Logo de Iustel
Diario del Derecho. Edición de 07/11/2024
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 11/10/2024
 
 

Sentencia del Tribunal de Justicia en el asunto C-446/21 | Schrems (Comunicación de datos al público en general)

11/10/2024
Compartir: 

Una red social en línea como Facebook no puede utilizar, con el fin de proponer publicidad específica, todos los datos personales obtenidos, sin limitación temporal y sin distinción en función de la naturaleza de esos datos.

El hecho de que el Sr. Maximilian Schrems comunicase su orientación sexual durante una mesa redonda abierta al público no autoriza al operador de una plataforma de red social en línea a tratar otros datos relativos a su orientación sexual obtenidos, en su caso, fuera de dicha plataforma, con el fin de agregar y de analizar esos datos para proponerle publicidad personalizada El Sr. Maximilian Schrems impugna ante los órganos jurisdiccionales austriacos el tratamiento, ilícito a su parecer, de sus datos personales por parte de Meta Platforms Ireland en el marco de la red social en línea Facebook. Se trata, entre otros, de datos relativos a su orientación sexual.

Meta Platforms recoge los datos personales de los usuarios de Facebook, entre ellos el Sr. Schrems, que se refieren a las actividades de estos tanto en dicha red social como fuera de ella. Se trata, en particular, de datos relativos a la consulta de la plataforma en línea, así como de páginas de Internet y de aplicaciones de terceros. Para ello, Meta Platforms utiliza cookies, social plug-ins y píxeles de seguimiento insertados en las páginas de Internet de que se trata.

A la vista de los datos de que dispone, Meta Platforms también puede identificar el interés que el Sr. Schrems tiene en temas sensibles, como la orientación sexual, lo que permite dirigirle publicidad específica a este respecto. Por tanto, se plantea la cuestión de si el Sr. Schrems ha hecho manifiestamente públicos datos personales sensibles que le conciernen al haber comunicado en una mesa redonda abierta al público su condición de homosexual y, con ello, ha autorizado el tratamiento de esos datos con arreglo al Reglamento general de protección de datos (RGPD).

En este contexto, el Tribunal Supremo de lo Civil y Penal austriaco ha solicitado al Tribunal de Justicia que interprete el RGPD.

En primer lugar, el Tribunal de Justicia responde que el principio de “minimización de datos”, recogido en el RGPD, se opone a que todos los datos personales que un responsable del tratamiento, como el operador de una plataforma de red social en línea, haya obtenido del interesado o de terceros, y que hayan sido recogidos tanto en dicha plataforma como fuera de esta, se agreguen, se analicen y se traten a efectos de proponer publicidad específica, sin limitación temporal y sin distinción en función de la naturaleza de esos datos.

En segundo lugar, según el Tribunal de Justicia, no se excluye que, mediante su declaración durante la mesa redonda en cuestión, el Sr. Schrems haya hecho manifiestamente pública su orientación sexual.

Corresponde al Tribunal Supremo de lo Civil y Penal austriaco valorarlo.

La circunstancia de que un interesado haya hecho manifiestamente público un dato sobre su orientación sexual tiene como consecuencia que este dato pueda ser objeto de tratamiento, respetando las disposiciones del RGPD. No obstante, esta circunstancia no autoriza, por sí sola, el tratamiento de otros datos personales relativos a la orientación sexual de esta persona.

Así, el hecho de que una persona se haya manifestado sobre su orientación sexual en una mesa redonda abierta al público no autoriza al operador de una plataforma de red social en línea a tratar otros datos relativos a la orientación sexual de esa persona obtenidos, en su caso, fuera de dicha plataforma a partir de aplicaciones y de sitios de Internet de terceros asociados, con el fin de agregar y de analizar dichos datos para proponerle publicidad personalizada.

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Cuarta)

de 4 de octubre de 2024 (*)

“Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Reglamento (UE) 2016/679 - Redes sociales en línea - Condiciones generales del servicio relativas a los contratos celebrados entre una plataforma digital y un usuario - Publicidad personalizada - Artículo 5, apartado 1, letra b) - Principio de limitación de la finalidad - Artículo 5, apartado 1, letra c) - Principio de minimización de datos - Artículo 9, apartados 1 y 2 - Tratamiento de categorías especiales de datos personales - Datos relativos a la orientación sexual - Datos hechos públicos por el interesado”“

En el asunto C-446/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Oberster Gerichtshof (Tribunal Supremo de lo Civil y Penal, Austria), mediante resolución de 23 de junio de 2021, recibida en el Tribunal de Justicia el 20 de julio de 2021, en el procedimiento entre

Maximilian Schrems

y

Meta Platforms Ireland Ltd, anteriormente Facebook Ireland Ltd,

EL TRIBUNAL DE JUSTICIA (Sala Cuarta),

integrado por el Sr. C. Lycourgos, Presidente de Sala, y la Sra. O. Spineanu-Matei, los Sres. J.-C. Bonichot y S. Rodin y la Sra. L. S. Rossi (Ponente), Jueces;

Abogado General: Sr. A. Rantos;

Secretaria: Sra. N. Mundhenke, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 8 de febrero de 2024;

consideradas las observaciones presentadas:

- en nombre del Sr. Maximilian Schrems, por la Sra. K. Raabe-Stuppnig, Rechtsanwältin;

- en nombre de Meta Platforms Ireland Ltd, por la Sra. K.Hanschitz, el Sr. H.-G. Kamann, las Sras. S. Khalil y B. Knötzl y el Sr. A. Natterer, Rechtsanwälte;

- en nombre del Gobierno austriaco, por el Sr. A. Posch, las Sras. J. Schmoll y C. Gabauer y los Sres. G. Kunnert y E. Riedl, en calidad de agentes;

- en nombre del Gobierno francés, por el Sr. R. Bénard y la Sra. A.-L. Desjonquères, en calidad de agentes;

- en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por el Sr. E. De Bonis, avvocato dello stato;

- en nombre del Gobierno portugués, por las Sras. P. Barros da Costa, A. Pimenta, M. J. Ramos y C. Vieira Guerra, en calidad de agentes;

- en nombre de la Comisión Europea, por los Sres. A. Bouchagiar y F. Erlbacher, la Sra. M. Heller y el Sr. H. Kranenborg, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 25 de abril de 2024;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 5, apartado 1, letras b) y c), 6, apartado 1, letras a) y b), y 9, apartados 1 y 2, letra e), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2018, L 127, p. 3; en lo sucesivo, “RGPD”).

