Sentencia del Tribunal de Justicia en el asunto C-252/21 | Meta Platforms y otros (Condiciones generales del servicio de una red social)

Al registrarse en Facebook, sus usuarios aceptan las condiciones generales establecidas por esta sociedad y, en consecuencia, las políticas de uso de datos y de cookies. En virtud de estas, Meta Platforms Ireland recoge datos relativos a las actividades de los usuarios dentro y fuera de la red social y los pone en relación con las cuentas Facebook de los usuarios de que se trata. En cuanto a estos últimos datos, también denominados “datos off Facebook”, se trata, por una parte, de los datos relativos a la consulta de páginas de Internet y de aplicaciones de terceros y, por otra parte, de los datos relativos a la utilización de otros servicios en línea pertenecientes al grupo Meta (entre ellos, Instagram y WhatsApp). Los datos así recogidos permiten, en particular, personalizar los mensajes publicitarios destinados a los usuarios de Facebook.

La autoridad federal alemana de defensa de la competencia prohibió, en particular, supeditar, en las condiciones generales, el uso de la red social Facebook por parte de usuarios privados residentes en Alemania al tratamiento de los datos off Facebook de estos, así como proceder al tratamiento de dichos datos sin el consentimiento de estos.

Motivó su decisión en el hecho de que ese tratamiento no era conforme con el Reglamento General de Protección de Datos (RGPD), por lo que constituía una explotación abusiva de la posición dominante de Meta Platforms Ireland en el mercado alemán de las redes sociales en línea.

El Tribunal Superior Regional de Düsseldorf, que conoce de un recurso contra esa decisión, pregunta al Tribunal de Justicia si las autoridades nacionales de defensa de la competencia pueden controlar la conformidad de un tratamiento de datos con los requisitos establecidos en el RGPD. Además, el juez alemán pregunta al Tribunal de Justicia sobre la interpretación y la aplicación de determinadas disposiciones del RGPD al tratamiento de datos por parte de un operador de una red social en línea.

En su sentencia de hoy, el Tribunal de Justicia observa que puede resultar necesario, en el marco del examen de un abuso de posición dominante por parte de una empresa, que la autoridad de defensa de la competencia del Estado miembro de que se trate también examine la conformidad del comportamiento de dicha empresa con normas distintas de las del Derecho de la competencia, como las previstas en el RGPD. No obstante,

cuando la autoridad nacional de defensa de la competencia señala una infracción del RGPD, no suplanta a las autoridades de control establecidas por dicho Reglamento. En efecto, la apreciación del respeto del RGPD se limita únicamente a constatar la existencia de un abuso de posición dominante y a imponer medidas dirigidas a poner fin a ese abuso con arreglo a las normas del Derecho de la competencia.

Con el fin de garantizar una aplicación coherente del RGPD, las autoridades nacionales de defensa de la competencia deben ponerse de acuerdo y cooperar lealmente con las autoridades que hacen cumplir dicho Reglamento. En particular, cuando la autoridad nacional de defensa de la competencia considera que es necesario examinar la conformidad de una actividad de una empresa a la luz del RGPD, debe comprobar si esa actividad o una actividad similar ya ha sido objeto de una decisión por la autoridad de control competente, o incluso por el Tribunal de Justicia. De ser así, no puede apartarse de esas decisiones, aunque es libre de deducir sus propias conclusiones desde el punto de vista de la aplicación del Derecho de la competencia.

Por otra parte, el Tribunal de Justicia señala que el tratamiento de datos efectuado por Meta Platforms Ireland también parece referirse a categorías especiales de datos que pueden revelar, entre otras cosas, el origen racial o étnico, las opiniones políticas, las convicciones religiosas o la orientación sexual y cuyo tratamiento está, en principio, prohibido por el RGPD. Corresponderá entonces al juez nacional determinar si algunos de los datos recogidos permiten efectivamente revelar tal información, ya se refieran a un usuario de dicha red social o a cualquier otra persona física.

En lo que atañe a la cuestión de si el tratamiento de tales datos denominados “sensibles” se permite excepcionalmente por el hecho de que el interesado los haya hecho manifiestamente públicos, el Tribunal de Justicia precisa que el mero hecho de que un usuario consulte sitios de Internet o aplicaciones que puedan revelar tal información no significa en modo alguno que haga manifiestamente públicos sus datos, en el sentido del RGPD. Además, lo mismo sucede cuando un usuario introduce datos en tales sitios de Internet o en tales aplicaciones o incluso activa botones de selección integrados en ellos, a menos que haya manifestado expresamente su decisión previa de hacer que los datos que le conciernen resulten públicamente accesibles a un número ilimitado de personas.

Más en general, el Tribunal de Justicia examina a continuación si tratamiento efectuado por Meta Platforms Ireland, incluido el de los datos “no sensibles”, está comprendido en las justificaciones, previstas en el RGPD, que permiten que un tratamiento de datos efectuado sin el consentimiento del interesado sea lícito. En este contexto, considera que la necesidad de ejecutar el contrato en el que esa persona es parte solo justifica la práctica controvertida si el tratamiento de datos es objetivamente indispensable, de modo que el objeto principal de dicho contrato no podría alcanzarse sin ese tratamiento. Sin perjuicio de que el órgano jurisdiccional nacional compruebe este extremo, el Tribunal de Justicia expresa dudas en cuanto a la posibilidad de que la personalización de los contenidos o la utilización homogénea y fluida de los servicios propios del grupo Meta puedan satisfacer estos criterios. Además, según el Tribunal de Justicia, la personalización de la publicidad mediante la cual se financia la red social en línea Facebook no puede justificar, como interés legítimo perseguido por Meta Platforms Ireland, el tratamiento de datos en cuestión, a falta del consentimiento del interesado.

Por último, el Tribunal de Justicia observa que el hecho de que el operador de una red social en línea, como responsable del tratamiento, ocupe una posición dominante en el mercado de las redes sociales no impide, como tal, que sus usuarios puedan válidamente prestar su consentimiento, en el sentido del RGPD, al tratamiento de sus datos efectuado por dicho operador. No obstante, dado que tal posición puede afectar a la libertad de elección de los usuarios y crear un desequilibrio manifiesto entre ellos y el responsable del tratamiento, constituye un elemento relevante para determinar si el consentimiento ha sido efectivamente prestado válidamente y, en particular, libremente. Incumbe probarlo a ese operador.

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

“Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Reglamento (UE) 2016/679 - Redes sociales en línea - Abuso de posición dominante por parte del operador de tal red - Abuso consistente en el tratamiento de datos personales de los usuarios de dicha red previsto en las condiciones generales del servicio de esta - Competencias de una autoridad de defensa de la competencia de un Estado miembro para concluir que dicho tratamiento no es conforme con ese Reglamento - Articulación con las competencias de las autoridades nacionales encargadas del control de la protección de los datos personales - Artículo 4 TUE, apartado 3 - Principio de cooperación leal - Artículo 6, apartado 1, párrafo primero, letras a) a f), del Reglamento 2016/679 - Licitud del tratamiento de datos - Artículo 9, apartados 1 y 2 - Tratamiento de categorías especiales de datos personales - Artículo 4, punto 11 - Concepto de “consentimiento”“

En el asunto C-252/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania), mediante resolución de 24 de marzo de 2021, recibida en el Tribunal de Justicia el 22 de abril de 2021, en el procedimiento entre

Meta Platforms Inc., anteriormente Facebook Inc.,

Meta Platforms Ireland Ltd, anteriormente Facebook Ireland Ltd,

Facebook Deutschland GmbH

y

Bundeskartellamt,

con intervención de:

Verbraucherzentrale Bundesverband eV,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. K. Lenaerts, Presidente, el Sr. L. Bay Larsen, Vicepresidente, las Sras. A. Prechal y K. Jürimäe, los Sres. C. Lycourgos y M. Safjan, la Sra. L. S. Rossi (Ponente), el Sr. D. Gratsias y la Sra. M. L. Arastey Sahún, Presidentes de Sala, y los Sres. J.-C. Bonichot, S. Rodin, F. Biltgen, M. Gavalec y Z. Csehi y la Sra. O. Spineanu-Matei, Jueces;

Abogado General: Sr. A. Rantos;

Secretario: Sr. D. Dittert, jefe de unidad;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 10 de mayo de 2022;

consideradas las observaciones presentadas:

- en nombre de Meta Platforms Inc., anteriormente Facebook Inc., Meta Platforms Ireland Ltd, anteriormente Facebook Ireland Ltd, y Facebook Deutschland GmbH, por los Sres. M. Braun y M. Esser, la Sra. L. Hesse y los Sres. J. Höft y H.-G. Kamann, Rechtsanwälte;

- en nombre del Bundeskartellamt, por los Sres. J. Nothdurft y K. Ost y por las Sras. I. Sewczyk y J. Topel, en calidad de agentes;

- en nombre de Verbraucherzentrale Bundesverband eV, por el Sr. S. Louven, Rechtsanwalt;

- en nombre del Gobierno alemán, por los Sres. J. Möller y P.-L. Krüger, en calidad de agentes;

- en nombre del Gobierno checo, por los Sres. M. Smolek y J. Vláčil, en calidad de agentes;

- en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por los Sres. E. De Bonis y P. Gentili, avvocati dello Stato;

- en nombre del Gobierno austriaco, por el Sr. A. Posch, la Sra. J. Schmoll y el Sr. G. Kunnert, en calidad de agentes;

- en nombre de la Comisión Europea, por los Sres. F. Erlbacher, H. Kranenborg y G. Meessen, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 20 de septiembre de 2022;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 4 TUE, apartado 3, así como de los artículos 6, apartado 1, 9, apartados 1 y 2, 51, apartado 1, y 56, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2018, L 127, p. 3; en lo sucesivo, “RGPD”).

2 Esta petición se ha presentado en el contexto de un litigio entre, por una parte, Meta Platforms Inc., anteriormente Facebook Inc., Meta Platforms Ireland Ltd, anteriormente Facebook Ireland Ltd, y Facebook Deutschland GmbH y, por otra, el Bundeskartellamt (Autoridad Federal de Defensa de la Competencia, Alemania), en relación con la decisión de esta última de prohibir a esas sociedades el tratamiento de determinados datos personales previsto por las condiciones generales del servicio de la red social Facebook (en lo sucesivo, “condiciones generales”).

Marco jurídico

3 El artículo 5 del Reglamento (CE) n.º 1/2003 del Consejo, de 16 de diciembre de 2002, relativo a la aplicación de las normas sobre competencia previstas en los artículos [101 TFUE y 102 TFUE] (DO 2003, L 1, p. 1), bajo la rúbrica “Competencia de las autoridades de competencia de los Estados miembros”, establece lo siguiente:

“Las autoridades de competencia de los Estados miembros son competentes para aplicar los artículos [101 TFUE y 102 TFUE] en asuntos concretos. A tal efecto, ya sea de oficio, ya previa denuncia de parte, podrán adoptar las decisiones siguientes:

- orden de cesación de la infracción,

- adopción de medidas cautelares,

- aceptación de compromisos,

- imposición de multas sancionadoras, de multas coercitivas o de cualquier otra sanción prevista por su Derecho nacional.

Cuando la información de que dispongan no acredite que se reúnen las condiciones para una prohibición, podrán decidir asimismo que no procede su intervención.”

RGPD

4 Los considerandos 1, 4, 38, 42, 43, 46, 47, 49 y 51 del RGPD enuncian:

“(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea ([en lo sucesivo,] “la Carta”) y el artículo 16 [TFUE], apartado 1, establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

[]

(4) El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística.

[]

(38) Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño. El consentimiento del titular de la patria potestad o tutela no debe ser necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente a los niños.

[]

(42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. [] Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

(43) Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento.

[]

(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

(47) El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. [] En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. [] El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo.

[]

(49) Constituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a través de, estos sistemas y redes, [].

[]

(51) Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término “origen racial” en el presente Reglamento no implica la aceptación por parte de la Unión [Europea] de teorías que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el presente Reglamento, habida cuenta de que los Estados miembros pueden establecer disposiciones específicas sobre protección de datos con objeto de adaptar la aplicación de las normas del presente Reglamento al cumplimiento de una obligación legal o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.”

5 El artículo 4 de dicho Reglamento establece lo siguiente:

“A efectos del presente Reglamento se entenderá por:

1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); []

2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[]

7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

[]

11) “consentimiento del interesado”: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

[]

23) “tratamiento transfronterizo”:

a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro;

[]”.

