Mònica Vilasau Solana
Estudis de Dret i Ciència Política
Universitat Oberta de Catalunya
Una de las cuestiones clave respecto al tratamiento de los datos personales es la relativa a su valor y la posibilidad de que constituyan la contraprestación en un contrato.
La mayoría de usuarios de la red disfruta de un servicio de correo electrónico o bien accede a las redes sociales sin pagar por ello un precio. Pero ¿son realmente gratuitos estos servicios? En la economía digital muchos servicios suelen proporcionarse sin el pago de un precio. Sin embargo, como señala Zittrain, «[w]hen something online is free, you’re not the customer, you’re the product», expresión icónica atribuida a dicho autor que sin embargo reconoció no haber acuñado (1) .
En muchos casos el producto son los datos personales, utilizados por los distintos proveedores de servicios que acceden a ellos en el contexto del suministro de contenidos o servicios digitales. Los datos constituyen la base del data mining que permite la elaboración de perfiles y el márqueting personalizado.
Antes de examinar algunas cuestiones legales que suscitan los modelos de negocio basados en los datos, es preciso hacer referencia a la existencia de dos culturas en cuanto al tratamiento de la información personal. Por un lado, en la tradición americana existiría una especie de «free lunch» del tratamiento de los datos personales, de modo que, si no existe una prohibición o limitación, estos pueden tratarse. Por el contrario, en el marco de la UE la lógica es opuesta: es preciso que exista una habilitación, una justificación que permita el tratamiento de la información personal. En la UE el derecho a la protección de datos personales tiene rango de derecho fundamental (art. 8 CDFUE (LA LEY 12415/2007)); en USA, por el contrario, existe una tendencia a referirse a los datos como una «commodity», un bien que accede al mercado y respecto al que se puede negociar.
Desde la perspectiva del derecho fundamental, no encaja bien la posibilidad de celebrar negocios con los datos, esto es, de convertirlos en mercancía. Sin embargo, a nadie escapa que la transmisión y comunicación de datos es incesante en la sociedad de la información, ya se percate de ello el afectado o no sea así.
Desde la perspectiva del derecho fundamental, no encaja bien la posibilidad de celebrar negocios con los datos, esto es, de convertirlos en mercancía. Sin embargo, a nadie escapa que la transmisión y comunicación de datos es incesante en la sociedad de la información, ya se percate de ello el afectado o no sea así.
El Reglamento 2016/679 (LA LEY 6637/2016) (RGPD), norma que establece el marco general regulador de protección de datos a nivel de la UE, por un lado, ha intentado huir de la cosificación de los datos, pero por el otro establece reglas para la transmisión de los mismos. Se trata de un equilibrio nada fácil. Se puede decir que dicho Reglamento tiene dos almas: por un lado se afirma el carácter de derecho fundamental y por el otro se facilita la comunicación de los datos.
De este modo, el art. 1 RGPD (LA LEY 6637/2016), tras afirmar que se protege el derecho a la protección de datos personales, también intenta garantizar la libre circulación de los mismos en la UE, de modo que esta no podrá «ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales».
En definitiva, a pesar de todas las cautelas, el intercambio de datos es constante y podría afirmarse que no hay modelo de negocio en internet que no se base en los mismos. Ello lleva a constatar a menudo una falta de correlación entre la praxis y la regulación.
La posibilidad de llevar a cabo negocios relativos a los datos se halla en parte contemplada en la Directiva 2019/770, de 20 de mayo de 2019 (LA LEY 8797/2019), relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales (2) .
El art. 3.1 de dicha Directiva dispone que:
«La presente Directiva se aplicará a todo contrato en virtud del cual el empresario suministra o se compromete a suministrar contenidos o servicios digitales al consumidor y este paga o se compromete a pagar un precio.
La presente Directiva también se aplicará cuando el empresario suministre o se comprometa a suministrar contenidos o servicios digitales al consumidor y este facilite o se comprometa a facilitar datos personales al empresario, salvo cuando los datos personales facilitados por el consumidor sean tratados exclusivamente por el empresario con el fin de suministrar los contenidos o servicios digitales con arreglo a la presente Directiva o para permitir que el empresario cumpla los requisitos legales a los que está sujeto, y el empresario no trate esos datos para ningún otro fin».
Debe subrayarse que la redacción final del artículo 3 elimina el término contraprestación, utilizado en la Propuesta de la Comisión que disponía que la misma resultaba aplicable a «cualquier contrato en virtud del cual el proveedor suministra contenidos digitales al consumidor o se compromete a hacerlo y, a cambio, se paga un precio o el consumidor facilita activamente otra contraprestación no dineraria en forma de datos personales u otro tipo de datos.» (§ 12) (3) .