2 Esta petición se ha presentado en el contexto de un litigio entre el Sr. Maximilian Schrems, un usuario de la red social Facebook, y Meta Platforms Ireland Ltd, anteriormente Facebook Ireland Ltd, cuyo domicilio social se encuentra en Irlanda, en relación con el supuesto tratamiento ilícito, por parte de la citada sociedad, de los datos personales de dicho usuario.

Marco jurídico

Derecho de la Unión

3 Según los considerandos 1, 4, 39, 42, 43, 50 y 51 del RGPD:

“(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea [(en lo sucesivo, “Carta”)] y el artículo 16 [TFUE], apartado 1, [] establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

[]

(4) El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística.

[]

(39) Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. [] Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. []

[]

(42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. [] Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

(43) Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento.

[]

(50) El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales. []

(51) Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. [] Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el presente Reglamento []. Además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas []”.

4 El artículo 4 de dicho Reglamento establece lo siguiente:

“A efectos del presente Reglamento se entenderá por:

1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); []

2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[]

7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

[]

11) “consentimiento del interesado”: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

[]

23) “tratamiento transfronterizo”:

a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro;

[]”.

5 El artículo 5 del citado Reglamento, titulado “Principios relativos al tratamiento”, dispone lo siguiente en sus apartados 1 y 2:

“1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; [] (“limitación de la finalidad”);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);

[]

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; [] (“limitación del plazo de conservación”);

[]

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).”

6 El artículo 6 del mismo Reglamento, bajo el título “Licitud del tratamiento”, está redactado en los siguientes términos:

“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

[]

4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.”

7 El artículo 7 del RGPD, titulado “Condiciones para el consentimiento”, establece lo siguiente:

“1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

[]

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”

8 El artículo 9 del citado Reglamento, que lleva por título “Tratamiento de categorías especiales de datos personales”, dispone lo siguiente:

“1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

[]

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

[]”.

9 El artículo 13 de dicho Reglamento, sobre la “información que deberá facilitarse cuando los datos personales se obtengan del interesado”, establece lo siguiente:

“1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

[]

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

[]

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

[]”

10 El artículo 25, apartado 2, del mismo Reglamento dispone lo siguiente:

“El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.”

Litigio principal y cuestiones prejudiciales

11 Meta Platforms Ireland, que gestiona la oferta de servicios de la red social en línea Facebook en la Unión, es la responsable del tratamiento de los datos personales de los usuarios de esta red social en la Unión. No tiene ninguna sucursal en Austria. Meta Platforms Ireland promueve, en particular en la dirección www.facebook.com, una serie de servicios que, hasta el 5 de noviembre de 2023, se prestaban gratuitamente a los usuarios privados. A partir del 6 de noviembre de 2023, estos servicios han seguido siendo gratuitos únicamente para los usuarios que hayan aceptado que sus datos personales se recojan y se utilicen para dirigirles publicidad personalizada. Los usuarios tienen la posibilidad de optar por una suscripción de pago para acceder a una versión de tales servicios sin recibir publicidad específica.

12 El modelo de negocio de la red social en línea Facebook se basa en la financiación a través de la publicidad en línea, que se dirige de manera específica a los usuarios individuales de la red social en función, en particular, de sus actitudes de consumo, de sus intereses y de su situación personal. Tal publicidad tiene como fundamento técnico el establecimiento automatizado de perfiles detallados de los usuarios de la red y de los servicios en línea ofrecidos en el ámbito del grupo Meta.

13 Para el tratamiento de los datos personales de los usuarios de la red social Facebook, Meta Platforms Ireland se basa en el contrato de servicio al que estos se adhieren mediante la activación del botón “registrarse”, a través del cual aceptan las condiciones generales establecidas por la citada sociedad. En el momento en que ocurrieron los hechos del litigio principal, la aceptación de estas condiciones era necesaria para poder utilizar la red social Facebook. Por lo que respecta al tratamiento de los datos personales de los usuarios, las condiciones generales se remiten a las políticas de utilización de datos y de cookies establecidas por dicha sociedad. En virtud de estas últimas, Meta Platforms Ireland recoge datos acerca de los usuarios y de los aparatos de estos, que versan sobre las actividades de los usuarios dentro y fuera de la red social, y relaciona esos datos con las cuentas de Facebook de los usuarios de que se trate. Los datos relativos a las actividades fuera de la red social (también denominados “datos off Facebook”) proceden, por un lado, de la consulta de páginas de Internet y de aplicaciones de terceros, conectadas a Facebook a través de interfaces de programación, y, por otro lado, de la utilización de otros servicios en línea pertenecientes al grupo Meta, entre los que se encuentran Instagram y WhatsApp.

14 Antes de la entrada en vigor del RGPD, los usuarios de Facebook daban su consentimiento explícito para el tratamiento de sus datos de conformidad con las condiciones del servicio de la demandada aplicables a ese período. En vista de la entrada en vigor del RGPD el 25 de mayo de 2018, Meta Platforms Ireland adoptó, el 19 de abril de 2018, nuevas condiciones del servicio y las presentó a sus usuarios para su aprobación. Como su cuenta había sido bloqueada, el Sr. Schrems aceptó estas nuevas condiciones del servicio con el fin de poder seguir utilizando Facebook. Este consentimiento era necesario para poder conservar el acceso a su cuenta y utilizar los servicios correspondientes.

15 Meta Platforms Ireland ha creado varias “herramientas” (tools) para permitir a los usuarios tener una estimación y controlar sus datos almacenados. No todos los datos tratados son visibles en estas herramientas, sino únicamente aquellos que, según la citada sociedad, tienen interés y son pertinentes para los usuarios. De este modo, el usuario que lo solicita puede ver, por ejemplo, que ha abierto una aplicación a través de su perfil de Facebook, que ha visitado un sitio de Internet, que ha efectuado una búsqueda determinada o una compra o, incluso, que ha hecho clic en un anuncio.