6 El artículo 5 del citado Reglamento, titulado “Principios relativos al tratamiento”, dispone, en sus apartados 1 y 2:

“1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; []

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);

[]

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).”

7 El artículo 6 del mismo Reglamento, titulado “Licitud del tratamiento”, está redactado en los siguientes términos:

“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

[]

3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

a) el Derecho de la Unión, o

b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

[]

[] El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.”

8 El artículo 7 del RGPD, titulado “Condiciones para el consentimiento”, establece lo siguiente:

“1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

[]

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”

9 El artículo 9 del citado Reglamento, titulado “Tratamiento de categorías especiales de datos personales”, dispone lo siguiente:

“1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

[]

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

[]”.

10 El artículo 13 de dicho Reglamento, relativo a la “información que deberá facilitarse cuando los datos personales se obtengan del interesado”, establece, en su apartado 1, lo siguiente:

“Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

[]

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

[]”.

11 El capítulo VI del RGPD, relativo a las “autoridades de control independientes”, comprende los artículos 51 a 59 de dicho Reglamento.

12 El artículo 51 del citado Reglamento, titulado “Autoridad de control”, dispone en sus apartados 1 y 2:

“1. Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes [] supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.

2. Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión [Europea] con arreglo a lo dispuesto en el capítulo VII.”

13 A tenor del artículo 55 del mismo Reglamento, titulado “Competencia”:

“1. Cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el presente Reglamento en el territorio de su Estado miembro.

2. Cuando el tratamiento sea efectuado por autoridades públicas o por organismos privados que actúen con arreglo al artículo 6, apartado 1, letras c) o e), será competente la autoridad de control del Estado miembro de que se trate. No será aplicable en tales casos el artículo 56.”

14 El artículo 56 del RGPD, titulado “Competencia de la autoridad de control principal”, establece, en su apartado 1:

“Sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado con arreglo al procedimiento establecido en el artículo 60.”

15 El artículo 57 de este Reglamento, bajo el epígrafe “Funciones”, dispone, en su apartado 1, que:

“Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio:

a) controlar la aplicación del presente Reglamento y hacerlo aplicar;

[]

g) cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento;

[]”.

16 El artículo 58 de dicho Reglamento establece, en su apartado 1, la lista de los poderes de investigación de que dispone cada autoridad de control y precisa, en su apartado 5, que “cada Estado miembro dispondrá por ley que su autoridad de control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y, si procede, para iniciar o ejercitar de otro modo acciones judiciales, con el fin de hacer cumplir lo dispuesto en el mismo”.

17 La sección 1, titulada “Cooperación y coherencia”, del capítulo VII del RGPD, titulado a su vez “Cooperación y coherencia”, comprende los artículos 60 a 62 de dicho Reglamento. El artículo 60, relativo a la “cooperación entre la autoridad de control principal y las demás autoridades de control interesadas”, establece, en su apartado 1:

“La autoridad de control principal cooperará con las demás autoridades de control interesadas de acuerdo con el presente artículo, esforzándose por llegar a un consenso. La autoridad de control principal y las autoridades de control interesadas se intercambiarán toda información pertinente.”

18 El artículo 61 del RGPD, titulado “Asistencia mutua”, preceptúa, en su apartado 1:

“Las autoridades de control se facilitarán información útil y se prestarán asistencia mutua a fin de aplicar el presente Reglamento de manera coherente, y tomarán medidas para asegurar una efectiva cooperación entre ellas. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, como las solicitudes para llevar a cabo autorizaciones y consultas previas, inspecciones e investigaciones.”

19 El artículo 62 de este Reglamento, titulado “Operaciones conjuntas de las autoridades de control”, establece, en sus apartados 1 y 2:

“1. Las autoridades de control realizarán, en su caso, operaciones conjuntas, incluidas investigaciones conjuntas y medidas de ejecución conjuntas, en las que participen miembros o personal de las autoridades de control de otros Estados miembros.

2. Si el responsable o el encargado del tratamiento tiene establecimientos en varios Estados miembros o si es probable que un número significativo de interesados en más de un Estado miembro se vean sustancialmente afectados por las operaciones de tratamiento, una autoridad de control de cada uno de esos Estados miembros tendrá derecho a participar en operaciones conjuntas. []”

20 La sección 2, titulada “Coherencia”, del capítulo VII del RGPD incluye los artículos 63 a 67 de este Reglamento. El artículo 63, que lleva por título “Mecanismo de coherencia”, está redactado en los siguientes términos:

“A fin de contribuir a la aplicación coherente del presente Reglamento en toda la Unión, las autoridades de control cooperarán entre sí y, en su caso, con la Comisión, en el marco del mecanismo de coherencia establecido en la presente sección.”

21 A tenor del artículo 64, apartado 2, de dicho Reglamento:

“Cualquier autoridad de control, el presidente del Comité [Europeo de Protección de Datos] o la Comisión podrán solicitar que cualquier asunto de aplicación general o que surta efecto en más de un Estado miembro sea examinado por el Comité [Europeo de Protección de Datos] a efectos de dictamen, en particular cuando una autoridad de control competente incumpla las obligaciones relativas a la asistencia mutua con arreglo al artículo 61 o las operaciones conjuntas con arreglo al artículo 62.”

22 El artículo 65 de dicho Reglamento, titulado “Resolución de conflictos por el Comité”, establece en su apartado 1:

“Con el fin de garantizar una aplicación correcta y coherente del presente Reglamento en casos concretos, el Comité [Europeo de Protección de Datos] adoptará una decisión vinculante en los siguientes casos:

a) cuando, en un caso mencionado en el artículo 60, apartado 4, una autoridad de control interesada haya manifestado una objeción pertinente y motivada a un proyecto de decisión de la autoridad de control principal y esta no haya seguido la objeción o haya rechazado dicha objeción por no ser pertinente o no estar motivada. La decisión vinculante afectará a todos los asuntos a que se refiera la objeción pertinente y motivada, en particular si hay infracción del presente Reglamento;

b) cuando haya puntos de vista enfrentados sobre cuál de las autoridades de control interesadas es competente para el establecimiento principal;

[]”.

Derecho alemán

23 El artículo 19, apartado 1, de la Gesetz gegen Wettbewerbsbeschränkungen (Ley de Defensa de la Competencia), en su versión publicada el 26 de junio de 2013 (BGBl. 2013 I, pp. 1750, 3245), modificada por última vez por el artículo 2 de la Ley de 16 de julio de 2021 (BGBl. 2021 I, p. 2959) (en lo sucesivo, “Ley de Defensa de la Competencia”), dispone lo siguiente:

“Queda prohibida la explotación abusiva, por parte de una o más empresas, de una posición dominante en el mercado.”

24 A tenor de lo dispuesto en el artículo 32, apartado 1, de la Ley de Defensa de la Competencia:

“La autoridad de defensa de la competencia podrá obligar a las empresas o asociaciones de empresas a abstenerse de cometer infracciones de las disposiciones del presente título o de los artículos 101 o 102 del Tratado de Funcionamiento de la Unión Europea.”

25 El artículo 50f de la Ley de Defensa de la Competencia establece, en su apartado 1:

“Las autoridades de defensa de la competencia, las autoridades reguladoras, el responsable a nivel federal de protección de datos y de libertad de información, los responsables regionales de protección de datos y las autoridades competentes en el sentido del artículo 2 de la EU-Verbraucherschutzdurchführungsgesetz [(Ley de Aplicación del Derecho en materia de Protección de los Consumidores de la Unión Europea)] podrán, independientemente del procedimiento elegido, intercambiar información, incluidos datos personales y secretos industriales y comerciales, en la medida en que sea necesario para el desempeño de sus funciones respectivas y utilizar esta información en el marco de sus procedimientos. []”

Litigio principal y cuestiones prejudiciales

26 Meta Platforms Ireland gestiona la oferta de la red social en línea Facebook en la Unión y promueve, en particular en la dirección www.facebook.com, servicios que son gratuitos para los usuarios privados. Otras empresas del grupo Meta ofrecen en la Unión otros servicios en línea, entre ellos Instagram, WhatsApp, Oculus y, hasta el 13 de marzo de 2020, Masquerade.

27 El modelo económico de la red social en línea Facebook se basa en la financiación a través de la publicidad en línea, que se hace a medida para los usuarios individuales de la red social, en función, en particular, de sus actitudes de consumo, intereses, poder adquisitivo y situación personal. Tal publicidad es técnicamente posible mediante el establecimiento automatizado de perfiles detallados de los usuarios de la red y de los servicios en línea ofrecidos a nivel del grupo Meta. A tal fin, además de los datos que estos usuarios proporcionan directamente al registrarse en los servicios en línea de que se trata, también se recogen, dentro y fuera de esa red social y de los servicios en línea prestados por el grupo Meta, otros datos relativos a dichos usuarios y a sus aparatos, en relación con sus diferentes cuentas de usuario. La visión global de estos datos permite extraer conclusiones detalladas sobre las preferencias e intereses de esos mismos usuarios.

28 Para el tratamiento de dichos datos, Meta Platforms Ireland se basa en el contrato de servicio al que se adhieren los usuarios de la red social Facebook mediante la activación del botón “registrarse”, a través del cual estos aceptan las condiciones generales establecidas por la citada sociedad. La aceptación de esas condiciones es necesaria para poder utilizar la red social Facebook. Por lo que respecta al tratamiento de datos personales, las condiciones generales remiten a las políticas de datos y de cookies establecidas por la citada sociedad. En virtud de estas últimas, Meta Platforms Ireland recoge datos acerca de los usuarios y los aparatos, que versan sobre las actividades de los usuarios dentro y fuera de la red social, y relaciona esos datos con las cuentas de Facebook de los usuarios de que se trata. En cuanto a estos últimos datos, relativos a las actividades fuera de la red social (en lo sucesivo, también denominados, “datos off Facebook”), se trata, por un lado, de los datos relativos a la consulta de páginas de Internet y de aplicaciones de terceros, conectadas a Facebook a través de interfaces de programación -las “herramientas Facebook Business”- y, por otro lado, de los datos relativos a la utilización de otros servicios en línea pertenecientes al grupo Meta, entre los que se encuentran Instagram, WhatsApp, Oculus y, hasta el 13 de marzo de 2020, Masquerade.

29 La Autoridad Federal de Defensa de la Competencia inició un procedimiento contra Meta Platforms, Meta Platforms Ireland y Facebook Deutschland, al término del cual, mediante resolución de 6 de febrero de 2019, basada en los artículos 19, apartado 1, y 32 de la Ley de Defensa de la Competencia, les prohibió, en esencia, que en las condiciones generales supeditaran el uso de la red social Facebook por parte de usuarios privados residentes en Alemania al tratamiento de sus datos off Facebook y que procedieran, sin el consentimiento de estos, al tratamiento de esos datos sobre la base de las condiciones generales entonces vigentes. Además, les obligó a adaptar esas condiciones generales de manera que de ellas se dedujera claramente que dichos datos no se recogerían ni se pondrían en relación con las cuentas de usuarios de Facebook ni se utilizarían sin el consentimiento del usuario afectado, y aclaró el hecho de que tal consentimiento no es válido cuando constituye un requisito para el uso de la red social.

30 La Autoridad Federal de Defensa de la Competencia motivó su resolución en el hecho de que el tratamiento de los datos de los usuarios afectados, tal como estaba previsto en las condiciones generales y según lo llevaba a cabo Meta Platforms Ireland, constituía una explotación abusiva de la posición dominante de dicha sociedad en el mercado de las redes sociales en línea para usuarios privados en Alemania, en el sentido del artículo 19, apartado 1, de la Ley de Defensa de la Competencia. En particular, según la Autoridad Federal de Defensa de la Competencia, esas condiciones generales, como emanación de tal posición dominante, son abusivas, ya que el tratamiento de los datos off Facebook que prevén no es conforme con los valores inherentes al RGPD y, en particular, no puede estar justificado a la luz de los artículos 6, apartado 1, y 9, apartado 2, de dicho Reglamento.

31 El 11 de febrero de 2019, Meta Platforms, Meta Platforms Ireland y Facebook Deutschland impugnaron la resolución de la Autoridad Federal de Defensa de la Competencia ante el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania).

32 El 31 de julio de 2019, Meta Platforms Ireland introdujo nuevas condiciones generales que indican expresamente que el usuario, en lugar de pagar por el uso de los productos de Facebook, declara que consiente los anuncios publicitarios.

