NOTICIA: El Tribunal Supremo de Austria pregunta al TJUE si Facebook "socava" el RGPD al confundir el "consentimiento" con un supuesto "contrato".
En un caso civil de larga duración entre Max Schrems y Facebook, el Tribunal Supremo de Austria (Oberster Gerichtshof, o "OGH") ha aceptado la petición del Sr. Schrems de plantear una serie de preguntas al Tribunal de Justicia de la Unión Europea (TJUE, el más alto tribunal de la UE). Las cuatro preguntas plantean dudas fundamentales sobre la legalidad del uso de los datos de todos los clientes de la UE por parte de Facebook
Paralelamente, el Tribunal Supremo austriaco también ha decidido en una sentencia parcial que el Sr. Schrems reciba 500 euros en concepto de daños emocionales simbólicos, ya que Facebook no dio acceso completo a los datos del Sr. Schrems, sino que organizó una "caza de huevos" para los datos de los usuarios.
- Remisión al TJUE, incluidas las preguntas (original en alemán)
- Referencia al TJUE, incluidas las preguntas (traducción al inglés)
(1) Referencia al TJUE:
Pregunta central: "¿Consentimiento o contrato? El Tribunal Supremo de Austria tiene dudas sobre la base jurídica que utiliza Facebook para casi todo el tratamiento de datos de los usuarios. El GDPR enumera seis opciones para procesar legalmente los datos personales, entre ellas el "consentimiento" y el "contrato". Sólo puede basarse en el "contrato" si el tratamiento es necesario para la ejecución del contrato.
Antes del RGPD, Facebook afirmaba que los usuarios "consentían" su tratamiento de la publicidad personalizada. Sin embargo, el GDPR elevó los requisitos para que el consentimiento sea válido y también dio a los usuarios el derecho a retirar su consentimiento en cualquier momento.
Así, el 25 de mayo de 2018, cuando el GDPR entró en vigor, Facebook ya no afirmó basarse en el consentimiento. En su lugar, Facebook dijo que las cláusulas de consentimiento debían ser vistas como un "contrato" en el que los usuarios "ordenaban" publicidad personalizada. En opinión de Facebook, esta derivación les permite despojar a los usuarios de todos los derechos vinculados al consentimiento en virtud del GDPR. Los requisitos de un consentimiento "libremente dado" o "informado" dejarían de aplicarse si se interpreta como un "contrato".
Max Schrems, presidente de noyb.eu:"Facebook intenta despojar a los usuarios de muchos derechos del GDPR simplemente "reinterpretando" el consentimiento como un contrato de derecho civil. Esto no fue más que un intento barato de eludir el GDPR."
OGH: Facebook podría "socavar" ilegalmente el GDPR. El Tribunal Supremo austriaco parece compartir estas preocupaciones. En su referencia al TJUE, el Tribunal Supremo austriaco resume su opinión en el párrafo 54 de la referencia:
"Una cuestión central del presente procedimiento es si la declaración de intención de tratamiento puede ser desplazada por el demandado en virtud del concepto jurídico según el art. 6.1.b) del RGPD para, de este modo, "socavar" la protección significativamente mayor que la base jurídica del "consentimiento" ofrece al demandante."
Max Schrems:"Básicamente todo el uso de datos que genera beneficios para Facebook en la UE se basa en este argumento legal. Si Facebook pierde en el TJUE, no sólo tendría que poner fin a esto y eliminar todos los datos generados ilegalmente, sino también pagar a millones de usuarios por daños y perjuicios. Estoy muy contento con esta referencia"
Otras cuestiones sobre la minimización de datos y los datos sensibles. El Tribunal Supremo de Austria ha remitido al Tribunal de Justicia otras tres cuestiones sobre la legalidad del uso de datos personales por parte de Facebook. El TJUE tendrá que decidir si el uso de todos los datos de facebook.com y de otras innumerables fuentes, como los sitios web que utilizan los botones "Me gusta" de Facebook o la publicidad, para cualquier fin, es compatible con el principio de "minimización de datos" del RGPD. Otras dos cuestiones se refieren al uso por parte de Facebook de datos sensibles (como las opiniones políticas o la orientación sexual) para la publicidad personalizada.
Max Schrems:"Estas otras cuestiones son cruciales. Es posible que Facebook ya no pueda utilizar todos los datos para la publicidad, aunque haya obtenido un consentimiento válido. Igualmente, es posible que tenga que filtrar datos sensibles como las opiniones políticas o los datos sobre la orientación sexual. Hasta ahora, Facebook ha argumentado que no distingue entre estos tipos de datos"
(2) Sentencia parcial sobre daños, acceso, funciones y "huevos de pascua"
Además, el Tribunal Supremo de Austria emitió una sentencia definitiva sobre determinadas demandas que pueden decidirse sin necesidad de recurrir al TJUE.
- Original en alemán de la discusión legal dentro de la sentencia parcial
- Traducción al inglés de la discusión legal dentro de la sentencia parcial
500 euros por "molestias masivas", falta de acceso a los datos y "huevos de pascua". El Tribunal Supremo austriaco decidió que el Sr. Schrems recibiera una indemnización de 500 euros porque Facebook no le proporcionó acceso completo a sus datos. El Tribunal sostuvo que no obtuvo todos los datos en bruto, ni información crucial como la base legal sobre la que se procesaron sus datos. El Tribunal destacó que los datos que Facebook ofrecía a través de su herramienta en línea estaban dispersos entre más de 60 categorías de datos con cientos, si no miles, de puntos de datos, lo que llevaría un par de horas escudriñar.
El Tribunal sostuvo en el párrafo 153: "El demandante señala con razón que el RGPD se basa en una solicitud de acceso única, no en una "búsqueda de huevos de Pascua"".
El Tribunal Supremo austriaco también fue bastante claro en cuanto a la pretensión de Facebook de haber facilitado al Sr. Schrems todos los datos que consideraba "pertinentes" (apartado 152):
"El hecho de que el deber de proporcionar información no puede depender de la mera autoevaluación del demandado ("relevante") no requiere mayor explicación"
La carga de la prueba recae en Facebook. El Tribunal Supremo también subrayó con frecuencia que Facebook tiene la carga de la prueba para demostrar que ha dado pleno acceso o que el tratamiento es legal (por ejemplo, en el párrafo 151). Durante el procedimiento, Facebook consideró que le correspondería al Sr. Schrems demostrar que Facebook no proporcionó todos los datos y se negó a responder a las preguntas del Sr. Schrems.
¿Quién es el "dueño" de los datos en Facebook? En el caso se cuestionó el papel de los actores en la plataforma de Facebook. El Sr. Schrems argumentó que él es el principal responsable de los datos de su perfil o de sus mensajes en Facebook (legalmente como "controlador"), lo que significa que Facebook debe seguir sus órdenes cuando, por ejemplo, elimina datos (como mero "procesador"). Facebook consideró que es el "controlador" de todos los datos de los usuarios en Facebook, con ciertas excepciones. El Tribunal austriaco de Surpeme dijo que el asunto es irrelevante, ya que el uso de Facebook entraría en la "excepción del hogar" y, por tanto, no se plantearía la cuestión.
Max Schrems:"En este elemento "perdimos" técnicamente, pero según la opinión del Tribunal, Facebook sería legalmente responsable de cualquier tratamiento ilegal en facebook.com - incluso cuando éste es realizado por otros. Propusimos un resultado más matizado, pero el Tribunal no entró en él"