16 Meta Platforms Ireland utiliza cookies [testigos], social plug-ins [complementos sociales] y píxeles de seguimiento, como indican sus condiciones del servicio y sus directrices. Mediante las cookies puede determinar la fuente de las consultas. En caso de que no se hayan activado las cookies, no pueden utilizarse muchos de los servicios prestados por Meta Platforms Ireland. Los operadores de sitios de Internet de terceros “insertan” en sus páginas los social plug-ins de Facebook. El más extendido es el botón “Me gusta” de Facebook. En cada consulta de páginas de Internet que incluyen dicho botón, se transmiten a Meta Platforms Ireland las cookies instaladas en el aparato utilizado, la URL de la página visitada y otros datos, como la dirección IP o la hora. Para ello, no es necesario que el usuario haya hecho clic en el botón “Me gusta”, dado que el mero hecho de visualizar una página de Internet que contenga tal plug-in basta para que estos datos se transmitan a continuación a dicha sociedad.

17 De la resolución de remisión se desprende que también se encuentran plug-ins en las páginas de Internet de los partidos políticos y en páginas destinadas a un público homosexual que el Sr. Schrems había visitado. Debido a estos plug-ins, Meta Platforms Ireland pudo seguir el comportamiento del Sr. Schrems en Internet, lo que provocó la recogida de una serie de datos personales sensibles.

18 Al igual que los social plug-ins, los píxeles de seguimiento pueden integrarse en las páginas de sitios de Internet y permiten recabar información sobre los usuarios que hayan visitado tales páginas, con el fin, en particular, de ajustar y de optimizar la publicidad que figura en ellas. Por ejemplo, al integrar un píxel de seguimiento de Facebook en sus propias páginas de Internet, los operadores de estas pueden obtener de Meta Platforms Ireland informes sobre el número de personas que han visto su publicidad en Facebook y que se han conectado a continuación a su propia página de Internet con el fin de consultarla o de efectuar una compra.

19 Así pues, los social plug-ins y los píxeles de seguimiento, junto con las cookies, constituyen un elemento esencial de la publicidad en Internet, dado que la gran mayoría de los contenidos disponibles en Internet se financian mediante la publicidad. En particular, los plug-ins permiten presentar a los usuarios los anuncios pertinentes y los píxeles de seguimiento sirven a los anunciantes para medir el rendimiento de las campañas publicitarias y para obtener información sobre grupos específicos de usuarios.

20 En el presente asunto, de la resolución de remisión se desprende que el Sr. Schrems no autorizó a Meta Platforms Ireland a tratar sus datos personales, que esta obtiene de los anunciantes y de otros socios, sobre las actividades del Sr. Schrems fuera de Facebook con el fin de proponerle publicidad personalizada. No obstante, según se afirma, determinados datos relativos al Sr. Schrems fueron obtenidos por Meta Platforms Ireland gracias a cookies, a social plug-ins y a tecnologías comparables integradas en los sitios de Internet de terceros y fueron utilizados por dicha sociedad para mejorar los productos de Facebook y para enviar publicidad personalizada al Sr. Schrems.

21 Además, de la citada resolución se desprende también que el Sr. Schrems no indicó ningún dato sensible en su perfil de Facebook, que solo sus “amigos” podían ver sus actividades o la información que figuraba en su timeline [cronología] y que su “lista de amigos” no es pública. El Sr. Schrems optó asimismo por no autorizar a Meta Platforms Ireland a utilizar, con el fin de proponerle publicidad específica, los campos de su perfil relativos a su situación sentimental, a su empresario, a su empleo y a su formación.

22 Sin embargo, a la vista de los datos de que dispone, Meta Platforms Ireland también puede identificar el interés que el Sr. Schrems tiene en temas sensibles, como la salud, la orientación sexual, los grupos étnicos y los partidos políticos, lo que permite dirigirle publicidad específica sobre tal orientación sexual o tal convicción política, por ejemplo.

23 Así, por un lado, el Sr. Schrems recibió publicidad relativa a una política austriaca, que se basaba en el análisis efectuado por Meta Platforms Ireland según el cual tenía puntos en común con otros usuarios que habían marcado a dicha política con la mención “Me gusta”. Por otro lado, el Sr. Schrems también recibía regularmente publicidad dirigida a un público homosexual e invitaciones a los eventos correspondientes, a pesar de que nunca antes se había interesado por esos eventos y de que no conocía el lugar en el que estos se celebraban. Según la resolución de remisión, estos anuncios e invitaciones no se basaban directamente en la orientación sexual del demandante en el litigio principal y de sus “amigos”, sino en un análisis de sus centros de interés, en el presente asunto en el hecho de que uno de los amigos del Sr. Schrems había marcado un producto haciendo clic en el botón “Me gusta”.

24 El Sr. Schrems hizo analizar las conclusiones que podían extraerse de su lista de amigos. Dicho análisis reveló que había realizado el servicio civil en la Cruz Roja de Salzburgo (Austria) y que era homosexual. Además, en la lista de sus actividades fuera de Facebook, en posesión de Meta Platforms Ireland, figuran, entre otras, aplicaciones y sitios de Internet de citas para homosexuales, así como el sitio de Internet de un partido político austriaco. Entre los datos almacenados del demandante en el litigio principal figuraba también una dirección de correo electrónico que no aparecía en su perfil de Facebook, pero que había utilizado para remitir sus solicitudes a Meta Platforms Ireland.

25 De la resolución de remisión resulta igualmente que el Sr. Schrems habla públicamente de su condición de homosexual. Sin embargo, nunca ha mencionado su orientación sexual en su perfil de Facebook.

26 El Sr. Schrems alegó ante el Landesgericht für Zivilrechtssachen Wien (Tribunal Regional de lo Civil de Viena, Austria) que el tratamiento de sus datos personales efectuado por Meta Platforms Ireland infringía varias disposiciones del RGPD. A este respecto, consideró que su consentimiento a las condiciones del servicio de la plataforma digital de la demandada en el litigio principal no se ajustaba a los requisitos de los artículos 6, apartado 1, y 7 de dicho Reglamento. Además, señaló que Meta Platforms Ireland trataba datos sensibles del demandante en el litigio principal, en el sentido del artículo 9 del citado Reglamento, sin el consentimiento necesario para ello con arreglo al artículo 7 del mismo Reglamento. Asimismo, afirmó que no existía ningún consentimiento válido por lo que respecta al tratamiento de los datos personales del Sr. Schrems que Meta Platforms Ireland había recibido de terceros. En este contexto, el Sr. Schrems solicitó, en particular, que se ordenara a la demandada que pusiera fin al tratamiento de sus datos personales con el fin de proponerle publicidad personalizada y a la utilización de esos datos derivada de la consulta de sitios de Internet de terceros y obtenidos por terceros.

