En un ecosistema digital como el actual, donde la tecnología juega un papel central, nos enfrentamos diariamente a la necesidad de interactuar con plataformas digitales, ya sea en redes sociales, compras en línea u otras aplicaciones o sitios web. En estos casos, es común que se nos requiera registrarnos como usuarios y aceptar extensas listas de términos y condiciones, políticas de privacidad y uso de cookies. Sin embargo, surge una pregunta clave: ¿somos realmente conscientes de lo que estamos aceptando? Esta pregunta ha ganado relevancia en los últimos años, en parte gracias a la labor de organizaciones como None of Your Business (NOYB), una ONG que se dedica a hacer cumplir las leyes de protección de datos, en especial el Reglamento General de Protección de Datos (RGPD) y la Directiva sobre la privacidad electrónica. 

Entre los principales defensores de los derechos de privacidad, destaca Maximilian Schrems, abogado y cofundador de NOYB, quien ha desempeñado un papel crucial en la promoción de la privacidad de los usuarios y ha impulsado importantes avances en la protección de datos personales en Europa. Los tribunales han respaldado sus acciones en múltiples ocasiones, y ha sido una figura clave detrás de las sanciones más significativas impuestas a Meta Platforms Ireland Ltd (anteriormente conocida como Facebook Ireland Ltd) en los últimos años.  

Uno de los mayores logros recientes es la resolución del Tribunal de Justicia de la Unión Europea (TJUE) en el asunto C-446/21, dictada el 4 de octubre de 2024. Esta resolución responde a una solicitud prejudicial presentada por el Oberster Gerichtshof (Austria) en un litigio entre Maximilian Schrems y Meta. El caso se centra en la interpretación de los artículos 5, 6 y 9 del RGPD. Schrems sostiene que Facebook, plataforma perteneciente al gigante tecnológico Meta, no solo recopilaba datos sin su consentimiento explícito, sino que también procesaba categorías especiales de datos sensibles, como su orientación sexual, con fines publicitarios. 

La respuesta del TJUE ha sido contundente: el consentimiento general no puede sustituir las garantías específicas que exige la ley. El TJUE se base en dos pilares fundamentales, como son el principio de minimización de datos y la protección de categorías especiales de datos personales, dejando claro que las plataformas digitales como las pertenecientes a Meta no pueden tratar los datos de sus usuarios de forma indiscriminada e ilimitada. Además, señala que el tratamiento de estos datos debe ser proporcional y limitado a los fines legítimos para los que fueron recogidos; es decir, Meta no puede justificar la recolección masiva de datos de los usuarios bajo el pretexto de mejorar sus servicios o personalizar la publicidad. 

En relación con el tratamiento de categorías especiales de datos personales, como la orientación sexual o las opiniones políticas, el TJUE afirmó que el hecho de que un usuario haya hecho públicos ciertos aspectos de su vida privada—como en el caso de Schrems, quien habló abiertamente sobre su orientación sexual en un evento público en 2019—no concede automáticamente a las plataformas el derecho a utilizar esos datos con fines comerciales. En otras palabras, las declaraciones públicas de los usuarios no eximen a las empresas de la obligación de obtener su consentimiento. Asimismo, el TJUE indica que los operadores de plataformas no pueden utilizar datos obtenidos fuera de sus propias aplicaciones y sitios web ni agregarlos ni analizarlos para ofrecer publicidad personalizada. 

Derivado de lo anterior, el TJUE cuestiona el modelo de negocio de Meta, y en particular el de Facebook, que consiste en ofrecer servicios gratuitos a cambio de la explotación de datos personales. El tribunal recuerda que la protección de la privacidad no debe considerarse un negocio y que los datos personales de los usuarios no deben ser tratados como tal.  

El TJUE falló a favor de Schrems, limitando la capacidad de Meta para utilizar indiscriminadamente los datos personales de sus usuarios con fines de publicidad personalizada. Esta sentencia establece precedentes significativos en la interpretación y aplicación del RGPD en toda la Unión Europea, refuerza la protección de los datos personales y los derechos de los usuarios en el ámbito de las redes sociales. Igualmente, enfatiza la necesidad de obtener un consentimiento explícito y específico para el tratamiento de datos sensibles, así como la importancia de restringir el uso de datos a lo estrictamente necesario para los fines declarados, siguiendo el principio de minimización de datos establecido en el artículo 5.1.c) del RGPD. 

En resumen, este fallo no solo reafirma los derechos fundamentales de los usuarios sobre su información personal, sino que también actúa como un freno necesario a las prácticas intrusivas de las grandes plataformas tecnológicas. Además, subraya la urgencia de implementar una mayor regulación y vigilancia sobre el uso de los datos personales. 

 

Por Nerea Toja Maceiras, asociada Departamento Mercantil en Santiago Mediano Abogados.

Puedes leer el artículo completo en Diario La Ley haciendo clic aquí.