33 Además, desde el 28 de enero de 2020, Meta Platforms ofrece, a escala mundial, la “Off-Facebook-Activity”, que permite a los usuarios de la red social Facebook recibir un resumen de la información que les concierne y que las empresas del grupo Meta obtienen en relación con las actividades de estos en otras páginas de Internet y en aplicaciones, y disociar, si así lo desean, esos datos de su cuenta Facebook.com, tanto respecto del pasado como para el futuro.

34 El Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf) alberga dudas, en primer lugar, sobre la posibilidad de que las autoridades nacionales de defensa de la competencia controlen, en ejercicio de sus competencias, la conformidad de un tratamiento de datos personales con lo exigido por el RGPD; en segundo lugar, sobre la posibilidad de que un operador de una red social en línea trate los datos personales sensibles del interesado, en el sentido del artículo 9, apartados 1 y 2, de dicho Reglamento; en tercer lugar, sobre la licitud del tratamiento, por parte de tal operador, de los datos personales del usuario afectado, conforme al artículo 6, apartado 1, de dicho Reglamento y, en cuarto lugar, en cuanto a la validez, a la luz de los artículos 6, apartado 1, párrafo primero, letra a), y 9, apartado 2, letra a), del mismo Reglamento, del consentimiento dado, a efectos de tal tratamiento, a una empresa que tiene una posición dominante en el mercado nacional de las redes sociales en línea.

35 En este contexto, al considerar que la solución del litigio principal depende de la respuesta que se dé a estas cuestiones, el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

“1) a) ¿Es compatible con los artículos 51 y siguientes del RGPD que la autoridad nacional de defensa de la competencia de un Estado miembro, como la Autoridad Federal de Defensa de la Competencia, que no es autoridad de control a efectos de los artículos 51 y siguientes del RGPD y en cuyo Estado miembro una empresa residente fuera de la [Unión] mantiene un establecimiento que asiste en materia de publicidad, comunicación y relaciones públicas al establecimiento principal de dicha empresa, situado en otro Estado miembro y al cual le incumbe en exclusiva la responsabilidad por el tratamiento de los datos personales en todo el territorio de la [Unión], en su función de control de los abusos de posición dominante en el marco del Derecho de la competencia declare una infracción del RGPD por las condiciones contractuales del establecimiento principal sobre tratamiento de datos y su ejecución, y dicte una orden de cesación de dicha infracción?

b) En caso de respuesta afirmativa: ¿es compatible con el artículo 4 TUE, apartado 3, que al mismo tiempo la autoridad de control principal del Estado miembro del establecimiento principal a efectos del artículo 56, apartado 1, del RGPD someta a una investigación las condiciones contractuales sobre tratamiento de datos de dicho establecimiento?

En caso de respuesta afirmativa a la primera cuestión:

2) a) Cuando un usuario de Internet simplemente visita páginas web o aplicaciones que cumplen los criterios del artículo 9, apartado 1, del RGPD, como aplicaciones de citas, redes sociales de contactos homosexuales, páginas web de partidos políticos o páginas web relacionadas con la salud, o introduce datos en ellas, por ejemplo al registrarse o al efectuar pedidos, y otra empresa, como [Meta Platforms Ireland], por medio de interfaces insertadas en las páginas web y aplicaciones, como “herramientas de Facebook para empresas”, o mediante “cookies” o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, recoge los datos de las visitas que el usuario hace a las páginas web y aplicaciones y los datos introducidos en ellas, los combina con los datos de la cuenta de Facebook.com y los utiliza, ¿constituye la recogida o combinación o utilización un tratamiento de datos sensibles a los efectos de dicha disposición?

b) En caso de respuesta afirmativa: cuando un usuario visita estas páginas web y aplicaciones o introduce datos o utiliza botones de función insertados en ellas (“plug-ins sociales”, como “me gusta”, “compartir” o “Facebook Login” o “Account Kit”), pertenecientes a un operador como [Meta Platforms Ireland], ¿hace manifiestamente públicos los datos de la visita en sí o los datos por él introducidos, a efectos del artículo 9, apartado 2, letra e), del RGPD?

3) ¿Puede una empresa como [Meta Platforms Ireland], que explota una red social digital financiada con publicidad y en cuyas condiciones de servicio ofrece la personalización de los contenidos y la publicidad, la seguridad de red, la mejora de los productos y el disfrute coherente y fluido de todos los productos del grupo, invocar la justificación de la necesidad para la ejecución de un contrato en virtud del artículo 6, apartado 1, letra b), del RGPD o para la satisfacción de intereses legítimos en virtud de la letra f) de la misma disposición, cuando a tal fin recoge datos procedentes de otros servicios del grupo y de páginas web y aplicaciones de terceros, por medio de interfaces insertadas en ellas, como “herramientas de Facebook para empresas”, o mediante “cookies” o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, y los combina con la cuenta de Facebook.com del usuario y los utiliza?

4) En un caso así,

- ¿la minoría de edad del usuario, en cuanto a la personalización de contenidos y publicidad, mejora de los productos, seguridad de red y comunicación no comercial con el usuario;

- la facilitación de mediciones, análisis y demás servicios de empresa a clientes publicitarios, desarrolladores y otros colaboradores, para que puedan medir y mejorar su rendimiento;

- la facilitación de comunicación comercial con el usuario, para que la empresa pueda mejorar sus productos y realizar marketing directo;

- la investigación e innovación en aras del bienestar social, a fin de desarrollar el estado de la técnica y el conocimiento científico sobre importantes temas sociales, e influir así positivamente en la sociedad y en el mundo;

- la información a las autoridades policiales y judiciales y la respuesta a requerimientos legales, con fines de prevención, esclarecimiento y enjuiciamiento de delitos, usos ilícitos, infracciones de las condiciones de servicio y de las directrices y demás comportamientos nocivos,

pueden constituir intereses legítimos a efectos del artículo 6, apartado 1, letra f), del RGPD, cuando a tal fin la empresa recoge datos procedentes de otros servicios del grupo y de páginas web y aplicaciones de terceros, por medio de interfaces insertadas en ellas, como “herramientas de Facebook para empresas”, o mediante “cookies” o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, y los combina con la cuenta de Facebook.com del usuario y los utiliza?

5) En tal caso, ¿puede estar justificado, también con arreglo al artículo 6, apartado 1, letras c), d) y e), del RGPD, en el caso concreto, recoger datos procedentes de otros servicios del grupo y de páginas web y aplicaciones de terceros, por medio de interfaces insertadas en ellas, como “herramientas de Facebook para empresas”, o mediante “cookies” o tecnologías de almacenamiento similares instaladas en el ordenador o dispositivo móvil del usuario de Internet, y combinarlos con la cuenta de Facebook.com del usuario y utilizarlos, o utilizar datos ya recogidos y combinados de otra forma lícita, por ejemplo, para responder a una petición lícita de determinados datos [letra c)], para combatir un comportamiento nocivo y mejorar la seguridad [letra d)] o para investigar por el bien de la sociedad y en aras de la protección, la integridad y la seguridad [letra e)]?

6) ¿Es posible una prestación válida y, en particular libre del consentimiento en el sentido del artículo 4, punto 11, del RGPD, frente a una empresa con posición dominante, como [Meta Platforms Ireland], especialmente a efectos de los artículos 6, apartado 1, letra a), y 9, apartado 2, letra a), del RGPD?

En caso de respuesta negativa a la primera cuestión:

7) a) ¿Está facultada la autoridad nacional de defensa de la competencia de un Estado miembro, como la Autoridad Federal de Defensa de la Competencia, que no es autoridad de control a efectos de los artículos 51 y siguientes del RGPD y que investiga una infracción de la prohibición de abusos en el marco del Derecho de la competencia cometida por una empresa con posición dominante, infracción que no consiste en una infracción del RGPD por sus condiciones de tratamiento de datos ni por la ejecución de estas condiciones, para hacer apreciaciones, por ejemplo, al ponderar los intereses en juego, sobre la conformidad de las condiciones de tratamiento de datos de dicha empresa y su ejecución con el RGPD?

b) En caso de respuesta afirmativa: ¿esto también resulta de aplicación, en atención al artículo 4 TUE, apartado 3, cuando al mismo tiempo la autoridad de control principal a efectos del artículo 56, apartado 1, del RGPD somete las condiciones de tratamiento de datos de dicha empresa a una investigación?

En caso de respuesta afirmativa a la séptima cuestión, será preciso responder a las cuestiones tercera a quinta en relación con los datos procedentes del uso del servicio del grupo Instagram.”

Sobre las cuestiones prejudiciales

36 Mediante sus cuestiones prejudiciales primera y séptima, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 51 y siguientes del RGPD deben ser interpretados en el sentido de que una autoridad de defensa de la competencia de un Estado miembro puede concluir, en el marco del examen de un abuso de posición dominante por parte de una empresa, con arreglo al artículo 102 TFUE, que las condiciones generales del servicio de dicha empresa relativas al tratamiento de los datos personales y la aplicación de tales condiciones no son conformes con el RGPD y, en caso afirmativo, si el artículo 4 TUE, apartado 3, debe interpretarse en el sentido de que también cabe tal conclusión -de carácter incidental- por parte de la autoridad de defensa de la competencia cuando esas condiciones están sometidas al mismo tiempo a un procedimiento de examen por la autoridad de control principal competente, en virtud del artículo 56, apartado 1, del RGPD.

37 Para responder a esta cuestión, es preciso recordar de entrada que el artículo 55, apartado 1, del RGPD establece la competencia de principio de cada autoridad de control para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con dicho Reglamento, en el territorio del Estado miembro al que pertenezca (sentencia de 15 de junio de 2021, Facebook Ireland y otros, C-645/19, EU:C:2021:483, apartado 47 y jurisprudencia citada).

38 Entre las funciones asignadas a esas autoridades de control figura la de controlar la aplicación del RGPD y hacerlo aplicar, como prevén los artículos 51, apartado 1, y 57, apartado 1, letra a), de ese Reglamento, con el fin de proteger los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales y de facilitar la libre circulación de tales datos dentro de la Unión. Además, de conformidad con los artículos 51, apartado 2, y 57, apartado 1, letra g), del citado Reglamento, dichas autoridades de control cooperarán entre sí, incluso compartiendo información, y se prestarán asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del mismo Reglamento.

39 Para desempeñar esas funciones, el artículo 58 del RGPD confiere a las referidas autoridades de control, en su apartado 1, poderes de investigación, en su apartado 2, poderes correctivos y, en su apartado 5, la facultad de poner en conocimiento de las autoridades judiciales las infracciones de dicho Reglamento y, si procede, de iniciar o ejercitar de otro modo acciones judiciales, con el fin de hacer cumplir lo dispuesto en el mismo.

40 Sin perjuicio de la regla de competencia establecida en el artículo 55, apartado 1, del RGPD, el artículo 56, apartado 1, de ese Reglamento establece, para los tratamientos transfronterizos, en el sentido de su artículo 4, punto 23, el mecanismo de “ventanilla única”, basado en un reparto de competencias entre una “autoridad de control principal” y las demás autoridades de control interesadas, así como en una cooperación entre el conjunto de estas autoridades de conformidad con el procedimiento de cooperación establecido en el artículo 60 del citado Reglamento.

41 Por otra parte, el artículo 61, apartado 1, del RGPD exige, en particular, que las autoridades de control se faciliten información útil y se presten asistencia mutua a fin de aplicar ese Reglamento de manera coherente en toda la Unión. El artículo 63 de dicho Reglamento precisa que, a tal efecto, se ha establecido el mecanismo de coherencia contemplado en los artículos 64 y 65 del mismo Reglamento (sentencia de 15 de junio de 2021, Facebook Ireland y otros, C-645/19, EU:C:2021:483, apartado 52 y jurisprudencia citada).

42 Dicho esto, ha de señalarse que las normas de cooperación establecidas en el RGPD no se dirigen a las autoridades nacionales de defensa de la competencia, sino que regulan la cooperación entre las autoridades de control nacionales interesadas y la autoridad de control principal, así como, en su caso, la cooperación de dichas autoridades con el Comité Europeo de Protección de Datos y la Comisión.

43 En efecto, ni el RGPD ni ningún otro instrumento del Derecho de la Unión establecen normas específicas relativas a la cooperación entre una autoridad nacional de defensa de la competencia y las autoridades de control nacionales interesadas o la autoridad de control principal. Asimismo, ninguna disposición de ese Reglamento prohíbe que las autoridades nacionales de defensa de la competencia concluyan, en el ejercicio de sus funciones, que un tratamiento de datos efectuado por una empresa en posición dominante y susceptible de constituir un abuso de esa posición no es conforme con dicho Reglamento.