27 Meta Platforms Ireland consideró, en cambio, que el tratamiento de los datos del Sr. Schrems se había efectuado de conformidad con las condiciones del servicio de la red social en línea, que eran compatibles con los requisitos del RGPD. A su parecer, este tratamiento de datos era lícito y no se basaba en el consentimiento del demandante en el litigio principal, exigido por el artículo 6, apartado 1, letra a), del citado Reglamento, sino en otras justificaciones, entre ellas, principalmente, el carácter necesario de dicho tratamiento para la ejecución del contrato celebrado entre este y la demandada en el litigio principal, en el sentido del artículo 6, apartado 1, letra b), de ese mismo Reglamento.

28 En el litigio principal ya se planteó una petición de decisión prejudicial al Tribunal de Justicia, la cual dio lugar a la sentencia de 25 de enero de 2018, Schrems (C-498/16, EU:C:2018:37). Tras dicha sentencia, el Landesgericht für Zivilrechtssachen Wien (Tribunal Regional de lo Civil de Viena) desestimó las pretensiones del Sr. Schrems mediante una resolución de 30 de junio de 2020. Asimismo, el Oberlandesgericht Wien (Tribunal Superior Regional de Viena, Austria), ante el que se interpuso recurso de apelación, desestimó el recurso del Sr. Schrems contra la citada resolución, basándose, en particular, en que el tratamiento de los datos personales de este, como usuario de la plataforma en línea, incluida la publicidad personalizada, formaba parte integrante del contrato de servicio de dicha plataforma celebrado entre las partes. Por tanto, el tratamiento de estos datos era necesario para la ejecución del citado contrato, en el sentido del artículo 6, apartado 1, letra b), del RGPD.

29 El Oberster Gerichtshof (Tribunal Supremo de lo Civil y Penal, Austria), que conoce de un recurso de casación interpuesto por el Sr. Schrems, señala que el modelo de negocio de Meta Platforms Ireland consiste en generar ingresos mediante publicidad específica y contenidos comerciales basados en las preferencias y los intereses de los usuarios de Facebook, tratando los datos personales de esos usuarios. Pues bien, en la medida en que permite a Facebook ofrecer gratuitamente servicios a sus usuarios, este tratamiento podría considerarse necesario para la ejecución del contrato celebrado con estos, en el sentido del artículo 6, apartado 1, letra b), del RGPD.

30 No obstante, según dicho órgano jurisdiccional, esta disposición, que debe interpretarse restrictivamente, no debería permitir tal tratamiento de datos sin el consentimiento del interesado.

31 Además, el citado órgano jurisdiccional señala que Meta Platforms Ireland trata datos personales que pueden clasificarse como “sensibles” con arreglo al artículo 9, apartado 1, del RGPD.

32 En el presente asunto, Meta Platforms Ireland trata datos relativos a las convicciones políticas y a la orientación sexual del Sr. Schrems. Según las apreciaciones del Oberster Gerichtshof (Tribunal Supremo de lo Civil y Penal), el Sr. Schrems habla en público de su orientación sexual. Concretamente, en el contexto de una mesa redonda en la que participó en Viena el 12 de febrero de 2019, por invitación de la Representación de la Comisión Europea en Austria, el Sr. Schrems hizo referencia a su orientación sexual para criticar el tratamiento de datos personales efectuado por Facebook, incluido el tratamiento de sus propios datos. Sin embargo, como también declaró en esa ocasión, el Sr. Schrems nunca ha mencionado este aspecto de su vida privada en su perfil de Facebook.

33 Según el citado órgano jurisdiccional, se plantea así la cuestión de si el usuario de que se trata ha hecho manifiestamente públicos datos personales sensibles que le conciernen y, de este modo, ha autorizado el tratamiento de tales datos con arreglo al artículo 9, apartado 2, letra e), del RGPD.

34 En estas circunstancias, el Oberster Gerichtshof (Tribunal Supremo de lo Civil y Penal) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

“1) ¿Deben interpretarse las disposiciones del artículo 6, apartado 1, letras a) y b), del [RGPD] en el sentido de que la licitud de las disposiciones contractuales incluidas en las condiciones generales del servicio relativas a contratos de plataformas en línea como el controvertido en el litigio principal (en particular, disposiciones contractuales como: “En lugar de pagar por usar Facebook [], al usar los productos de Facebook que se incluyen en estas condiciones, aceptas que podamos mostrarte anuncios []. Usamos tus datos personales [] para mostrarte aquella publicidad que pueda resultarte más relevante”), contratos que incluyen el tratamiento de datos personales para la agregación y el análisis de datos con fines de publicidad personalizada, debe evaluarse a la luz de los requisitos del artículo 6, apartado 1, letra a), en relación con el artículo 7 del RGPD, que no pueden ser sustituidos por la invocación del artículo 6, apartado 1, letra b), del RGPD?

2) ¿Debe interpretarse el artículo 5, apartado 1, letra c), del RGPD (minimización de datos) en el sentido de que todos los datos personales de que dispone una plataforma como la del litigio principal (en particular, a través del interesado o de terceros en o fuera de la plataforma) pueden ser agregados, analizados y tratados para fines de una publicidad específica, sin restricciones de carácter temporal o en función de la naturaleza de los datos?

3) ¿Debe interpretarse el artículo 9, apartado 1, del RGPD en el sentido de que se aplica al tratamiento de datos que permite un filtrado específico de categorías especiales de datos personales, como las convicciones políticas o la orientación sexual (por ejemplo, para la publicidad), aun cuando el responsable del tratamiento no establezca distinciones entre dichos datos?

4) ¿Debe interpretarse el artículo 5, apartado 1, letra b), en relación con el artículo 9, apartado 2, letra e), del RGPD, en el sentido de que una manifestación sobre la propia orientación sexual para los fines de un debate público permite el tratamiento de otros datos relativos a la orientación sexual a efectos de agregación y análisis de datos con fines de publicidad personalizada?”

