Alexandra Juanas
Abogada. Delegada de Protección de Datos Grupo MASmovil
El pasado 1 de enero de 2022 entró en vigor la modificación del Texto refundido de la Ley General para la Defensa de los Consumidores. Esta modificación trae su causa en el Real Decreto-ley 7/2021, de 27 de abril (LA LEY 9105/2021), de transposición de directivas de la Unión Europea en, entre otras materias, la defensa de los consumidores y Usuarios.
En concreto, el RDL 7/2021 (LA LEY 9105/2021) viene a transponer dos importantes Directivas:
-
1. Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019 (LA LEY 8797/2019), relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales.
-
2. Directiva (UE) 2019/771 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019 (LA LEY 8796/2019), relativa a determinados aspectos de los contratos de compraventa de bienes, por la que se modifican el Reglamento (CE) n.o 2017/2394 y la Directiva 2009/22/CE (LA LEY 7639/2009) y se deroga la Directiva 1999/44/CE (LA LEY 6979/1999).
Poniendo foco en la Directiva (UE) 2019/770 (LA LEY 8797/2019) nos encontramos con una cuestión controvertida y a la vez retadora para los que nos dedicamos a la privacidad. Esta no es otra que el reconocimiento en esta Directiva de la posibilidad de «pagar» con datos el suministro de contenidos y servicios digitales.
Respecto a esta cuestión, está sentado que los datos personales no son una mercancía y que su protección es un derecho fundamental; así se recoge en el considerando 24 de la Directiva y lo ha defendido tanto el Comité como el Supervisor Europeo de Protección de Datos en varios dictámenes. Por tanto, reconocer en el mismo párrafo la existencia de modelos de negocio en los cuales los contenidos o servicios digitales se suministran cuando el consumidor no paga un precio, pero facilita datos personales al empresario, parece un tanto incongruente.
Sin embargo, desde un punto de vista de consumo, el reconocimiento de que la facilitación de datos personales es el «precio» que se paga por acceder a ciertos servicios y contenidos digitales era, en opinión de la que suscribe, necesario, porque viene a reconocer una realidad y con ella los derechos y obligaciones previstos en la legislación de protección de los consumidores y usuarios. Esta realidad no es otra que la existencia de modelos de negocio en los que se presta un servicio, aparentemente gratuito, en el que el empresario recoge y trata datos obteniendo un beneficio de ello. Gracias a esta legislación el prestador del servicio en cuestión deberá proporcionar una serie de garantías para el consumidor que sin duda son necesarias.
Ahora bien, no podemos perder de vista que lo que se está poniendo sobre la mesa como contraprestación son datos personales, y que independientemente de lo dispuesto en la legislación en materia de consumidores y usuarios, la legislación de protección de datos se aplicará en todo caso. Así lo prevé la Directiva al establecer la prevalencia de la legislación en materia de protección de datos en caso de conflicto y la necesidad de aplicar el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) a cualquier dato personal tratado en relación con los contratos regulados por ella.
Cómo conjugar correctamente ambas legislaciones es sin duda un reto y, para muestra, algo tan fundamental como la definición de la base de legitimación para tratar los datos proporcionados como «pago» de un servicio o contenido digital.
Así, por un lado, la Directiva 2019/770 (LA LEY 8797/2019) prevé que «los datos personales podrían facilitarse al empresario en el momento en que se celebre el contrato o en un momento posterior, por ejemplo, cuando el consumidor dé su consentimiento para que el empresario utilice los datos personales que el consumidor pueda cargar o crear con el uso de los contenidos o servicios digitales».
Por otro lado, en la misma Directiva se prevé que en relación con ese consentimiento, serán de aplicación las disposiciones del RGPD, incluidas las referentes a la valoración del consentimiento como libre.
Y ¿qué dice el Reglamento al respecto? el artículo 7.4 es bastante revelador cuando dice que «al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato».
Ahora bien, paradójicamente la transposición de la Directiva en nuestro ordenamiento jurídico, prevé la posibilidad para el consumidor del ejercicio de su derecho a retirar el consentimiento u oponerse al tratamiento de sus datos, permitiendo que el empresario resuelva el contrato si eso ocurriera, lo cual se antoja incompatible con lo previsto en citado artículo del reglamento.