44 A este respecto, debe precisarse, en primer lugar, que las autoridades de control, por una parte, y las autoridades nacionales de defensa de la competencia, por otra, ejercen funciones diferentes y persiguen objetivos y misiones que les son propios.

45 En efecto, por un lado, tal como se ha indicado en el apartado 38 de la presente sentencia, la función principal de la autoridad de control es, en virtud de los artículos 51, apartados 1 y 2, y 57, apartado 1, letras a) y g), del RGPD, controlar la aplicación de dicho Reglamento y hacerlo aplicar, a la vez que contribuir a su aplicación coherente en la Unión, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales y de facilitar la libre circulación de tales datos dentro de la Unión. Para ello, como se ha recordado en el apartado 39 de la presente sentencia, la autoridad de control dispone de los diferentes poderes que le confiere el artículo 58 del RGPD.

46 Por otro lado, con arreglo al artículo 5 del Reglamento n.º 1/2003, las autoridades nacionales de defensa de la competencia son competentes para adoptar, en particular, decisiones en las que se declare la existencia de un abuso de posición dominante por parte de una empresa, en el sentido del artículo 102 TFUE, cuyo objetivo consiste en establecer un régimen que garantice que la competencia no sea falseada en el mercado interior, teniendo también en cuenta las consecuencias de tal abuso para los consumidores en ese mercado.

47 Como ha señalado, en esencia, el Abogado General en el punto 23 de sus conclusiones, para la adopción de tal decisión, una autoridad de defensa de la competencia debe apreciar, teniendo en cuenta todas las circunstancias del caso concreto, si las actividades de la empresa en posición dominante producen el efecto de obstaculizar, por medios diferentes de los que rigen una competencia normal de productos o servicios, el mantenimiento del nivel de competencia que aún exista en el mercado o el desarrollo de esa competencia (véase, en este sentido, la sentencia de 25 de marzo de 2021, Deutsche Telekom/Comisión, C-152/19 P, EU:C:2021:238, apartados 41 y 42). A este respecto, la conformidad o no conformidad de tales actividades con las disposiciones del RGPD puede constituir, en su caso, un indicio relevante, entre las circunstancias pertinentes del caso concreto, para determinar si dichas actividades constituyen medios que rigen una competencia normal y para evaluar las consecuencias de una determinada práctica en el mercado o para los consumidores.

48 De ello se deduce que, en el marco del examen de un abuso de posición dominante por parte de una empresa en un mercado determinado, puede resultar necesario que la autoridad de defensa de la competencia del Estado miembro de que se trate examine también la conformidad de las actividades de dicha empresa con normas distintas de las incluidas en el Derecho de la competencia, como son las normas en materia de protección de datos personales establecidas en el RGPD.

49 Pues bien, habida cuenta de los diferentes objetivos perseguidos por las normas establecidas, por un lado, en materia de competencia, en particular el artículo 102 TFUE, y, por otro, en materia de protección de datos personales en virtud del RGPD, procede declarar que, cuando una autoridad nacional de defensa de la competencia señala una infracción de ese Reglamento en el marco de la declaración de un abuso de posición dominante, no suplanta a las autoridades de control. En particular, tal autoridad nacional de defensa de la competencia no controla la aplicación de dicho Reglamento ni lo hace aplicar con la finalidad contemplada en el artículo 51, apartado 1, de este, a saber, proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y facilitar la libre circulación de datos personales en la Unión. Además, al limitarse a señalar la falta de conformidad de un tratamiento de datos con el RGPD solo al efecto de declarar la existencia de un abuso de posición dominante y al imponer medidas dirigidas al cese de ese abuso sobre una base jurídica derivada del Derecho de la competencia, tal autoridad no ejerce ninguna de las funciones que figuran en el artículo 57 de ese Reglamento, como tampoco hace uso de los poderes reservados a la autoridad de control en virtud del artículo 58 de dicho Reglamento.

50 Por otra parte, ha de señalarse que tanto el acceso a los datos personales como su explotación revisten gran importancia en el marco de la economía digital. Esta importancia queda ilustrada, en el litigio principal, por el modelo económico en el que se basa la red social Facebook, que prevé, como se ha recordado en el apartado 27 de la presente sentencia, la financiación mediante la comercialización de mensajes publicitarios personalizados, en función de perfiles de usuario elaborados sobre la base de datos personales recogidos por Meta Platforms Ireland.

51 Como ha subrayado, en particular, la Comisión, el acceso a los datos personales y la posibilidad del tratamiento de estos se han convertido en un parámetro significativo de la competencia entre empresas de la economía digital. Por lo tanto, excluir las normas en materia de protección de datos personales del marco jurídico que las autoridades de defensa de la competencia deben tomar en consideración al examinar un abuso de posición dominante ignoraría la realidad de esta evolución económica y podría menoscabar la efectividad del Derecho de la competencia en el seno de la Unión.

52 No obstante, es preciso señalar en segundo lugar que, en el supuesto de que una autoridad nacional de defensa de la competencia considere necesario pronunciarse, en el marco de una decisión relativa a un abuso de posición dominante, sobre la conformidad o la no conformidad con el RGPD de un tratamiento de datos personales efectuado por la empresa en cuestión, dicha autoridad y la autoridad de control interesada o, en su caso, la autoridad de control principal competente, en el sentido de dicho Reglamento, deben cooperar entre sí para garantizar una aplicación coherente del citado Reglamento.

53 En efecto, si bien ni el RGPD ni ningún otro instrumento del Derecho de la Unión establecen -como se ha indicado en los apartados 42 y 43 de la presente sentencia- normas específicas a este respecto, no es menos cierto que, como ha señalado, en esencia, el Abogado General en el punto 28 de sus conclusiones, todas las autoridades nacionales implicadas están vinculadas por el principio de cooperación leal, consagrado en el artículo 4 TUE, apartado 3, cuando aplican el RGPD. En virtud de este principio, según reiterada jurisprudencia, en los ámbitos regulados por el Derecho de la Unión, los Estados miembros, incluidas sus autoridades administrativas, deben respetarse y asistirse mutuamente en el cumplimiento de las misiones derivadas de los Tratados, adoptar todas las medidas apropiadas para asegurar el cumplimiento de las obligaciones derivadas de los actos de las instituciones de la Unión y abstenerse de toda medida que pueda poner en peligro la consecución de los objetivos de la Unión (véanse, en este sentido, las sentencias de 7 de noviembre de 2013, UPC Nederland, C-518/11, EU:C:2013:709, apartado 59, y de 1 de agosto de 2022, Sea Watch, C-14/21 y C-15/21, EU:C:2022:604, apartado 156).

54 Así pues, habida cuenta de este principio, cuando las autoridades nacionales de defensa de la competencia tienen que examinar, en el ejercicio de sus competencias, la conformidad de una actividad de una empresa con las disposiciones del RGPD, deben ponerse de acuerdo y cooperar lealmente con las autoridades de control nacionales interesadas o con la autoridad de control principal, estando todas ellas obligadas, en ese contexto, a respetar sus respectivos poderes y competencias, de modo que se observen las obligaciones derivadas del RGPD y los objetivos de este y quede preservado su efecto útil.

55 En efecto, el examen, por parte de una autoridad de defensa de la competencia, de una actividad de una empresa a la luz de las normas del RGPD puede implicar el riesgo de divergencias entre tal autoridad y las autoridades de control en cuanto a la interpretación de dicho Reglamento.

56 De ello se deduce que cuando, en el examen destinado a comprobar la existencia de un abuso de posición dominante por parte de una empresa, en el sentido del artículo 102 TFUE, una autoridad nacional de defensa de la competencia considera necesario examinar la conformidad de una actividad de dicha empresa con las disposiciones del RGPD, dicha autoridad debe comprobar si esa actividad o una actividad similar ya ha sido objeto de una decisión por parte de la autoridad de control nacional competente o por parte de la autoridad de control principal, o incluso por parte del Tribunal de Justicia. Si es así, la autoridad nacional de defensa de la competencia no puede apartarse de ella, aunque conserva su libertad para deducir sus propias conclusiones desde el punto de vista de la aplicación del Derecho de la competencia.

57 Cuando albergue dudas sobre el alcance de la apreciación efectuada por la autoridad nacional de control competente o por la autoridad de control principal, o cuando la actividad en cuestión o una actividad similar sean, al mismo tiempo, objeto de examen por parte de esas autoridades, o incluso cuando considere, en ausencia de investigación de tales autoridades, que una actividad de una empresa no es conforme con las disposiciones del RGPD, la autoridad nacional de defensa de la competencia debe consultar a esas autoridades y solicitar su cooperación, con el fin de disipar sus dudas o de determinar si, antes de iniciar su propia apreciación, no procede esperar a la adopción de una decisión por parte de la autoridad de control interesada.

58 Por su parte, cuando la autoridad de control reciba la solicitud de una autoridad nacional de defensa de la competencia, deberá responder a esta solicitud de información o de cooperación en un plazo razonable, comunicándole la información de la que disponga que permita disipar las dudas de esa autoridad sobre el alcance de la apreciación efectuada por la autoridad de control o, en su caso, informando a la autoridad nacional de defensa de la competencia de si tiene previsto activar el procedimiento de cooperación con las demás autoridades de control interesadas o con la autoridad de control principal, de conformidad con los artículos 60 y siguientes del RGPD, con el fin de adoptar una decisión para declarar la conformidad o la falta de conformidad de la actividad en cuestión con dicho Reglamento.

59 En caso de que la autoridad de control requerida no dé una respuesta en un plazo razonable, la autoridad nacional de defensa de la competencia podrá proseguir su propia investigación. Lo mismo podrá hacer cuando ni la autoridad nacional de control competente ni la autoridad de control principal formulen objeciones a que tal investigación prosiga, sin esperar a la adopción de una decisión por parte de estas.

60 En el presente asunto, de los autos que obran ante el Tribunal de Justicia se desprende que, durante los meses de octubre y noviembre de 2018, es decir, antes de la adopción de la resolución de 6 de febrero de 2019, la Autoridad Federal de Defensa de la Competencia se puso en contacto con el Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (Comisario Federal de Protección de Datos y Libertad de Información, Alemania), con el Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (Comisario de Protección de Datos y Libertad de Información de Hamburgo, Alemania), competente en lo que atañe a Facebook Deutschland, y con la Data Protection Commission (DPC) (Autoridad de Protección de Datos, Irlanda), para informar a dichas autoridades de su intervención. Resulta, además, que la Autoridad Federal de Defensa de la Competencia obtuvo la confirmación de que dichas autoridades no estaban llevando a cabo ninguna investigación sobre hechos similares a los del litigio principal, y tales autoridades no formularon objeción alguna respecto a la intervención de la Autoridad Federal de Defensa de la Competencia. Por último, en los apartados 555 y 556 de su resolución de 6 de febrero de 2019, la Autoridad Federal de Defensa de la Competencia hizo referencia expresa a esta cooperación.

61 En estas circunstancias, sin perjuicio de las comprobaciones que corresponde efectuar al órgano jurisdiccional remitente, la Autoridad Federal de Defensa de la Competencia parece haber cumplido sus obligaciones de cooperación leal con las autoridades de control nacionales interesadas y con la autoridad de control principal.

62 Teniendo en cuenta lo anterior, procede responder a las cuestiones prejudiciales primera y séptima que los artículos 51 y siguientes del RGPD y el artículo 4 TUE, apartado 3, deben interpretarse en el sentido de que, sin perjuicio del cumplimiento de su obligación de cooperación leal con las autoridades de control, una autoridad de defensa de la competencia de un Estado miembro puede concluir, en el marco del examen de un abuso de posición dominante por parte de una empresa, con arreglo al artículo 102 TFUE, que las condiciones generales del servicio de dicha empresa relativas al tratamiento de los datos personales y la aplicación de esas condiciones no son conformes con el citado Reglamento, cuando esa conclusión sea necesaria para declarar la existencia de tal abuso.