Procedimiento ante el Tribunal de Justicia

35 Mediante decisión de 7 de abril de 2022, el Presidente del Tribunal de Justicia suspendió el presente procedimiento a la espera de la resolución que pusiera fin al procedimiento en el asunto C-252/21, Meta Platforms y otros.

36 Mediante decisión de 7 de julio de 2023, el Presidente del Tribunal de Justicia notificó al órgano jurisdiccional remitente en el presente asunto la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social) (C-252/21, EU:C:2023:537), le preguntó si, en vista de dicha sentencia, deseaba mantener su petición de decisión prejudicial, íntegra o parcialmente, y le solicitó que, en caso de retirada parcial de la citada petición, expusiera las razones para mantener una parte de esta.

37 Mediante resolución de 19 de julio de 2023, recibida en la Secretaría del Tribunal de Justicia el 9 de agosto de 2023, el órgano jurisdiccional remitente retiró sus cuestiones prejudiciales primera y tercera, alegando que dicha sentencia respondía a esas cuestiones. En cambio, el citado órgano jurisdiccional mantuvo sus cuestiones prejudiciales segunda y cuarta, alegando que esa misma sentencia no las había respondido completamente.

Sobre la segunda cuestión prejudicial

38 Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 5, apartado 1, letra c), del RGPD debe interpretarse en el sentido de que el principio de “minimización de datos” que en él se recoge se opone a que todos los datos personales que un responsable del tratamiento, como el operador de una plataforma de red social en línea, haya obtenido del interesado o de terceros y que hayan sido recogidos tanto en dicha plataforma como fuera de esta se agreguen, se analicen y se traten a efectos de proponer publicidad específica, sin limitación temporal y sin distinción en función de la naturaleza de esos datos.

Sobre la admisibilidad

39 La demandada en el litigio principal sostiene que esta cuestión prejudicial es inadmisible porque, por una parte, el órgano jurisdiccional remitente no ha explicado las razones por las que la respuesta a dicha cuestión es útil para resolver el litigio principal y porque, por otra parte, el citado órgano jurisdiccional se ha basado en una premisa fáctica inexacta, al considerar erróneamente que la demandada en el litigio principal utiliza, con fines publicitarios, todos los datos personales de los que dispone sin limitación temporal y sin distinción en función de la naturaleza de esos datos.

40 Por lo que respecta, en primer lugar, a la alegación de que el órgano jurisdiccional remitente no ha expuesto las razones por las que considera que la respuesta a su segunda cuestión prejudicial es útil para resolver el litigio principal, ha de subrayarse la importancia de que el órgano jurisdiccional nacional indique las razones precisas que lo han llevado a plantearse la interpretación del Derecho de la Unión y a estimar necesario someter cuestiones prejudiciales al Tribunal de Justicia [sentencias de 6 de diciembre de 2005, ABNA y otros, C-453/03, C-11/04, C-12/04 y C-194/04, EU:C:2005:741, apartado 46, y de 29 de febrero de 2024, Staatssecretaris van Justitie en Veiligheid (Confianza mutua en caso de traslado), C-392/22, EU:C:2024:195, apartado 85]. Ahora bien, en el presente asunto, de lo expuesto en la petición de decisión prejudicial se desprende que el órgano jurisdiccional remitente pretende que se dilucide si, suponiendo que el tratamiento con fines publicitarios controvertido en el litigio principal esté justificado en virtud del artículo 6, apartado 1, párrafo primero, letra b), del RGPD, el alcance de los datos así tratados por la demandada en el litigio principal respeta el principio de minimización de datos o si, por el contrario, un tratamiento tan amplio incumple las obligaciones que se imponen al responsable del tratamiento con arreglo al artículo 5 del RGPD. Por tanto, las razones por las que la respuesta a esta cuestión prejudicial resulta útil para resolver el litigio principal se deducen suficientemente de la petición de decisión prejudicial.

41 En segundo lugar, en cuanto a la alegación de que el órgano jurisdiccional remitente se ha basado en una premisa fáctica inexacta, es cierto que la segunda cuestión prejudicial se fundamenta en la premisa de que, por una parte, como se ha indicado en el apartado 20 de la presente sentencia, si bien el Sr. Schrems no autorizó a Meta Platforms Ireland a tratar sus datos personales relativos a sus actividades fuera de Facebook, dicha sociedad trató algunos de estos datos que había obtenido de terceros asociados basándose en la aceptación por parte del Sr. Schrems de las condiciones generales del servicio de la red social, gracias, en particular, a las cookies y a los social plug-ins de Facebook integrados en los sitios de Internet de esos terceros, y de que, por otra parte, tales datos personales son tratados por Meta Platforms Ireland sin limitación temporal y sin distinción en función de la naturaleza de dichos datos.

42 Pues bien, debe recordarse que, según reiterada jurisprudencia, el artículo 267 TFUE instaura un procedimiento de cooperación directa entre el Tribunal de Justicia y los órganos jurisdiccionales de los Estados miembros. En el marco de este procedimiento, basado en una clara separación de las funciones entre los tribunales nacionales y el Tribunal de Justicia, toda apreciación de los hechos del asunto es competencia del juez nacional, al que corresponde apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia, mientras que el Tribunal de Justicia únicamente está facultado para pronunciarse sobre la interpretación o la validez de una norma de la Unión a partir de los hechos que le proporcione el juez nacional (sentencia de 25 de octubre de 2017, Polbud - Wykonawstwo, C-106/16, EU:C:2017:804, apartado 27 y jurisprudencia citada).

43 Por tanto, procede responder a la cuestión prejudicial planteada sobre la base de esta premisa, cuyo fundamento debe enjuiciar, no obstante, el órgano jurisdiccional remitente.

44 En consecuencia, la segunda cuestión prejudicial es admisible.

Sobre el fondo

45 En primer lugar, procede recordar que el objetivo perseguido por el RGPD, tal como se desprende de su artículo 1 y de sus considerandos 1 y 10, consiste, en particular, en garantizar un nivel elevado de protección de los derechos y libertades fundamentales de las personas físicas, sobre todo de su derecho a la vida privada respecto del tratamiento de los datos personales, consagrado en el artículo 8, apartado 1, de la Carta y en el artículo 16 TFUE, apartado 1 (sentencia de 7 de marzo de 2024, IAB Europe, C-604/22, EU:C:2024:214, apartado 53 y jurisprudencia citada).