Por tanto, cabe plantearse que tal vez el consentimiento podría no ser la base de legitimación más adecuada para el tratamiento de datos personales que se faciliten como contraprestación de servicios o contenidos digitales pese a mencionarse expresamente varias veces, de hecho la Directiva no se cierra a otras bases; de modo que será necesario analizar cada supuesto con todos sus elementos antes de basar el tratamiento en el consentimiento u otra base de legitimación de las previstas en el RGPD.
Más allá de los retos interpretativos que plantea la transposición de la Directiva 2019/770, cabe plantearse la cuestión de si es ético tratar datos personales facilitados por un consumidor en el marco de un contrato de prestación de servicios digitales en concepto de contraprestación
Más allá de los retos interpretativos que nos plantea la transposición de esta directiva, adentrándonos en la propia causa del tratamiento cabe plantearse la cuestión de si sería (es) ético tratar datos personales facilitados por un consumidor en el marco de un contrato de prestación de servicios digitales en concepto de contraprestación.
La respuesta a esta cuestión requiere de una aproximación desde distintos puntos de vista. Así por ejemplo, si los prestadores de servicios informaran correcta y claramente en los términos previstos en los artículos 13 (LA LEY 6637/2016) y 14 del RGPD (LA LEY 6637/2016), fueran claros a la hora de exponer que esos datos se recaban y tratan como contraprestación del servicio en cuestión, en los términos de los artículos 60 (LA LEY 11922/2007) y 62 de la Ley General para la Defensa de los Consumidores y Usuarios (LA LEY 11922/2007), y con esa información por delante, obtuvieran el consentimiento de los consumidores libremente para ello (o el dato fuera tratado sobre una base legítima, la que se considere en cada momento), no parece algo reprochable. A sensu contrario quedaría en cuestión la eticidad de recabar y tratar datos de forma opaca y sin conciencia del usuario que utiliza un servicio felizmente en la creencia de su «gratuidad», particularmente cuando el servicio se presta de forma deficiente y el usuario simplemente abandona el servicio, pero el empresario continúa tratando sus datos.
En el primer supuesto, cabe preguntarse si los consumidores invertirían su tiempo en conocer esa información y no darle a un botón «aceptando» absolutamente todo hasta que obtienen el servicio deseado. Desafortunadamente, en el mundo de la inmediatez en el que vivimos actualmente, tengo mis dudas respecto al grado de madurez de los consumidores en lo que a concienciación en materia de privacidad se refiere y por tanto de que el potencial de la Directiva recientemente transpuesta se vaya a aprovechar completamente, al menos a corto plazo.
En este sentido, un reto importante que deben afrontar los prestadores de servicios digitales, particularmente los que pretendan obtener como contraprestación la posibilidad de tratar datos personales, es el de informar mejor, tanto desde un punto de vista de protección de datos como de consumo. A estos efectos, por informar mejor entiendo una información accesible y al alcance de la comprensión de un consumidor medio, de forma tal que denote la voluntad del prestador de hacerse entender y no ocultar información.
Pero no considero que esta responsabilidad deba recaer solo sobre los empresarios; los esfuerzos mencionados no serán fructíferos a la hora de proteger los derechos y libertades de los interesados si estos no dejan de sentirse cómodos en la ignorancia y no están dispuestos a conocer lo que los prestadores de servicios tienen que decirles en relación con su servicio y cómo van a tratar sus datos y para ello hay que trabajar en la concienciación. La responsabilidad de esa concienciación no debe recaer únicamente en los prestadores de servicios, sino también en la sociedad en general y cada uno de nosotros como individuos en particular y este es un reto que debemos acometer cada uno de nosotros como individuos en un entorno cada vez más digitalizado.
Solo en un escenario de transparencia real y concienciación de los interesados de lo que supone proporcionar datos personales a cambio de un servicio o contenido digital, supondrán el aprovechamiento completo de la legislación que se acaba de transponer y la posibilidad de recabar consentimientos genuinamente libres en este contexto.