63 A la vista de esta obligación de cooperación leal, la autoridad nacional de defensa de competencia no puede apartarse de una decisión de la autoridad nacional de control competente o de la autoridad de control principal competente relativa a esas condiciones generales o a condiciones generales similares. Cuando albergue dudas sobre el alcance de tal decisión, o cuando esas condiciones o condiciones similares sean, al mismo tiempo, objeto de examen por parte de las citadas autoridades, o incluso cuando considere, en ausencia de investigación o de decisión de dichas autoridades, que las condiciones en cuestión no son conformes con el RGPD, la autoridad de defensa de la competencia debe consultar a esas mismas autoridades de control y solicitar la cooperación de estas para disipar sus dudas o para determinar si, antes de iniciar su propia apreciación, no procede esperar a la adopción de una decisión por parte de estas. Si no plantean objeciones ni responden en un plazo razonable, la autoridad nacional de defensa de la competencia puede proseguir su propia investigación.

Segunda cuestión prejudicial

64 Mediante su segunda cuestión prejudicial, letra a), el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 9, apartado 1, del RGPD debe interpretarse en el sentido de que, en el supuesto de que un usuario de una red social en línea consulte sitios de Internet o aplicaciones relacionadas con una o con varias de las categorías contempladas en dicha disposición y, en su caso, introduzca en ellos datos registrándose o efectuando pedidos en línea, el tratamiento de datos personales por parte del operador de esa red social en línea, consistente en la recogida, mediante interfaces integradas, cookies o tecnologías de almacenamiento similares, de los datos procedentes de la consulta de esos sitios y aplicaciones, así como de los datos introducidos por el usuario, en la puesta en relación del conjunto de esos datos con la cuenta de la red social de este y en la utilización de dichos datos por ese operador, debe considerarse un “tratamiento de categorías especiales de datos personales”, en el sentido de la citada disposición, que, en principio, está prohibido, sin perjuicio de las excepciones previstas en el citado artículo 9, apartado 2.

65 En caso de respuesta afirmativa, el órgano jurisdiccional remitente pregunta, en esencia, mediante su segunda cuestión prejudicial, letra b), si el artículo 9, apartado 2, letra e), del RGPD debe interpretarse en el sentido de que, cuando un usuario de una red social en línea consulta sitios de Internet o aplicaciones que guardan relación con las categorías enunciadas en el artículo 9, apartado 1, del RGPD, introduce datos en esos sitios o aplicaciones o activa botones de selección integrados en ellos, como son los botones “me gusta” o “compartir” o los botones que permiten al usuario identificarse en esos sitios o aplicaciones utilizando los identificadores de conexión vinculados a su cuenta de usuario de la red social en línea, su número de teléfono o su dirección de correo electrónico, se considera que ha hecho manifiestamente públicos, en el sentido de la primera de esas disposiciones, los datos recogidos en esa ocasión por el operador de dicha red social en línea a través de cookies o de tecnologías de almacenamiento similares.

Sobre la segunda cuestión prejudicial, letra a)

66 El considerando 51 del RGPD enuncia que los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales merecen una protección específica, ya que el contexto de su tratamiento podría entrañar importantes riesgos para esos derechos y esas libertades. Este considerando precisa que tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en dicho Reglamento.

67 En este contexto, el artículo 9, apartado 1, del RGPD establece el principio de prohibición del tratamiento de las categorías especiales de datos personales que menciona. Se trata, en particular, de datos que revelan el origen étnico o racial, las opiniones políticas o las convicciones religiosas, o de datos relativos a la salud, la vida sexual o la orientación sexual de una persona física.

68 A efectos de la aplicación del artículo 9, apartado 1, del RGPD es preciso comprobar, en el caso de un tratamiento de datos personales efectuado por el operador de una red social en línea, si esos datos permiten revelar información comprendida en alguna de las categorías contempladas en dicha disposición, ya se refiera esa información a un usuario de esa red o a cualquier otra persona física. En caso afirmativo, tal tratamiento de datos personales está prohibido, sin perjuicio de las excepciones previstas en el artículo 9, apartado 2, del RGPD.

69 Como ha señalado, en esencia, el Abogado General en los puntos 40 y 41 de sus conclusiones, esta prohibición de principio, establecida en el artículo 9, apartado 1, del RGPD, es independiente de que la información revelada por el tratamiento en cuestión sea o no exacta y de que el responsable del tratamiento actúe con el fin de obtener información comprendida en alguna de las categorías especiales contempladas en dicha disposición.

70 En efecto, teniendo en cuenta los riesgos significativos para las libertades fundamentales y los derechos fundamentales de los interesados, generados por cualquier tratamiento de datos personales comprendidos en las categorías contempladas en el artículo 9, apartado 1, del RGPD, este último tiene por objeto prohibir dichos tratamientos, con independencia de la finalidad que expresen.

71 En el caso de autos, el tratamiento controvertido en el litigio principal y efectuado por Meta Platforms Ireland consiste, primero, en la recogida de datos personales de los usuarios de la red social Facebook cuando estos consultan sitios de Internet o aplicaciones -incluidos aquellos que pueden revelar información comprendida en una o en varias de las categorías contempladas en el artículo 9, apartado 1, del RGPD- y, en su caso, introducen en ellos información registrándose o efectuando pedidos en línea, después, en la puesta en relación de esos datos con la cuenta de la red social de tales usuarios y, por último, en la utilización de dichos datos.

72 A este respecto, corresponderá al órgano jurisdiccional remitente determinar si los datos así recogidos, por sí solos o mediante su puesta en relación con las cuentas de Facebook de los usuarios afectados, permiten efectivamente revelar tal información, ya se refiera esta a un usuario de dicha red o a cualquier otra persona física. No obstante, teniendo en cuenta las dudas de ese órgano jurisdiccional, ha de precisarse que, sin perjuicio de las comprobaciones que este deba efectuar, parece que el tratamiento de los datos relativos a la consulta de los sitios de Internet o de las aplicaciones en cuestión puede, en determinados casos, revelar tal información, sin que sea necesario que dichos usuarios introduzcan en ellos información registrándose o efectuando pedidos en línea.

73 Habida cuenta de lo anterior, procede responder a la segunda cuestión prejudicial, letra a), que el artículo 9, apartado 1, del RGPD debe interpretarse en el sentido de que, en el supuesto de que un usuario de una red social en línea consulte sitios de Internet o aplicaciones en relación con una o con varias de las categorías contempladas en dicha disposición y, en su caso, introduzca datos en ellos registrándose o efectuando pedidos en línea, el tratamiento de datos personales por parte del operador de esa red social en línea, consistente en la recogida, mediante interfaces integradas, cookies o tecnologías de almacenamiento similares, de los datos resultantes de la consulta de esos sitios y aplicaciones, así como de los datos introducidos por el usuario, en la puesta en relación del conjunto de esos datos con la cuenta de la red social de este y en la utilización de dichos datos por el operador, debe considerarse como un “tratamiento de categorías especiales de datos personales”, con arreglo a la citada disposición, que, en principio, está prohibido, sin perjuicio de las excepciones previstas en ese artículo 9, apartado 2, cuando dicho tratamiento de datos permita revelar información comprendida en alguna de esas categorías, con independencia de que tal información afecte a un usuario de esa red o a cualquier otra persona física.

Sobre la segunda cuestión prejudicial, letra b)

74 En lo que atañe a la segunda cuestión prejudicial, letra b), según ha sido reformulada en el apartado 65 de la presente sentencia y relativa a la excepción prevista en el artículo 9, apartado 2, letra e), del RGPD, procede recordar que, en virtud de esta disposición, la prohibición de principio de todo tratamiento relativo a categorías especiales de datos personales, establecida en dicho artículo 9, apartado 1, no se aplica en el supuesto de que el tratamiento se refiera a datos personales que “el interesado ha hecho manifiestamente públicos”.

75 Con carácter preliminar, procede señalar que, por una parte, esta excepción se aplica únicamente a los datos que “el interesado” haya hecho manifiestamente públicos. Por lo tanto, no es aplicable a los datos relativos a personas distintas de aquella que los hizo públicos.

76 Por otra parte, en la medida en que establece una excepción al principio de prohibición del tratamiento de categorías especiales de datos personales, el artículo 9, apartado 2, del RGPD debe interpretarse de manera restrictiva (véanse, en este sentido, las sentencias de 17 de septiembre de 2014, Baltic Agro, C-3/13, EU:C:2014:2227, apartado 24 y jurisprudencia citada, y de 6 de junio de 2019, Weil, C-361/18, EU:C:2019:473, apartado 43 y jurisprudencia citada).

77 De ello se deduce que, a efectos de la aplicación de la excepción prevista en el artículo 9, apartado 2, letra e), del RGPD, es preciso comprobar si el interesado ha pretendido, de manera explícita y mediante un acto positivo claro, hacer accesibles al público en general los datos personales en cuestión.

78 A este respecto, en lo que atañe, por un lado, a la consulta de sitios de Internet o de aplicaciones en relación con una o con varias de las categorías contempladas en el artículo 9, apartado 1, del RGPD, ha de señalarse que, mediante tal consulta, el usuario interesado no pretende en modo alguno hacer público el hecho de que ha consultado esos sitios o esas aplicaciones ni los datos relativos a esa consulta que puedan vincularse a su persona. En efecto, ese usuario puede, a lo sumo, esperar que el administrador del sitio o de la aplicación tenga acceso a esos datos y los comparta, en su caso y con el consentimiento expreso dado por dicho usuario, con determinados terceros y no con el público en general.

79 De este modo, de la mera consulta de tales sitios de Internet o de tales aplicaciones por parte de un usuario no puede deducirse que ese usuario haya hecho manifiestamente públicos dichos datos personales, en el sentido del artículo 9, apartado 2, letra e), del RGPD.

80 Por otro lado, por lo que respecta a las actividades consistentes en introducir datos en esos sitios de Internet o en esas aplicaciones y en activar botones de selección integrados en ellos, como son los botones “me gusta” o “compartir” o los botones que permiten al usuario identificarse en un sitio de Internet o en una aplicación utilizando los identificadores de conexión vinculados a su cuenta de usuario de Facebook, su número de teléfono o su dirección de correo electrónico, procede señalar que estas actividades implican una interacción entre ese usuario y el sitio de Internet o la aplicación en cuestión y, en su caso, el sitio de Internet de la red social en línea, interacción cuyas formas de publicación pueden variar, en la medida en que pueden ser objeto de una configuración individual por parte de dicho usuario.

81 En estas circunstancias, incumbe al órgano jurisdiccional remitente comprobar si los usuarios interesados tienen la posibilidad de decidir, sobre la base de una configuración efectuada con conocimiento de causa, que los datos introducidos en los sitios de Internet o en las aplicaciones en cuestión y los datos resultantes de la activación de los botones de selección integrados en ellos resulten accesibles al público en general o, por el contrario, a un número más o menos limitado de personas seleccionadas.

82 Cuando los usuarios interesados tienen efectivamente tal opción, solo puede considerarse que esos usuarios hacen manifiestamente públicos datos que les conciernen, en el sentido del artículo 9, apartado 2, letra e), del RGPD, en caso de que, cuando introducen datos voluntariamente en un sitio de Internet o en una aplicación o activan botones de selección integrados en ellos, hayan expresado claramente, sobre la base de una configuración individual efectuada con pleno conocimiento de causa, su decisión de que tales datos resulten accesibles a un número ilimitado de personas, extremo que corresponde comprobar al órgano jurisdiccional remitente.

83 En cambio, si no se ofrece tal configuración individual, procede considerar, habida cuenta de lo expuesto en el apartado 77 de la presente sentencia, que para poder concluir que, cuando los usuarios introducen voluntariamente datos en un sitio de Internet o en una aplicación o activan botones de selección integrados en ellos, han hecho públicos manifiestamente esos datos, tales usuarios deben haber consentido explícitamente, sobre la base de una información expresa facilitada por ese sitio o esa aplicación antes de tal introducción o activación, que dichos datos puedan ser visualizados por cualquier persona que tenga acceso al citado sitio o a la referida aplicación.

84 Teniendo en cuenta lo anterior, procede responder a la segunda cuestión prejudicial, letra b), que el artículo 9, apartado 2, letra e), del RGPD debe interpretarse en el sentido de que, cuando un usuario de una red social en línea consulta sitios de Internet o aplicaciones en relación con una o con varias de las categorías contempladas en el artículo 9, apartado 1, de este Reglamento, no hace manifiestamente públicos, con arreglo a la primera de esas disposiciones, los datos relativos a dicha consulta recogidos por el operador de esa red social en línea a través de cookies o de tecnologías de almacenamiento similares.