46 A tal fin, los capítulos II y III de ese Reglamento enuncian, respectivamente, los principios que regulan el tratamiento de los datos personales, así como los derechos del interesado que todo tratamiento de tales datos debe respetar. En particular, sin perjuicio de las excepciones establecidas en el artículo 23 del citado Reglamento, todo tratamiento de datos personales debe, por una parte, ser conforme con los principios relativos al tratamiento de tales datos enunciados en el artículo 5 del mismo Reglamento y cumplir las condiciones de licitud enumeradas en su artículo 6 y, por otra parte, respetar los derechos del interesado que figuran en los artículos 12 a 22 del RGPD [sentencia de 11 de julio de 2024, Meta Platforms Ireland (Acción de representación), C-757/22, EU:C:2024:598, apartado 49 y jurisprudencia citada].

47 Como ya ha puntualizado el Tribunal de Justicia, los principios relativos al tratamiento de datos personales enunciados en el artículo 5 del RGPD son aplicables de forma acumulativa (sentencia de 20 de octubre de 2022, Digi, C-77/21, EU:C:2022:805, apartado 47).

48 A este respecto, procede señalar que, en virtud del artículo 5, apartado 1, letra a), del RGPD, los datos personales deben ser tratados de manera lícita, leal y transparente en relación con el interesado y que, de conformidad con la letra b) del mismo artículo 5, apartado 1, tales datos deben recogerse con fines determinados, explícitos y legítimos y no ser tratados ulteriormente de manera incompatible con dichos fines.

49 Además, el artículo 5, apartado 1, letra c), de este mismo Reglamento, que consagra el llamado principio de “minimización de datos”, establece que los datos personales deben ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados” [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C-252/21, EU:C:2023:537, apartado 109 y jurisprudencia citada].

50 Como ya ha declarado el Tribunal de Justicia, este principio es un reflejo del principio de proporcionalidad [véanse, en este sentido, las sentencias de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C-439/19, EU:C:2021:504, apartado 98 y jurisprudencia citada, y de 30 de enero de 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR - Sofia, C-118/22, EU:C:2024:97, apartado 41].

51 Conforme al principio de responsabilidad proactiva establecido en el artículo 5, apartado 2, del RGPD, el responsable del tratamiento debe ser capaz de demostrar que los datos personales se recogen y se tratan cumpliendo los principios enunciados en el apartado 1 de dicho artículo (véase, en este sentido, la sentencia de 20 de octubre de 2022, Digi, C-77/21, EU:C:2022:805, apartado 24). Además, de conformidad con el artículo 13, apartado 1, letra c), del citado Reglamento, cuando se obtengan de un interesado datos personales relativos a él, incumbe al responsable del tratamiento informarlo sobre los fines del tratamiento a que se destinan esos datos y sobre la base jurídica de este [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C-252/21, EU:C:2023:537, apartado 95].

52 En segundo lugar, en lo que respecta a la limitación temporal de un tratamiento de datos personales como el controvertido en el litigio principal, es preciso recordar que el Tribunal de Justicia ya ha declarado que, habida cuenta del principio de minimización de datos, el responsable del tratamiento está obligado a limitar a lo estrictamente necesario, a la luz del objetivo perseguido con el tratamiento, el período de recogida de los datos personales de que se trate [sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C-175/20, EU:C:2022:124, apartado 79].

53 En efecto, cuanto más tiempo se conservan estos datos, más importantes son las consecuencias sobre los intereses y sobre la vida privada del interesado y mayores las exigencias relativas a la licitud de la conservación de tales datos [véase, en este sentido, la sentencia de 7 de diciembre de 2023, SCHUFA Holding (Exoneración del pasivo insatisfecho), C-26/22 y C-64/22, EU:C:2023:958, apartado 95].

54 Además, procede señalar que, a tenor del artículo 5, apartado 1, letra e), del RGPD, los datos personales deben mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos.

55 Así pues, de los términos en que está redactado dicho artículo se desprende sin ambigüedad que el principio de “limitación del plazo de conservación” que en él se recoge exige que el responsable del tratamiento sea capaz de demostrar, en virtud del principio de responsabilidad proactiva recordado en el apartado 51 de la presente sentencia, que los datos personales se conservan únicamente durante el tiempo necesario para la consecución de los fines para los cuales fueron recogidos o para los que han sido tratados ulteriormente (véase, en este sentido, la sentencia de 20 de octubre de 2022, Digi, C-77/21, EU:C:2022:805, apartado 53).

56 De ello se deduce, como ya ha declarado el Tribunal de Justicia, que incluso un tratamiento inicialmente lícito de datos puede devenir, con el tiempo, incompatible con lo dispuesto en el RGPD cuando esos datos ya no sean necesarios en relación con los fines para los cuales fueron recogidos o tratados ulteriormente y que dichos datos deben suprimirse cuando se hayan cumplido esos fines (véase, en este sentido, la sentencia de 20 de octubre de 2022, Digi, C-77/21, EU:C:2022:805, apartado 54 y jurisprudencia citada).

57 En estas circunstancias, como ha señalado, en esencia, el Abogado General en el punto 22 de sus conclusiones, corresponde al órgano jurisdiccional nacional apreciar, teniendo en cuenta todos los elementos pertinentes y aplicando el principio de proporcionalidad, recordado en el artículo 5, apartado 1, letra c), del RGPD, si el período de conservación de los datos personales por parte del responsable del tratamiento está razonablemente justificado a la luz del objetivo consistente en permitir la difusión de publicidad personalizada.

58 En cualquier caso, la conservación, durante un período ilimitado, de los datos personales de los usuarios de una plataforma de red social con el fin de proponerles publicidad específica debe considerarse una injerencia desproporcionada en los derechos garantizados a estos usuarios por el RGPD.