Este cambio se vio motivado en gran parte por la Opinión del Supervisor europeo de protección de datos que expresamente indicó la necesidad de evitar el término «datos como contraprestación» (4) . El texto aprobado por el Consejo modificó la redacción del texto inicial de la Comisión. El art. 3.1, al regular el ámbito de aplicación de la Propuesta de Directiva determinó que:
«1. La presente Directiva se aplicará a cualquier contrato en virtud del cual el proveedor suministra o se compromete a suministrar contenidos o servicios digitales al consumidor (...).
(...) No se aplicará (...) al suministro de contenidos o servicios digitales por los que el consumidor no pague o se comprometa a pagar un precio ni proporcione o se comprometa a proporcionar datos personales al proveedor. [...]» (5) .
En definitiva, se pasó del «facilitar activamente otra contraprestación no dineraria» al simple «proporcionar» datos personales y al «facilitar» del texto aprobado.
La Directiva 2019/770 (LA LEY 8797/2019), junto con otras, se traspuso al ordenamiento jurídico español mediante el Real Decreto-ley 7/2021, de 27 de abril (LA LEY 9105/2021)
(6) cuyo artículo decimosexto modificó el Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios (LA LEY 11922/2007) (TRLCU).
Entre estas modificaciones, se añade un apartado 4 al artículo 59 del TRLCU (LA LEY 11922/2007)
(7) (que supone la trasposición del art. 3.1 Directiva 2019/770 (LA LEY 8797/2019)) y que dispone:
«El ámbito de aplicación de este Libro también abarcará los contratos en virtud de los cuales el empresario suministra o se compromete a suministrar contenidos o servicios digitales al consumidor o usuario y este facilita o se compromete a facilitar datos personales […]».
Si bien en el art. 59.4 TRLCU (LA LEY 11922/2007) no se menciona el término contraprestación, éste es utilizado en el art. 119.ter.2 TRLCU (LA LEY 11922/2007) (al regular la resolución del contrato). En definitiva, el TRLCU (LA LEY 11922/2007) recupera el término «contraprestación». Por lo tanto, como señala Cámara, la transposición española de dicha Directiva «ha tomado claramente partido por la idea de los datos personales como contraprestación contractual, frente a otras tesis que destacan el carácter iusfundamental del tratamiento de los datos personales, que los excluiría como un medio de pago de los contenidos o servicios digitales funcionalmente equivalente al dinero» (8) .
En conclusión, si bien en ningún momento se cuestiona el carácter de derecho fundamental de la protección de datos, poco a poco va abriéndose paso la posibilidad de celebrar contratos cuya contraprestación sean los datos de carácter personal. El art. 3.1 Directiva 2019/770 (LA LEY 8797/2019) es un ejemplo de ello, y esta posibilidad ya ha sido traspuesta al ordenamiento jurídico español.
Puede valorarse de forma positiva el hecho de afrontar la realidad y regularla, de modo que se establezcan cauces para que determinados modelos de negocio no discurran totalmente al margen del derecho y que los avances tecnológicos y la sociedad no den la espalda al Derecho.
El hecho de admitir la contratación mediante los datos personales plantea muchos interrogantes. Entre ellos, por un lado, la información que debe proporcionarse al afectado. Por el otro, el ejercicio del derecho de revocación, reconocido de forma muy amplia en el art. 7.3 RGPD (LA LEY 6637/2016) y también en la legislación de defensa de consumidores y usuarios.
Sin embargo, sin duda alguna, aquello más complejo es determinar el valor de los datos. Poner precio a un bien que se configura como un derecho de la personalidad es arduo y no exento de polémica. ¿Cómo cuantificar aquello que es inherente a la persona? Existen determinados bienes a los que no puede ponerse precio y respecto de los cuales no es posible negociar. Como declaró el jefe indio Seattle en un célebre discurso que se le atribuye ante la oferta de los colonos americanos de comprar parte de las tierras de su pueblo: «¿Cómo se puede comprar o vender el cielo o el calor de la tierra? Esta idea es extraña para mi pueblo. Si hasta ahora no somos dueños de la frescura del aire o del resplandor del agua, ¿cómo nos lo pueden ustedes comprar? (9)
Sin embargo, lamentablemente, la sociedad de la información y la datificación de la economía nos abocan a cuantificarlo todo, también los datos personales.