85 Cuando ese usuario introduce datos en tales sitios de Internet o en tales aplicaciones o cuando activa botones de selección integrados en esos sitios y en esas aplicaciones, como son los botones “me gusta” o “compartir” o los botones que permiten al usuario identificarse en esos sitios o aplicaciones utilizando los identificadores de conexión vinculados a su cuenta de usuario de la red social, su número de teléfono o su dirección de correo electrónico, tal usuario solo hace manifiestamente públicos, en el sentido de dicho artículo 9, apartado 2, letra e), los datos así introducidos o resultantes de la activación de esos botones en el supuesto de que haya manifestado explícitamente su opción previa, en su caso sobre la base de una configuración individual efectuada con pleno conocimiento de causa, de que los datos que le conciernen resulten accesibles públicamente a un número ilimitado de personas.

Cuestiones prejudiciales tercera a quinta

86 Mediante sus cuestiones prejudiciales tercera y cuarta, que procede examinar conjuntamente, el órgano jurisdiccional remitente desea saber, en esencia, si, y en qué condiciones, el artículo 6, apartado 1, párrafo primero, letras b) y f), del RGPD debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de dichos usuarios y en la utilización de tales datos, puede considerarse necesario para la ejecución de un contrato en el que los interesados sean partes, en el sentido de la letra b), o para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, en el sentido de la letra f). Ese órgano jurisdiccional se pregunta, en particular, si, a tal objeto, determinados intereses que cita expresamente constituyen un “interés legítimo”, con arreglo a esta última disposición.

87 Mediante su quinta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 6, apartado 1, párrafo primero, letras c) a e), del RGPD debe interpretarse en el sentido de que tal tratamiento de datos personales puede considerarse necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, en el sentido de la letra c), para proteger intereses vitales del interesado o de otra persona física, en el sentido de la letra d), o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, en el sentido de la letra e), cuando dicho tratamiento se efectúe, respectivamente, para responder a una solicitud jurídicamente válida de proporcionar determinados datos, para combatir un comportamiento nocivo y mejorar la seguridad y para investigar por el bien de la sociedad y en aras de la protección, la integridad y la seguridad.

Observaciones preliminares

88 Con carácter preliminar, procede señalar, en primer término, que las cuestiones prejudiciales tercera a quinta se suscitan por razón de que, según las apreciaciones de la Autoridad Federal de Defensa de la Competencia en su resolución de 6 de febrero de 2019, no puede considerarse que los usuarios de la red social Facebook hayan dado su consentimiento al tratamiento de sus datos personales controvertido en el litigio principal, en el sentido de los artículos 6, apartado 1, párrafo primero, letra a), y 9, apartado 2, letra a), del RGPD. Tal es, por lo tanto, el contexto en el que el órgano jurisdiccional remitente, a la vez que pregunta por esta premisa al Tribunal de Justicia mediante su sexta cuestión prejudicial, considera que debe comprobar si dicho tratamiento responde a alguno de los demás requisitos de licitud contemplados en ese artículo 6, apartado 1, párrafo primero, letras b) a f), de ese Reglamento.

89 En este contexto, procede señalar que las operaciones de recogida, puesta en relación y utilización de los datos, a las que se refieren las cuestiones prejudiciales tercera a quinta, pueden englobar tanto datos sensibles en el sentido del artículo 9, apartado 1, del RGPD como datos no sensibles. Pues bien, ha de precisarse que, en el supuesto de que un conjunto de datos que contiene a la vez datos sensibles y datos no sensibles sea objeto de tales operaciones y se recoja en bloque, sin que unos datos puedan disociarse de otros en el momento de esa recogida, el tratamiento de ese conjunto de datos debe considerarse prohibido, en el sentido del artículo 9, apartado 1, del RGPD, cuando incluya al menos un dato sensible sin que sea aplicable ninguna de las excepciones previstas en el artículo 9, apartado 2, del citado Reglamento.

90 En segundo término, para responder a las cuestiones prejudiciales tercera a quinta, es preciso recordar que el artículo 6, apartado 1, párrafo primero del RGPD prevé una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito. Así pues, para poder ser considerado legítimo, el tratamiento de datos personales debe estar comprendido en alguno de los casos contemplados en esa disposición [sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C-439/19, EU:C:2021:504, apartado 99 y jurisprudencia citada].

91 A tenor del artículo 6, apartado 1, párrafo primero, letra a), de dicho Reglamento, el tratamiento de datos personales solo será lícito si el interesado dio su consentimiento para uno o varios fines específicos.

92 A falta de tal consentimiento, o cuando este no se haya prestado de forma libre, específica, informada e inequívoca, en el sentido del artículo 4, punto 11, del RGPD, tal tratamiento está, no obstante, justificado cuando cumple alguno de los requisitos de necesidad mencionados en el artículo 6, apartado 1, párrafo primero, letras b) a f), del citado Reglamento.

93 En este contexto, las justificaciones previstas en esta última disposición, en la medida en que permiten que un tratamiento de datos personales realizado sin el consentimiento del interesado sea lícito, deben ser objeto de una interpretación restrictiva [véase, en este sentido la sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C-175/20, EU:C:2022:124, apartado 73 y jurisprudencia citada].

94 Además, como ha declarado el Tribunal de Justicia, cuando un tratamiento de datos personales pueda considerarse necesario a la vista de alguna de las justificaciones previstas en el artículo 6, apartado 1, párrafo primero, letras b) a f), del RGPD, no es preciso determinar si también está comprendido en otra de esas justificaciones (véase, en este sentido, la sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, apartado 71).

95 Cabe precisar por último que, de conformidad con el artículo 5 del RGPD, incumbe al responsable del tratamiento la carga de la prueba de que dichos datos se recogen con fines determinados, explícitos y legítimos y que son tratados de manera lícita, leal y transparente en relación con el interesado. Además, de conformidad con el artículo 13, apartado 1, letra c), de dicho Reglamento, cuando se obtengan de un interesado datos personales relativos a él, incumbe al responsable del tratamiento facilitarle los fines del tratamiento a que se destinan esos datos y la base jurídica del mismo.

96 Si bien corresponde al órgano jurisdiccional remitente determinar si los diferentes elementos del tratamiento controvertido en el litigio principal están justificados por alguna de las necesidades contempladas en el artículo 6, apartado 1, párrafo primero, letras b) a f), del RGPD, el Tribunal de Justicia puede proporcionarle indicaciones útiles para permitirle resolver el litigio del que conoce.

Sobre las cuestiones prejudiciales tercera y cuarta

97 En primer lugar, el artículo 6, apartado 1, párrafo primero, letra b), del RGPD establece que el tratamiento de datos personales es lícito si es “necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”.

98 A este respecto, para que un tratamiento de datos personales se considere necesario para la ejecución de un contrato, en el sentido de esa disposición, debe ser objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual destinada al interesado. Así pues, el responsable del tratamiento debe poder demostrar por qué el objeto principal del contrato no podría alcanzarse sin el tratamiento en cuestión.

99 El hecho de que tal tratamiento se mencione en el contrato o de que únicamente sea útil para la ejecución de este carece, en sí mismo, de pertinencia a este respecto. El elemento determinante a efectos de la aplicación de la justificación prevista en el artículo 6, apartado 1, párrafo primero, letra b), del RGPD es que el tratamiento de datos personales efectuado por el responsable del tratamiento sea esencial para permitir la correcta ejecución del contrato celebrado entre este y el interesado y, por lo tanto, que no existan otras soluciones practicables y menos intrusivas.

100 A este respecto, como ha señalado el Abogado General en el punto 54 de sus conclusiones, cuando el contrato conste de varios servicios o de varios elementos separados de un servicio que pueden ejecutarse de manera independiente entre sí, la aplicabilidad del artículo 6, apartado 1, párrafo primero, letra b), del RGPD debe evaluarse en el contexto de cada uno de esos servicios por separado.

101 En el caso de autos, en el marco de las justificaciones que pueden estar comprendidas en el ámbito de aplicación de esta disposición, el órgano jurisdiccional remitente hace referencia, como elementos destinados a garantizar la ejecución adecuada del contrato celebrado entre Meta Platforms Ireland y sus usuarios, a la personalización de los contenidos y al uso homogéneo y fluido de los servicios propios del grupo Meta.

102 Por lo que respecta, en primer término, a la justificación basada en la personalización de los contenidos, ha de señalarse que, si bien es cierto que tal personalización es útil para el usuario, en tanto en cuanto le permite, en particular, visualizar un contenido que responde en gran medida a sus intereses, no lo es menos, sin perjuicio de la comprobación que haya de efectuar el órgano jurisdiccional remitente, que la personalización de los contenidos no resulta necesaria para ofrecer a dicho usuario los servicios de la red social en línea. Estos servicios pueden prestársele, en su caso, en forma de una alternativa equivalente que no implique tal personalización, de modo que esta última no es objetivamente indispensable para una finalidad que forme parte integrante de los mismos servicios.

103 En lo que atañe, en segundo término, a la justificación basada en la utilización homogénea y fluida de los servicios propios del grupo Meta, de los autos que obran ante el Tribunal de Justicia se desprende que nadie está obligado a suscribir los diferentes servicios ofrecidos por el grupo Meta para poder crear una cuenta de usuario en la red social Facebook. En efecto, los diferentes productos y servicios ofrecidos por el grupo pueden utilizarse independientemente unos de otros y la utilización de cada producto o servicio se basa en la suscripción de un contrato de uso distinto.

104 Por lo tanto, y sin perjuicio de que el órgano jurisdiccional remitente compruebe este extremo, un tratamiento de datos personales procedentes de servicios distintos del servicio de la red social en línea ofrecidos por el grupo Meta no parece necesario para permitir la prestación de este último servicio.

105 En segundo lugar, el artículo 6, apartado 1, párrafo primero, letra f), del RGPD prevé que el tratamiento de datos personales será lícito si es “necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño”.

106 Como ya ha declarado el Tribunal de Justicia, esta disposición establece tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito, a saber, en primer lugar, que el responsable del tratamiento o el tercero persigan un interés legítimo; en segundo lugar, que el tratamiento de los datos personales sea necesario para la satisfacción de ese interés legítimo, y, en tercer lugar, que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado en la protección de los datos sobre el interés legítimo del responsable del tratamiento o de un tercero (sentencia de 17 de junio de 2021, M.I.C.M., C-597/19, EU:C:2021:492, apartado 106 y jurisprudencia citada).

107 Por lo que respecta, en primer término, al requisito relativo a la satisfacción de un interés legítimo, procede precisar que, de conformidad con el artículo 13, apartado 1, letra d), del RGPD, incumbe al responsable del tratamiento, en el momento en que se obtengan de un interesado los datos personales relativos a él, informarle de los intereses legítimos perseguidos cuando ese tratamiento se base en el artículo 6, apartado 1, párrafo primero, letra f), de dicho Reglamento.

108 En segundo término, el requisito relativo a la necesidad del tratamiento de datos personales para la satisfacción del interés legítimo perseguido exige que el órgano jurisdiccional remitente compruebe que el interés legítimo perseguido con el tratamiento de los datos no puede alcanzarse razonablemente de manera tan eficaz por otros medios menos atentatorios respecto de las libertades y los derechos fundamentales de los interesados, en particular respecto de los derechos al respeto de la vida privada y de protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta [véase, en este sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C-439/19, EU:C:2021:504, apartados 110 y jurisprudencia citada].

109 En este contexto, procede recordar igualmente que el requisito relativo a la necesidad del tratamiento debe examinarse en relación con el llamado principio de “minimización de los datos”, consagrado en el artículo 5, apartado 1, letra c), del RGPD, conforme al cual los datos personales deben ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados” (véase, en ese sentido, la sentencia de 11 de diciembre de 2019, Asociația de Proprietari bloc M5A-ScaraA, C-708/18, EU:C:2019:1064, apartado 48).

110 En tercer término, por lo que respecta al requisito de que los intereses o las libertades y los derechos fundamentales del interesado en la protección de los datos no prevalezcan sobre el interés legítimo del responsable del tratamiento o de un tercero, el Tribunal de Justicia ya ha declarado que dicho requisito implica ponderación de los derechos e intereses en conflicto, que dependerá, en principio, de las circunstancias concretas del caso particular y que, en consecuencia, corresponde al órgano jurisdiccional remitente efectuar esa ponderación teniendo en cuenta estas circunstancias particulares (sentencia de 17 de junio de 2021, M.I.C.M., C-597/19, EU:C:2021:492, apartado 111 y jurisprudencia citada).