59 En tercer lugar, por lo que respecta al hecho de que los datos personales a los que se refiere el litigio principal se recojan, se agreguen, se analicen y se traten con el fin de proponer publicidad específica, sin distinción en función de la naturaleza de dichos datos, es importante recordar que el Tribunal de Justicia ya ha declarado que, teniendo en cuenta el principio de minimización de datos establecido en el artículo 5, apartado 1, letra c), del RGPD, el responsable del tratamiento no puede proceder, de manera generalizada e indiferenciada, a la recogida de datos personales y que debe abstenerse de recoger datos que no sean estrictamente necesarios en relación con los fines del tratamiento [sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C-175/20, EU:C:2022:124, apartado 74].

60 Asimismo, es preciso señalar que el artículo 25, apartado 2, de dicho Reglamento exige al responsable del tratamiento que aplique las medidas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. A tenor de esta disposición, tal exigencia se aplica, en particular, a la cantidad de datos personales recogidos y a la extensión de su tratamiento, así como a su plazo de conservación.

61 En el presente asunto, de la resolución de remisión se desprende que Meta Platforms Ireland recoge los datos personales de los usuarios de Facebook, entre ellos el Sr. Schrems, relativos a las actividades de esos usuarios tanto en dicha red social como fuera de ella, en particular los datos relativos a la consulta de la plataforma en línea, así como de páginas de Internet y de aplicaciones de terceros, y sigue también el comportamiento de navegación de los usuarios en esas páginas mediante social plug-ins y píxeles de seguimiento insertados en las páginas de Internet en cuestión.

62 Pues bien, como ya ha declarado el Tribunal de Justicia, tal tratamiento tiene un alcance particularmente amplio, ya que versa sobre datos potencialmente ilimitados y tiene gran impacto en el usuario, cuyas actividades en línea están, en gran parte o incluso en su práctica totalidad, bajo el control de Meta Platforms Ireland, lo que puede suscitar en él la sensación de una vigilancia continua de su vida privada [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C-252/21, EU:C:2023:537, apartado 118].

63 En estas circunstancias, el tratamiento de datos controvertido en el litigio principal se caracteriza por una injerencia grave en los derechos fundamentales de los interesados, en particular en sus derechos al respeto de la vida privada y a la protección de los datos de carácter personal, garantizados por los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea, injerencia que no parece razonablemente justificada a la luz del objetivo consistente en permitir la difusión de publicidad específica, sin perjuicio de las comprobaciones que corresponde efectuar al órgano jurisdiccional remitente.

64 En cualquier caso, el uso indiferenciado de todos los datos personales en poder de una plataforma de red social con fines publicitarios, independientemente del grado de sensibilidad de tales datos, no constituye una injerencia proporcionada en los derechos garantizados a los usuarios de esta plataforma por el RGPD.

65 Habida cuenta de las consideraciones anteriores, procede responder a la segunda cuestión prejudicial que el artículo 5, apartado 1, letra c), del RGPD debe interpretarse en el sentido de que el principio de “minimización de datos” que en él se recoge se opone a que todos los datos personales que un responsable del tratamiento, como el operador de una plataforma de red social en línea, haya obtenido del interesado o de terceros y que hayan sido recogidos tanto en dicha plataforma como fuera de esta se agreguen, se analicen y se traten a efectos de proponer publicidad específica, sin limitación temporal y sin distinción en función de la naturaleza de esos datos.

Sobre la cuarta cuestión prejudicial

66 Mediante esta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 9, apartado 2, letra e), del RGPD debe interpretarse en el sentido de que el hecho de que una persona se haya manifestado sobre su orientación sexual en una mesa redonda abierta al público autoriza al operador de una plataforma de red social en línea a tratar otros datos relativos a la orientación sexual de esa persona obtenidos, en su caso, fuera de dicha plataforma a partir de aplicaciones y de sitios de Internet de terceros asociados, con el fin de agregar y de analizar tales datos para proponerle publicidad personalizada.

67 Más concretamente, el órgano jurisdiccional remitente pretende que se determine si, a raíz de la declaración realizada por el Sr. Schrems con motivo de una mesa redonda, este ya no tiene derecho a la protección conferida por el artículo 9, apartado 1, del RGPD y si, por consiguiente, Facebook tenía derecho a tratar otros datos relativos a su orientación sexual.

68 Con carácter preliminar, es preciso señalar que la mesa redonda mencionada por el órgano jurisdiccional remitente, en el contexto de la cual el Sr. Schrems hizo una declaración sobre su orientación sexual, se celebró el 12 de febrero de 2019 y que, como se desprende de la resolución de remisión, en esa fecha, Meta Platforms Ireland ya trataba datos personales relativos a la orientación sexual del Sr. Schrems, de modo que tal declaración es posterior al inicio de ese tratamiento de datos.

69 De ello se deduce que debe entenderse que la cuarta cuestión prejudicial planteada por el órgano jurisdiccional remitente se refiere únicamente a los eventuales tratamientos de datos relativos a la orientación sexual del Sr. Schrems realizados por Meta Platforms Ireland después del 12 de febrero de 2019. No obstante, corresponde al órgano jurisdiccional remitente comprobar si tales tratamientos se produjeron efectivamente después de esa fecha, de conformidad con la jurisprudencia citada en el apartado 42 de la presente sentencia.

70 Para responder a esta cuestión prejudicial debe recordarse, en primer lugar, que el considerando 51 del RGPD señala que merecen especial protección los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para esos derechos y libertades. Este considerando precisa que tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en dicho Reglamento.

71 En este contexto, el artículo 9, apartado 1, del RGPD establece el principio de prohibición del tratamiento de las categorías especiales de datos personales que menciona. Se trata, en particular, de datos que revelan el origen étnico o racial, las opiniones políticas o las convicciones religiosas, o de datos relativos a la salud, a la vida sexual o a la orientación sexual de una persona física.

72 A efectos de la aplicación del artículo 9, apartado 1, del RGPD, es preciso comprobar, en el caso de un tratamiento de datos personales efectuado por el operador de una red social en línea, si esos datos permiten revelar información comprendida en alguna de las categorías contempladas en dicha disposición, ya se refiera esa información a un usuario de esa red o a cualquier otra persona física. En caso afirmativo, tal tratamiento de datos personales estará prohibido, sin perjuicio de las excepciones previstas en el artículo 9, apartado 2, del RGPD.

