión solo puede considerarse necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero si dicho operador ha indicado a los usuarios de los que se han obtenido los datos un interés legítimo perseguido por el tratamiento de estos, si el referido tratamiento se lleva a cabo dentro de los límites de lo estrictamente necesario para la satisfacción de ese interés legítimo y si de una ponderación de los intereses en conflicto se desprende, habida cuenta de todas las circunstancias pertinentes, que los intereses o las libertades y los derechos fundamentales de esos usuarios no prevalecen sobre el citado interés legítimo del responsable del tratamiento o de un tercero. Ahora bien, el Tribunal de Justicia considera en particular que, a falta de consentimiento por parte de dichos usuarios, los intereses y los derechos fundamentales de estos prevalecen sobre el interés del operador de una red social en línea en la personalización de la publicidad mediante la que él financia su actividad.

Por último, el Tribunal de Justicia precisa que el tratamiento de datos de que se trata está justificado cuando sea efectivamente necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, en virtud de una disposición del Derecho de la Unión o del Derecho del Estado miembro de que se trate, esta base jurídica responda a un objetivo de interés público y sea proporcionada al objetivo legítimo perseguido y ese tratamiento se lleve a cabo sin sobrepasar los límites de lo estrictamente necesario.

En cuarto y último lugar, por lo que respecta a la validez del consentimiento de los usuarios afectados al tratamiento de sus datos en virtud del RGPD, el Tribunal de Justicia considera que el hecho de que el operador de una red social en línea ocupe una posición dominante en el mercado de las redes sociales en línea no impide, como tal, que los usuarios de tal red puedan prestar válidamente su consentimiento al tratamiento de sus datos personales efectuado por ese operador. No obstante, dado que puede afectar a la libertad de elección de esos usuarios y crear un desequilibrio claro entre estos y dicho operador, tal posición constituye un elemento relevante para determinar si el consentimiento ha sido efectivamente prestado válidamente y, en particular, libremente, lo que incumbe probar a dicho operador. (12)

En particular, los usuarios de la red social en cuestión deben disponer de la libertad de negarse individualmente, en el marco del proceso contractual, a dar su consentimiento a operaciones particulares de tratamiento de datos que no sean necesarias para la ejecución del contrato, sin estar no obstante obligados a renunciar íntegramente a la utilización de dicha red social en línea, lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente no acompañada de tales operaciones de tratamiento de datos. Además, debe poder darse un consentimiento independiente para el tratamiento de los datos off Facebook.

1 El 31 de julio de 2019, Meta Platforms introdujo nuevas condiciones generales que indican expresamente que el usuario, en lugar de pagar por la utilización de los productos Facebook, declara consentir los anuncios publicitarios.

2 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2018, L 127, p. 3; en lo sucesivo, «RGPD»).

3 En el sentido de los artículos 51 a 59 del RGPD.

4 Consagrada en el artículo 4 TUE, apartado 3.

5 En el sentido del artículo 102 TFUE.

6 Contempladas en el artículo 9, apartado 1, del RGPD. Esta disposición establece que «quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.»

7 Este tratamiento consiste en la recogida, mediante interfaces integradas, cookies o tecnologías de almacenamiento similares, de los datos procedentes de la consulta de esos sitios y aplicaciones, así como de los datos introducidos por el usuario, en la puesta en relación del conjunto de esos datos con la cuenta de la red social de este y en la utilización de dichos datos por ese operador.

8 Contempladas en el artículo 9, apartado 2, del RGPD. Esta disposición enuncia lo siguiente: «el apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado; […]

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

[…]».

9 En el sentido del artículo 9, apartado 2, letra e), del RGPD.

10 A tenor del artículo 6, apartado 1, párrafo primero, letra a), del RGPD.

11 Mencionados en el artículo 6, apartado 1, párrafo primero, letras b) a f), del RGPD. En virtud de estas disposiciones, el tratamiento solo es lícito si es necesario, entre otras cosas, para la ejecución de un contrato en el que el interesado sea parte [artículo 6, apartado 1, párrafo primero, letra b), del RGPD], para el cumplimiento de una obligación legal aplicable al responsable del tratamiento [artículo 6, apartado 1, párrafo primero, letra c), del RGPD] o para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero [artículo 6, apartado 1, párrafo primero, letra f), del RGPD].

12 En virtud del artículo 7, apartado 1, del RGPD.