111 A este respecto, del propio tenor del artículo 6, apartado 1, párrafo primero, letra f), del RGPD se desprende que, en el marco de tal ponderación, es necesario prestar especial atención a la situación en la que el interesado sea un niño. En efecto, de conformidad con el considerando 38 de dicho Reglamento, los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Así pues, tal protección particular debe aplicarse, entre otros, al tratamiento de datos personales relativos a niños con fines de marketing, de creación de perfiles de personalidad o de usuario o incluso de oferta de servicios orientada directamente a niños.

112 Además, como resulta del considerando 47 del RGPD, los intereses y los derechos fundamentales del interesado pueden, en particular, prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de datos personales en circunstancias en las que el interesado no espera razonablemente que se realice tal tratamiento.

113 En el caso de autos, entre las justificaciones que pueden estar comprendidas en el ámbito de aplicación del artículo 6, apartado 1, párrafo primero, letra f), del RGPD, el órgano jurisdiccional remitente hace referencia a la personalización de la publicidad, a la seguridad de la red, a la mejora del producto, a la información a las autoridades competentes para el ejercicio de acciones penales y para la ejecución de penas, al hecho de que el usuario sea un menor de edad, a la investigación y la innovación con fines sociales y a la oferta, destinada a los anunciantes y a otros socios profesionales, de servicios de comunicación comercial con el usuario y de herramientas de análisis que les permitan evaluar su rendimiento.

114 A este respecto, procede señalar, de entrada, que la petición de decisión prejudicial no contiene elementos de explicación que permitan comprender de qué modo la investigación y la innovación con fines sociales o el hecho de que el usuario sea un menor de edad pueden justificar, como intereses legítimos en el sentido del artículo 6, apartado 1, párrafo primero, letra f), del RGPD, la recogida y la explotación de los datos en cuestión. Por tanto, el Tribunal de Justicia no puede pronunciarse al respecto.

115 En lo que atañe, en primer término, a la personalización de la publicidad, ha de indicarse que, según el considerando 47 de dicho Reglamento, el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo del responsable del tratamiento.

116 Sin embargo, tal tratamiento tiene además que ser necesario para la satisfacción de ese interés, sin que los intereses o las libertades y los derechos fundamentales del interesado puedan prevalecer sobre dicho interés. En esta ponderación de los derechos e intereses en conflicto de que se trata, a saber, los del responsable del tratamiento, por una parte, y los del interesado, por otra, es preciso tener en cuenta, tal como se ha señalado en el apartado 112 de la presente sentencia, en particular, las expectativas razonables del interesado, así como el alcance del tratamiento en cuestión y el impacto de este sobre ese interesado.

117 A este respecto, cabe señalar que, pese a la gratuidad de los servicios de una red social en línea como Facebook, el usuario de esta no debería esperar razonablemente que, sin su consentimiento, el operador de esa red social trate los datos personales de ese usuario con fines de personalización de la publicidad. En estas circunstancias, debe considerarse que los intereses y los derechos fundamentales de tal usuario prevalecen sobre el interés de dicho operador en tal personalización de la publicidad, mediante la que él financia su actividad, de modo que el tratamiento efectuado por este para tales fines no puede estar comprendido en el ámbito de aplicación del artículo 6, apartado 1, párrafo primero, letra f), del RGPD.

118 Por otra parte, el tratamiento controvertido en el litigio principal tiene un alcance particularmente amplio, ya que versa sobre datos potencialmente ilimitados y tiene gran impacto en el usuario, cuyas actividades en línea están, en gran parte o incluso en su práctica totalidad, bajo el control de Meta Platforms Ireland, lo que puede suscitar en él la sensación de una vigilancia continua de su vida privada.

119 En segundo término, el objetivo de garantizar la seguridad de la red constituye, como indica el considerando 49 del RGPD, un interés legítimo de Meta Platforms Ireland que puede justificar el tratamiento controvertido en el litigio principal.

120 No obstante, por lo que respecta a la necesidad de este tratamiento para la satisfacción de ese interés legítimo, el órgano jurisdiccional remitente deberá comprobar si, y en qué medida, el tratamiento de datos personales recogidos a partir de fuentes externas a la red social Facebook resulta efectivamente necesario para garantizar que no se pone en riesgo la seguridad interna de esa red.

121 En este contexto, como se ha señalado en los apartados 108 y 109 de la presente sentencia, dicho órgano jurisdiccional también deberá comprobar, por un lado, si el interés legítimo perseguido con el tratamiento de datos no puede alcanzarse razonablemente de manera tan eficaz por otros medios menos atentatorios respecto de las libertades y los derechos fundamentales de los interesados, en particular respecto de los derechos al respeto de la vida privada y de protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta y, por otro lado, si se respeta el principio denominado de “minimización de datos”, consagrado en el artículo 5, apartado 1, letra c), del RGPD.

122 En tercer término, en lo que atañe al objetivo de mejora del producto, no cabe excluir a priori que el interés del responsable del tratamiento en mejorar su producto o servicio para hacerlo más eficaz y, de este modo, más atractivo pueda constituir un interés legítimo que permita justificar un tratamiento de datos personales ni que tal tratamiento pueda ser necesario para la satisfacción de ese interés.

123 No obstante, sin perjuicio de la apreciación final que debe efectuar a este respecto el órgano jurisdiccional remitente, parece dudoso, en lo relativo al tratamiento de datos controvertido en el litigio principal y teniendo en cuenta el alcance de dicho tratamiento y su gran impacto en el usuario, así como el hecho de que este último no puede esperar razonablemente que esos datos sean tratados por Meta Platforms Ireland, que el objetivo de mejorar el producto pueda prevalecer sobre los intereses y los derechos fundamentales de dicho usuario, más aún en el supuesto de que este sea un niño.

124 En cuarto término, procede señalar que el objetivo mencionado por el órgano jurisdiccional remitente, relativo a la información a las autoridades competentes para el ejercicio de acciones penales y para la ejecución de penas dirigidas a evitar, a descubrir y a perseguir infracciones, no puede, en principio, constituir un interés legítimo perseguido por el responsable del tratamiento, en el sentido del artículo 6, apartado 1, párrafo primero, letra f), del RGPD. En efecto, un operador privado como Meta Platforms Ireland no puede invocar tal interés legítimo, ajeno a su actividad económica y comercial. En cambio, dicho objetivo puede justificar el tratamiento dispensado por tal operador cuando sea objetivamente necesario para el cumplimiento de una obligación legal a la que este está sujeto.

125 A la vista de todo lo anterior, procede responder a las cuestiones prejudiciales tercera y cuarta que el artículo 6, apartado 1, párrafo primero, letra b), del RGPD debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, solo puede considerarse necesario para la ejecución de un contrato en el que los interesados son partes, con arreglo a esta disposición, si dicho tratamiento es objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual destinada a esos mismos usuarios, de manera que el objeto principal del contrato no podría alcanzarse sin ese tratamiento.

126 El artículo 6, apartado 1, párrafo primero, letra f), del RGPD debe interpretarse en el sentido de que tal tratamiento solo puede considerarse necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, con arreglo a esa disposición, si dicho operador ha indicado a los usuarios de los que se han obtenido los datos un interés legítimo perseguido por el tratamiento de estos, si el referido tratamiento se lleva a cabo dentro de los límites de lo estrictamente necesario para la satisfacción de ese interés legítimo y si de una ponderación de los intereses en conflicto se desprende, habida cuenta de todas las circunstancias pertinentes, que los intereses o las libertades y los derechos fundamentales de esos usuarios no prevalecen sobre el citado interés legítimo del responsable del tratamiento o de un tercero.

Sobre la quinta cuestión prejudicial

127 En primer lugar, en la medida en que esta cuestión prejudicial tiene por objeto el artículo 6, apartado 1, párrafo primero, letras c) y e), del RGPD, procede recordar que, en virtud de dicha letra c), un tratamiento de datos personales es lícito si es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Además, según esa letra e), también es lícito el tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

128 El artículo 6, apartado 3, del RGPD precisa, en relación con esas dos hipótesis de licitud, que el tratamiento debe basarse en el Derecho de la Unión o en el Derecho de los Estados miembros que se aplique al responsable del tratamiento y que esa base jurídica debe cumplir un objetivo de interés público y ser proporcional al fin legítimo perseguido.

129 En el caso de autos, el órgano jurisdiccional remitente desea saber si un tratamiento de datos personales como el controvertido en el litigio principal puede considerarse justificado a la luz del artículo 6, apartado 1, párrafo primero, letra c), del RGPD, cuando tiene por objeto “responder a una petición lícita de determinados datos”, y, a la luz del artículo 6, apartado 1, párrafo primero, letra e), de dicho Reglamento, cuando tiene por objeto “investigar por el bien de la sociedad” y se lleva a cabo “en aras de la protección, la integridad y la seguridad”.

130 Sin embargo, cabe señalar que dicho órgano jurisdiccional no ha aportado al Tribunal de Justicia los elementos que le permitan pronunciarse concretamente a este respecto.

131 Por lo tanto, incumbirá al citado órgano jurisdiccional comprobar, a la luz de los requisitos enunciados en el apartado 128 de la presente sentencia, si dicho tratamiento puede considerarse justificado por los fines alegados.

132 En particular, habida cuenta de lo señalado en el apartado 124 de la presente sentencia, le corresponderá investigar, a efectos de la aplicación del artículo 6, apartado 1, párrafo primero, letra c), del RGPD, si Meta Platforms Ireland está sujeta a una obligación legal de recogida y conservación de datos personales de manera preventiva, con el fin de poder responder a cualquier petición de una autoridad nacional dirigida a obtener determinados datos relativos a sus usuarios.

133 Asimismo, corresponderá a ese órgano jurisdiccional apreciar, a la luz del artículo 6, apartado 1, párrafo primero, letra e), del RGPD, si se ha confiado a Meta Platforms Ireland una misión realizada en interés público o en el ejercicio de poderes públicos, en particular con el fin de garantizar la investigación del bien de la sociedad y en aras de la protección, la integridad y la seguridad, debiendo precisarse que, habida cuenta de la naturaleza y del carácter esencialmente económico y comercial de su actividad, parece poco probable que a dicho operador privado se le haya confiado tal misión.

134 Además, el órgano jurisdiccional remitente deberá, en su caso, comprobar si, habida cuenta del alcance del tratamiento de datos efectuado por Meta Platforms Ireland y de su incidencia significativa en los usuarios de la red social Facebook, dicho tratamiento se lleva a cabo dentro de los límites de lo estrictamente necesario.

135 En segundo lugar, el artículo 6, apartado 1, párrafo primero, letra d), del RGPD establece que el tratamiento de datos personales será lícito cuando sea necesario para proteger intereses vitales del interesado o de otra persona física.

136 Como se desprende del considerando 46 del citado Reglamento, esta disposición contempla la situación particular en la que el tratamiento de datos personales es necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. A este respecto, dicho considerando cita en particular, como ejemplo, los fines humanitarios, como el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

137 De estos ejemplos y de la interpretación estricta que ha de aplicarse del artículo 6, apartado 1, párrafo primero, letra d), del RGPD se desprende que, a la vista de la naturaleza de los servicios prestados por el operador de una red social en línea, tal operador, cuya actividad reviste un carácter esencialmente económico y comercial, no puede invocar la protección de un interés esencial para la vida de sus usuarios o de otra persona para justificar, en términos absolutos y de manera puramente abstracta y preventiva, la licitud de un tratamiento de datos como el controvertido en el litigio principal.

138 A la vista de lo anterior, procede responder a la quinta cuestión prejudicial que el artículo 6, apartado 1, párrafo primero, letra c), del RGPD debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de aplicaciones de terceros, en la puesta en relación de estos datos con la cuenta de la red social de los citados usuarios y en la utilización de dichos datos, está justificado, con arreglo a esta disposición, cuando sea efectivamente necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, en virtud de una disposición del Derecho de la Unión o del Derecho del Estado miembro de que se trate, dicha base jurídica responda a un objetivo de interés público y sea proporcionada al objetivo legítimo perseguido y ese tratamiento se lleve a cabo sin sobrepasar los límites de lo estrictamente necesario.

139 El artículo 6, apartado 1, párrafo primero, letras d) y e), del RGPD debe interpretarse en el sentido de que tal tratamiento de datos personales no puede, en principio y sin perjuicio de la comprobación que haya de efectuar el órgano jurisdiccional remitente, considerarse necesario para proteger intereses vitales del interesado o de otra persona física, con arreglo a la letra d), o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, conforme a la letra e).