73 Como ya ha declarado el Tribunal de Justicia, esta prohibición de principio, establecida en el artículo 9, apartado 1, del RGPD, es independiente de que la información revelada por el tratamiento en cuestión sea o no exacta y de que el responsable del tratamiento actúe con el fin de obtener información comprendida en alguna de las categorías especiales contempladas en dicha disposición. En efecto, teniendo en cuenta los riesgos significativos para las libertades y los derechos fundamentales de los interesados generados por cualquier tratamiento de datos personales comprendidos en las categorías contempladas en el artículo 9, apartado 1, del RGPD, este tiene por objeto prohibir dichos tratamientos, con independencia de la finalidad que expresen [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C-252/21, EU:C:2023:537, apartados 69 y 70].

74 No obstante, aunque el citado artículo 9, apartado 1, prohíbe, por principio, el tratamiento de los datos relativos, entre otros, a la orientación sexual, el apartado 2 de dicho artículo establece, en sus letras a) a j), diez excepciones que son independientes entre sí y que, por tanto, deben apreciarse de manera autónoma. De ello se deduce que el hecho de que no se cumplan los requisitos para la aplicación de una de las excepciones contempladas en el citado apartado 2 no impide que un responsable del tratamiento pueda invocar otra excepción mencionada en esa disposición (sentencia de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, apartado 47).

75 En lo que atañe, concretamente, a la excepción prevista en el artículo 9, apartado 2, letra e), del RGPD, debe recordarse que, en virtud de esta disposición, la prohibición de principio de todo tratamiento relativo a categorías especiales de datos personales establecida en dicho artículo 9, apartado 1, no se aplica en el supuesto de que el tratamiento se refiera a datos personales que “el interesado ha hecho manifiestamente públicos”.

76 Dado que establece una excepción al principio de prohibición del tratamiento de categorías especiales de datos personales, el artículo 9, apartado 2, letra e), del RGPD debe interpretarse de manera restrictiva [véase, en este sentido, la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C-252/21, EU:C:2023:537, apartado 76 y jurisprudencia citada].

77 De ello se deduce que, a efectos de la aplicación de la excepción prevista en el artículo 9, apartado 2, letra e), del RGPD, es preciso comprobar si el interesado ha pretendido, de manera explícita y mediante un acto positivo claro, hacer accesibles al público en general los datos personales en cuestión [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C-252/21, EU:C:2023:537, apartado 77].

78 En el presente asunto, de la resolución de remisión se desprende que la mesa redonda organizada en Viena el 12 de febrero de 2019, en el marco de la cual el Sr. Schrems formuló una declaración sobre su orientación sexual, estaba abierta al público, que podía obtener una entrada para asistir presencialmente, con el límite de las plazas disponibles, y que se transmitió en directo. Además, después se hizo pública una grabación de dicha mesa redonda en forma de pódcast, así como en el canal de YouTube de la Comisión.

79 En estas circunstancias, y sin perjuicio de las comprobaciones que incumben al órgano jurisdiccional nacional, no puede excluirse que esta declaración, pese a enmarcarse en un discurso más amplio y a haberse realizado con el único fin de criticar el tratamiento de datos personales efectuado por Facebook, constituya un acto mediante el cual el interesado, con pleno conocimiento de causa, ha hecho manifiestamente pública, en el sentido del artículo 9, apartado 2, letra e), del RGPD, su orientación sexual.

80 En segundo lugar, si bien la circunstancia de que el interesado haya hecho manifiestamente público un dato sobre su orientación sexual tiene como consecuencia que este dato pueda ser objeto de tratamiento, como excepción a la prohibición establecida en el artículo 9, apartado 1, del RGPD y de conformidad con las exigencias derivadas de las demás disposiciones de dicho Reglamento [véase, en este sentido, la sentencia de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles), C-136/17, EU:C:2019:773, apartado 64], ello no autoriza por sí solo, contrariamente a lo que alega Meta Platforms Ireland, el tratamiento de otros datos personales relativos a la orientación sexual de esta persona.

81 Así, por una parte, sería contrario a la interpretación restrictiva que debe darse al artículo 9, apartado 2, letra e), del RGPD considerar que todos los datos relativos a la orientación sexual de una persona quedan excluidos de la protección que se deriva del apartado 1 de dicho artículo por la mera circunstancia de que el interesado haya hecho manifiestamente público un dato personal relativo a su orientación sexual.

82 Por otra parte, la circunstancia de que una persona haya hecho manifiestamente público un dato relativo a su orientación sexual no permite considerar que esa persona haya dado su consentimiento, en el sentido del artículo 9, apartado 2, letra a), del RGPD, al tratamiento por parte del operador de una plataforma de red social en línea de otros datos relativos a su orientación sexual.

83 Habida cuenta de las consideraciones anteriores, procede responder a la cuarta cuestión prejudicial que el artículo 9, apartado 2, letra e), del RGPD debe interpretarse en el sentido de que el hecho de que una persona se haya manifestado sobre su orientación sexual en una mesa redonda abierta al público no autoriza al operador de una plataforma de red social en línea a tratar otros datos relativos a la orientación sexual de esa persona obtenidos, en su caso, fuera de dicha plataforma a partir de aplicaciones y de sitios de Internet de terceros asociados, con el fin de agregar y de analizar tales datos para proponerle publicidad personalizada.

Costas

84 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Cuarta) declara:

1) El artículo 5, apartado 1, letra c), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

el principio de “minimización de datos” que en él se recoge se opone a que todos los datos personales que un responsable del tratamiento, como el operador de una plataforma de red social en línea, haya obtenido del interesado o de terceros y que hayan sido recogidos tanto en dicha plataforma como fuera de esta se agreguen, se analicen y se traten a efectos de proponer publicidad específica, sin limitación temporal y sin distinción en función de la naturaleza de esos datos.

2) El artículo 9, apartado 2, letra e), del Reglamento 2016/679

debe interpretarse en el sentido de que

el hecho de que una persona se haya manifestado sobre su orientación sexual en una mesa redonda abierta al público no autoriza al operador de una plataforma de red social en línea a tratar otros datos relativos a la orientación sexual de esa persona obtenidos, en su caso, fuera de dicha plataforma a partir de aplicaciones y de sitios de Internet de terceros asociados, con el fin de agregar y de analizar tales datos para proponerle publicidad personalizada.

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2024

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana