Las autoridades de defensa de la competencia pueden constatar, dentro de un abuso de posición dominante, una infracción del RGPD
Competencia. Abuso de posición dominante. Redes sociales. Facebook. Tratamiento de datos personales. Licitud del tratamiento. Categorías especiales de datos.
El Tribunal de Justicia declara que:
1) Los artículos 51 y siguientes del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), así como el artículo 4 TUE, apartado 3, deben interpretarse en el sentido de que, sin perjuicio del cumplimiento de su obligación de cooperación leal con las autoridades de control, una autoridad de defensa de la competencia de un Estado miembro puede concluir, en el marco del examen de un abuso de posición dominante por parte de una empresa, con arreglo al artículo 102 TFUE, que las condiciones generales del servicio de dicha empresa relativas al tratamiento de los datos personales y la aplicación de esas condiciones no son conformes con el citado Reglamento, cuando esa conclusión sea necesaria para declarar la existencia de tal abuso.
A la vista de esta obligación de cooperación leal, la autoridad nacional de defensa de competencia no puede apartarse de una decisión de la autoridad nacional de control competente o de la autoridad de control principal competente relativa a esas condiciones generales o a condiciones generales similares. Cuando albergue dudas sobre el alcance de tal decisión, o cuando esas condiciones o condiciones similares sean, al mismo tiempo, objeto de examen por parte de las citadas autoridades, o incluso cuando considere, en ausencia de investigación o de decisión de dichas autoridades, que las condiciones en cuestión no son conformes con el Reglamento 2016/679, la autoridad de defensa de la competencia debe consultar a esas mismas autoridades de control y solicitar la cooperación de estas para disipar sus dudas o para determinar si, antes de iniciar su propia apreciación, no procede esperar a la adopción de una decisión por parte de estas. Si no plantean objeciones ni responden en un plazo razonable, la autoridad nacional de defensa de la competencia puede proseguir su propia investigación.
2) El artículo 9, apartado 1, del Reglamento 2016/679 debe interpretarse en el sentido de que, en el supuesto de que un usuario de una red social en línea consulte sitios de Internet o aplicaciones en relación con una o con varias de las categorías contempladas en dicha disposición y, en su caso, introduzca datos en ellos registrándose o efectuando pedidos en línea, el tratamiento de datos personales por parte del operador de esa red social en línea, consistente en la recogida, mediante interfaces integradas, cookies o tecnologías de almacenamiento similares, de los datos resultantes de la consulta de esos sitios y aplicaciones, así como de los datos introducidos por el usuario, en la puesta en relación del conjunto de esos datos con la cuenta de la red social de este y en la utilización de dichos datos por el operador, debe considerarse como un «tratamiento de categorías especiales de datos personales», con arreglo a la citada disposición, que, en principio, está prohibido, sin perjuicio de las excepciones previstas en ese artículo 9, apartado 2, cuando dicho tratamiento de datos permita revelar información comprendida en alguna de esas categorías, con independencia de que tal información afecte a un usuario de esa red o a cualquier otra persona física.
3) El artículo 9, apartado 2, letra e), del Reglamento 2016/679 debe interpretarse en el sentido de que,
cuando un usuario de una red social en línea consulta sitios de Internet o aplicaciones en relación con una o con varias de las categorías contempladas en el artículo 9, apartado 1, de este Reglamento, no hace manifiestamente públicos, con arreglo a la primera de esas disposiciones, los datos relativos a dicha consulta recogidos por el operador de esa red social en línea a través de cookies o de tecnologías de almacenamiento similares.
Cuando ese usuario introduce datos en tales sitios de Internet o en tales aplicaciones o cuando activa botones de selección integrados en esos sitios y en esas aplicaciones, como son los botones «me gusta» o «compartir» o los botones que permiten al usuario identificarse en esos sitios o aplicaciones utilizando los identificadores de conexión vinculados a su cuenta de usuario de la red social, su número de teléfono o su dirección de correo electrónico, tal usuario solo hace manifiestamente públicos, en el sentido de dicho artículo 9, apartado 2, letra e), los datos así introducidos o resultantes de la activación de esos botones en el supuesto de que haya manifestado explícitamente su opción previa, en su caso sobre la base de una configuración individual efectuada con pleno conocimiento de causa, de que los datos que le conciernen resulten accesibles públicamente a un número ilimitado de personas.
4) El artículo 6, apartado 1, párrafo primero, letra b), del Reglamento 2016/679 debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, solo puede considerarse necesario para la ejecución de un contrato en el que los interesados son partes, con arreglo a esta disposición, si dicho tratamiento es objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual destinada a esos mismos usuarios, de manera que el objeto principal del contrato no podría alcanzarse sin ese tratamiento.
5) El artículo 6, apartado 1, párrafo primero, letra f), del Reglamento 2016/679 debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, solo puede considerarse necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, con arreglo a esa disposición, si dicho operador ha indicado a los usuarios de los que se han obtenido los datos un interés legítimo perseguido por el tratamiento de estos, si el referido tratamiento se lleva a cabo dentro de los límites de lo estrictamente necesario para la satisfacción de ese interés legítimo y si de una ponderación de los intereses en conflicto se desprende, habida cuenta de todas las circunstancias pertinentes, que los intereses o las libertades y los derechos fundamentales de esos usuarios no prevalecen sobre el citado interés legítimo del responsable del tratamiento o de un tercero.
6) El artículo 6, apartado 1, párrafo primero, letra c), del Reglamento 2016/679 debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, está justificado, con arreglo a esta disposición, cuando sea efectivamente necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, en virtud de una disposición del Derecho de la Unión o del Derecho del Estado miembro de que se trate, dicha base jurídica responda a un objetivo de interés público y sea proporcionada al objetivo legítimo perseguido y ese tratamiento se lleve a cabo sin sobrepasar los límites de lo estrictamente necesario.
7) El artículo 6, apartado 1, párrafo primero, letras d) y e), del Reglamento 2016/679 debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, no puede, en principio y sin perjuicio de la comprobación que haya de efectuar el órgano jurisdiccional remitente, considerarse necesario para proteger intereses vitales del interesado o de otra persona física, con arreglo a la letra d), o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, conforme a la letra e).
8) Los artículos 6, apartado 1, párrafo primero, letra a), y 9, apartado 2, letra a), del Reglamento 2016/679 deben interpretarse en el sentido de que el hecho de que el operador de una red social en línea ocupe una posición dominante en el mercado de las redes sociales en línea no impide, como tal, que los usuarios de tal red puedan prestar válidamente su consentimiento, con arreglo al artículo 4, punto 11, de dicho Reglamento, al tratamiento de sus datos personales efectuado por ese operador. No obstante, esta circunstancia constituye un elemento relevante para determinar si el consentimiento ha sido efectivamente prestado válidamente y, en particular, libremente, lo que incumbe probar a dicho operador.