Sexta cuestión prejudicial

140 Mediante su sexta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 6, apartado 1, párrafo primero, letra a), y 9, apartado 2, letra a), del RGPD deben interpretarse en el sentido de que puede considerarse que el consentimiento dado por el usuario de una red social en línea al operador de tal red cumple los requisitos de validez establecidos en el artículo 4, punto 11, de dicho Reglamento, en particular el requisito de que dicho consentimiento debe prestarse libremente, cuando el citado operador ocupa una posición dominante en el mercado de las redes sociales en línea.

141 Los artículos 6, apartado 1, párrafo primero, letra a), y 9, apartado 2, letra a), del RGPD exigen el consentimiento del interesado a efectos del tratamiento, respectivamente, de sus datos personales para uno o varios de los fines específicos, y de las categorías especiales de datos a que se refiere dicho artículo 9, apartado 1.

142 Por su parte, el artículo 4, punto 11, del RGPD define el concepto de “consentimiento del interesado” como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

143 A la vista de las dudas del órgano jurisdiccional remitente, es preciso recordar en primer lugar que, de conformidad con el considerando 42 del RGPD, el consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

144 En segundo lugar, el considerando 43 del citado Reglamento enuncia que, para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal cuando exista un desequilibro claro entre el interesado y el responsable del tratamiento. Dicho considerando también precisa que se presume que el consentimiento no se ha dado libremente cuando no permite autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto.

145 En tercer lugar, el artículo 7, apartado 4, del RGPD establece que, al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

146 La sexta cuestión prejudicial debe ser respondida sobre la base de estas consideraciones.

147 A este respecto, es preciso señalar que, ciertamente, el hecho de que el operador de una red social en línea, como responsable del tratamiento, ocupe una posición dominante en el mercado de las redes sociales no impide, como tal, que los usuarios de esa red social puedan válidamente prestar su consentimiento, en el sentido del artículo 4, punto 11, del RGPD, al tratamiento de sus datos personales efectuado por dicho operador.

148 No es menos cierto que, como ha señalado, en esencia, el Abogado General en el punto 75 de sus conclusiones, tal circunstancia debe tenerse en cuenta en la apreciación del carácter válido y, en particular, libre del consentimiento dado por el usuario de dicha red, ya que puede afectar a la libertad de elección de ese usuario, que podría no estar en condiciones de denegar o retirar su consentimiento sin sufrir un perjuicio, como indica el considerando 42 del RGPD.

149 Además, la existencia de tal posición dominante puede crear un desequilibrio manifiesto, en el sentido del considerando 43 del RGPD, entre el interesado y el responsable del tratamiento, desequilibrio que favorece, en particular, la imposición de condiciones que no son estrictamente necesarias para la ejecución del contrato, lo que debe tenerse en cuenta de conformidad con el artículo 7, apartado 4, de dicho Reglamento. En este contexto, procede recordar que, como se ha señalado en los apartados 102 a 104 de la presente sentencia, no parece, sin perjuicio de las comprobaciones que deba efectuar el órgano jurisdiccional remitente, que el tratamiento controvertido en el litigio principal sea estrictamente necesario para la ejecución del contrato entre Meta Platforms Ireland y los usuarios de la red social Facebook.

150 Así pues, en el marco del proceso contractual, esos usuarios deben disponer de la libertad de negarse individualmente a prestar su consentimiento a operaciones particulares de tratamiento de datos que no sean necesarias para la ejecución del contrato, sin verse por ello obligados a renunciar íntegramente a la utilización del servicio ofrecido por el operador de la red social en línea, lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente no acompañada de tales operaciones de tratamiento de datos.

151 Además, habida cuenta del alcance del tratamiento de los datos en cuestión y del gran impacto de este en los usuarios de esa red, así como de la circunstancia de que esos usuarios no pueden esperar razonablemente que datos distintos de los relativos a su comportamiento dentro de la red social sean tratados por el operador de esta, es adecuado, en el sentido de dicho considerando 43, que pueda darse un consentimiento separado para el tratamiento, por un lado, de estos últimos datos y, por otro, de los datos off Facebook. Corresponde al órgano jurisdiccional remitente comprobar la existencia de tal posibilidad, en ausencia de la cual debe presumirse que el consentimiento de esos usuarios al tratamiento de los datos off Facebook no se ha dado libremente.

152 Por último, es preciso recordar que, en virtud del artículo 7, apartado 1, del RGPD, cuando el tratamiento se base en el consentimiento, la carga de la prueba de que el interesado consintió en el tratamiento de sus datos personales recae en el responsable del tratamiento.

153 A la luz de estos criterios y de un examen detallado de todas las circunstancias del caso de autos, corresponde al órgano jurisdiccional remitente determinar si los usuarios de la red social Facebook prestaron válidamente y, en particular, libremente su consentimiento al tratamiento controvertido en el litigio principal.

154 Habida cuenta de lo anterior, procede responder a la sexta cuestión prejudicial que los artículos 6, apartado 1, párrafo primero, letra a), y 9, apartado 2, letra a), del RGPD deben interpretarse en el sentido de que el hecho de que el operador de una red social en línea ocupe una posición dominante en el mercado de las redes sociales en línea no impide, como tal, que los usuarios de tal red puedan prestar válidamente su consentimiento, con arreglo al artículo 4, punto 11, de dicho Reglamento, al tratamiento de sus datos personales efectuado por ese operador. No obstante, esta circunstancia constituye un elemento relevante para determinar si el consentimiento ha sido efectivamente prestado válidamente y, en particular, libremente, lo que incumbe probar a dicho operador.

Costas

155 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes en el litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:

1) Los artículos 51 y siguientes del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), así como el artículo 4 TUE, apartado 3,

deben interpretarse en el sentido de que,

sin perjuicio del cumplimiento de su obligación de cooperación leal con las autoridades de control, una autoridad de defensa de la competencia de un Estado miembro puede concluir, en el marco del examen de un abuso de posición dominante por parte de una empresa, con arreglo al artículo 102 TFUE, que las condiciones generales del servicio de dicha empresa relativas al tratamiento de los datos personales y la aplicación de esas condiciones no son conformes con el citado Reglamento, cuando esa conclusión sea necesaria para declarar la existencia de tal abuso.

A la vista de esta obligación de cooperación leal, la autoridad nacional de defensa de competencia no puede apartarse de una decisión de la autoridad nacional de control competente o de la autoridad de control principal competente relativa a esas condiciones generales o a condiciones generales similares. Cuando albergue dudas sobre el alcance de tal decisión, o cuando esas condiciones o condiciones similares sean, al mismo tiempo, objeto de examen por parte de las citadas autoridades, o incluso cuando considere, en ausencia de investigación o de decisión de dichas autoridades, que las condiciones en cuestión no son conformes con el Reglamento 2016/679, la autoridad de defensa de la competencia debe consultar a esas mismas autoridades de control y solicitar la cooperación de estas para disipar sus dudas o para determinar si, antes de iniciar su propia apreciación, no procede esperar a la adopción de una decisión por parte de estas. Si no plantean objeciones ni responden en un plazo razonable, la autoridad nacional de defensa de la competencia puede proseguir su propia investigación.

2) El artículo 9, apartado 1, del Reglamento 2016/679

debe interpretarse en el sentido de que,

en el supuesto de que un usuario de una red social en línea consulte sitios de Internet o aplicaciones en relación con una o con varias de las categorías contempladas en dicha disposición y, en su caso, introduzca datos en ellos registrándose o efectuando pedidos en línea, el tratamiento de datos personales por parte del operador de esa red social en línea, consistente en la recogida, mediante interfaces integradas, cookies o tecnologías de almacenamiento similares, de los datos resultantes de la consulta de esos sitios y aplicaciones, así como de los datos introducidos por el usuario, en la puesta en relación del conjunto de esos datos con la cuenta de la red social de este y en la utilización de dichos datos por el operador, debe considerarse como un “tratamiento de categorías especiales de datos personales”, con arreglo a la citada disposición, que, en principio, está prohibido, sin perjuicio de las excepciones previstas en ese artículo 9, apartado 2, cuando dicho tratamiento de datos permita revelar información comprendida en alguna de esas categorías, con independencia de que tal información afecte a un usuario de esa red o a cualquier otra persona física.

3) El artículo 9, apartado 2, letra e), del Reglamento 2016/679

debe interpretarse en el sentido de que,

cuando un usuario de una red social en línea consulta sitios de Internet o aplicaciones en relación con una o con varias de las categorías contempladas en el artículo 9, apartado 1, de este Reglamento, no hace manifiestamente públicos, con arreglo a la primera de esas disposiciones, los datos relativos a dicha consulta recogidos por el operador de esa red social en línea a través de cookies o de tecnologías de almacenamiento similares.

Cuando ese usuario introduce datos en tales sitios de Internet o en tales aplicaciones o cuando activa botones de selección integrados en esos sitios y en esas aplicaciones, como son los botones “me gusta” o “compartir” o los botones que permiten al usuario identificarse en esos sitios o aplicaciones utilizando los identificadores de conexión vinculados a su cuenta de usuario de la red social, su número de teléfono o su dirección de correo electrónico, tal usuario solo hace manifiestamente públicos, en el sentido de dicho artículo 9, apartado 2, letra e), los datos así introducidos o resultantes de la activación de esos botones en el supuesto de que haya manifestado explícitamente su opción previa, en su caso sobre la base de una configuración individual efectuada con pleno conocimiento de causa, de que los datos que le conciernen resulten accesibles públicamente a un número ilimitado de personas.

4) El artículo 6, apartado 1, párrafo primero, letra b), del Reglamento 2016/679

debe interpretarse en el sentido de que

el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, solo puede considerarse necesario para la ejecución de un contrato en el que los interesados son partes, con arreglo a esta disposición, si dicho tratamiento es objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual destinada a esos mismos usuarios, de manera que el objeto principal del contrato no podría alcanzarse sin ese tratamiento.

5) El artículo 6, apartado 1, párrafo primero, letra f), del Reglamento 2016/679

debe interpretarse en el sentido de que

el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, solo puede considerarse necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, con arreglo a esa disposición, si dicho operador ha indicado a los usuarios de los que se han obtenido los datos un interés legítimo perseguido por el tratamiento de estos, si el referido tratamiento se lleva a cabo dentro de los límites de lo estrictamente necesario para la satisfacción de ese interés legítimo y si de una ponderación de los intereses en conflicto se desprende, habida cuenta de todas las circunstancias pertinentes, que los intereses o las libertades y los derechos fundamentales de esos usuarios no prevalecen sobre el citado interés legítimo del responsable del tratamiento o de un tercero.

6) El artículo 6, apartado 1, párrafo primero, letra c), del Reglamento 2016/679

debe interpretarse en el sentido de que

el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, está justificado, con arreglo a esta disposición, cuando sea efectivamente necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, en virtud de una disposición del Derecho de la Unión o del Derecho del Estado miembro de que se trate, dicha base jurídica responda a un objetivo de interés público y sea proporcionada al objetivo legítimo perseguido y ese tratamiento se lleve a cabo sin sobrepasar los límites de lo estrictamente necesario.

7) El artículo 6, apartado 1, párrafo primero, letras d) y e), del Reglamento 2016/679

debe interpretarse en el sentido de que

el tratamiento de datos personales efectuado por un operador de una red social en línea, consistente en la recogida de datos de los usuarios de tal red procedentes de otros servicios del grupo al que pertenece dicho operador o de la consulta por esos usuarios de sitios de Internet o de otras aplicaciones de terceros, en la puesta en relación de esos datos con la cuenta de la red social de los referidos usuarios y en la utilización de los citados datos, no puede, en principio y sin perjuicio de la comprobación que haya de efectuar el órgano jurisdiccional remitente, considerarse necesario para proteger intereses vitales del interesado o de otra persona física, con arreglo a la letra d), o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, conforme a la letra e).

8) Los artículos 6, apartado 1, párrafo primero, letra a), y 9, apartado 2, letra a), del Reglamento 2016/679

deben interpretarse en el sentido de que

el hecho de que el operador de una red social en línea ocupe una posición dominante en el mercado de las redes sociales en línea no impide, como tal, que los usuarios de tal red puedan prestar válidamente su consentimiento, con arreglo al artículo 4, punto 11, de dicho Reglamento, al tratamiento de sus datos personales efectuado por ese operador. No obstante, esta circunstancia constituye un elemento relevante para determinar si el consentimiento ha sido efectivamente prestado válidamente y, en particular, libremente, lo que incumbe probar a dicho operador.

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

• Iustel no es responsable de los comentarios escritos por los usuarios.
• No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
• Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.