Asesor del Tribunal de la UE: Los órganos de la competencia pueden tener en cuenta las infracciones de la protección de datos en sus investigaciones

Un documento no vinculante opinión del abogado general, un influyente asesor del máximo tribunal de la UE, podría abrir la puerta a que los organismos de control antimonopolio evalúen el cumplimiento de las normas de protección de datos en futuras investigaciones.

En el dictamen para el Tribunal de Justicia de las Comunidades Europeas emitido el martes (20 de septiembre), el abogado general Athanasios Rantos dijo que, aunque las autoridades de la competencia no tienen jurisdicción directa en lo que respecta a la aprobación del GDPR, el reglamento de la UE sobre la privacidad de los datos, sí pueden tenerlas en cuenta en el ejercicio de sus competencias.

Alberta Laschena, socia de la empresa de asuntos públicos Kreab, dijo que el dictamen «da una amplia oportunidad a la Comisión y a las autoridades nacionales de la competencia para investigar nuevos casos de posibles violaciones de la normativa antimonopolio, como el uso de información personal de usuarios o clientes para reforzar una posición dominante en el mercado».

«Esta oportunidad para los responsables de la competencia ha sido muy debatida hasta ahora».

El caso que ha motivado la actuación del tribunal se refiere a una investigación de la autoridad federal de la competencia alemana, que prohibió a la plataforma Facebook, propiedad de Meta, el tratamiento de datos personales según sus condiciones de servicio, ya que incumplía el Reglamento General de Protección de Datos.

Para el Bundeskartellamt, una de las autoridades antimonopolio más influyentes de Europa, la violación por parte de Facebook del reglamento de protección de datos de la UE constituía un abuso de la posición dominante de la que gozaba la red social en Alemania.

Meta recurrió la decisión ante el Tribunal Regional Superior de Düsseldorf, argumentando que las autoridades nacionales de competencia no pueden aplicar el GDPR, que técnicamente es competencia de la autoridad de protección de datos del país donde la empresa está legalmente establecida.

En el caso de Meta, y para la gran mayoría de las grandes empresas tecnológicas, esa sería la Comisaría de Protección de Datos de Irlanda. Sin embargo, el tribunal regional remitió el caso al Tribunal de Justicia de las Comunidades Europeas para que evaluara si las autoridades de la competencia tienen competencias para evaluar el cumplimiento de las normas de protección de datos.

«Estamos a la espera de la sentencia final para determinar los próximos pasos», dijo un portavoz de Meta a EURACTIV.

En otras palabras, la interpretación del consejero judicial allana el camino para que las autoridades de la competencia de la UE examinen las prácticas de datos personales de los presuntos monopolistas, ya que esta conducta se considera fundamental para el incumplimiento de las normas de competencia.

Si este argumento se confirmara en la sentencia final, como ocurre en la inmensa mayoría de los casos, la jurisprudencia abriría una cooperación más estricta entre los ámbitos de la competencia y la protección de datos, que los expertos jurídicos consideran actualmente un punto ciego en la economía digital.

«Es importante establecer el principio de que las violaciones de la protección de datos son también un problema de poder de mercado. Porque es el poder de mercado el que permite estas violaciones, del mismo modo que el desprecio por la protección de datos ha afianzado el poder de mercado», dijo Cristina Caffarra, directora de Keystone Europe, un fabricante de productos electrónicos.

Al mismo tiempo, el consejero judicial sí ha establecido un límite a lo que las autoridades de la competencia pueden llegar en el uso de las infracciones relacionadas con el GDPR. En particular, las investigaciones antimonopolio pueden considerar el cumplimiento de la protección de datos solo como una cuestión incidental, y no deben sobrepasar las competencias de las autoridades de protección de datos.

El dictamen jurídico subraya que las decisiones o investigaciones de la autoridad competente en materia de protección de datos deben tenerse en cuenta en las investigaciones, y que la autoridad pertinente debe ser consultada adecuadamente si y cuando sea pertinente.

«Por supuesto, deben consultar a los reguladores de la protección de datos, nadie pensó nunca que pudieran salir corriendo en una misión solitaria. Pero estamos pasando a un enfoque menos aislado, lo cual es un progreso», añadió Caffarra, de Keystone.

Al mismo tiempo, el dominio del mercado de una plataforma como Facebook en el mercado de las redes sociales no afecta a la validez del consentimiento prestado por los usuarios para el tratamiento de sus datos personales. Sin embargo, se podría exigir a la plataforma que demuestre que su poder de mercado no ha influido en la libertad del consentimiento.

El abogado general también revisó el mérito de las prácticas de tratamiento de datos de Facebook, evaluando que, si bien la plataforma estaba parcialmente justificada al no solicitar el consentimiento para el tratamiento de datos sobre elementos necesarios para la prestación de sus servicios, no era así en el caso de los anuncios personalizados, la continuidad de los servicios de Meta, la seguridad de la red y la mejora del producto.

Los juristas sugirieron que estos tratamientos de datosLas prácticas podrían haber infringido la prohibición de tratar datos sensibles, como la etnia y la orientación sexual, ya que los usuarios no eran plenamente conscientes de que se estaba revelando esa información sensible.

Laschena, de Kreab, señaló que será interesante ver «cómo el uso de datos personales por parte de las plataformas será evaluado por la Comisión y las autoridades de competencia cuando entre en vigor la Ley de Mercados Digitales.»

La LMD, explicó, prevé «una mayor interoperabilidad entre los servicios ofrecidos por los distintos gatekeepers y, por tanto, el uso de los datos sensibles de los usuarios para garantizar dicha interoperabilidad.»