ANO 2024 N.º 2 Volume 34
ISSN 2182-9845
José Antonio Castillo Parrilla / Jorge Morais Carvalho
Datos personales; contraprestación; consentimiento; contenidos digitales; servicios digitales; consumidor.
Partiendo de las ideas de onerosidad, precio y contraprestación en la teoría general de las obligaciones y de los contratos, se analiza en este texto la cuestión del pago con datos personales en los contratos celebrados con consumidores frente a los ordenamientos jurídicos español y portugués. A pesar del temor del legislador a utilizar la palabra “contraprestación” en este contexto, se argumenta que estamos ante un pago con datos personales siempre que se cumplan tres supuestos: (i) el tratamiento de datos se basa en el consentimiento del interesado (consumidor); (ii) el profesional responsable del tratamiento está vinculado por el consentimiento del consumidor (interesado) de tal forma que se produce el sinalagma do (res) ut des (data); (iii) la responsabilidad del consumidor es consecuencia de la libertad de consentimiento. De este último aspecto se desprende que la mera restitución recíproca de prestaciones no puede considerarse un perjuicio para la revocación del consentimiento.
1. Introducción
2. Punto de partida. Onerosidad, precio y contraprestación en la teoría general de obligaciones y contratos
3. Los datos (personales y no personales) como forma de riqueza, ¿y como bienes?
3.1. La economía de los datos
3.2. La protección de datos como derecho fundamental y los datos como objeto de comercio
3.3. Los datos como bienes o cosas, y la propiedad de los datos
4. ¿Qué significa pagar con datos personales?
4.1. El tratamiento de los datos se basa en el consentimiento del consumidor (como titular de los datos)
4.2. Do res ut des data. La libertad de consentimiento en el RGPD y el Derecho de consumo
4.3. El consentimiento responsable del consumidor en contratos digitales donde paga con sus datos
5. Pago con datos en España y Portugal a partir de la adaptación nacional de la Directiva 2019/770 y del RGPD
5. La Opinión 8/2024 del Comité Europeo de Protección de Datos
6. Consideraciones finales
Bibliografía
La Directiva 2019/770[1] ha supuesto diversos cambios normativos en materia de Derecho de consumo, pero uno de los más debatidos durante el proceso de tramitación de la norma (desde su primera versión, con la Propuesta de Directiva[2]) ha sido la posibilidad de que los datos personales se utilizasen como contraprestación en los contratos con consumidores.
En los Considerandos 13 y 14 de la Propuesta de Directiva se afirma que la información sobre las personas se ve como un valor comparable al dinero y que con frecuencia los contenidos digitales no se intercambian por “un precio”, sino por una contraprestación diferente al dinero, permitiendo el acceso a datos personales u otro tipo de datos. Es decir, que el consentimiento al tratamiento de datos funciona como contraprestación en ciertos contratos digitales.
En 2017, el Supervisor Europeo de Protección de Datos (SEPD) emitió una Opinión (Opinión 4/2017[3]) muy crítica con la Propuesta de Directiva, en la que recomendaba eliminar de la misma referencias a los datos como mercancía o contraprestación, o a la posibilidad de pago con datos. Estas recomendaciones fueron atendidas[4] y en el Considerando 24 de la Directiva 2019/770 se afirma que los datos no pueden considerarse una mercancía.
Sin embargo, la realidad del pago con datos no ha desaparecido. Más bien al contrario, permanece; al tiempo que los datos personales y no personales adquieren cada vez mayor importancia económica en un sector conocido como economía de los datos.
En este contexto han tenido lugar las distintas transposiciones nacionales de la Directiva 2019/770. Centraremos nuestra atención en el aspecto concreto relativo al pago con datos en la transposición española y portuguesa de la Directiva 2019/770, y cómo uno y otro ordenamiento afrontan la realidad del pago con datos en el Derecho de consumo. Por tanto, nuestras reflexiones acerca del pago con datos tienen como escenario contratos digitales celebrados por consumidores que pagan con sus datos personales, en su doble condición de consumidores y titulares de datos personales. La economía de datos no se circunscribe al uso económico de datos personales; pero es en el escenario descrito donde se suscitan en estos momentos mayores dudas jurídicas.
En el mes de julio de 2023 el TJUE publicó una sentencia[5] donde se razona, entre otros aspectos, acerca de la libertad de consentimiento del usuario de una red social al tratamiento de sus datos cuando éste se sirve del consentimiento como base de legitimación. El Considerando 150 de la Sentencia permite afirmar que dar al usuario dos opciones (“pay or ok”) no es contrario a la libertad de consentimiento de acuerdo con el artículo 4.11 RGPD, lo que cuestiona algunas de las afirmaciones del Comité Europeo de Protección de Datos (CEPD) en la Guía 05/2020 sobre consentimiento[6] y ha motivado un intenso debate entre autoridades y expertos en protección de datos. Fruto de ese debate se emitió en abril la Opinión 8/2024 por parte del CEPD[7], que comentaremos al final de este trabajo.
Sin perjuicio de la atención que merece la Opinión 8/2024 que comentaremos al final, debe adelantarse desde ya que el objetivo de este trabajo diverge de los planteamientos de máximos expresados por las Autoridades europeas de protección de datos[8]: no se cuestiona la viabilidad del pago con datos de acuerdo con el RGPD[9], sino que se asume como una realidad a la que el RGPD no se opone frontalmente y que debe encontrar acomodo a través de una interpretación conjunta del RGPD y la Directiva 2019/770, así como sus respectivos desarrollos nacionales.
Antes de preguntarnos si se pueden o no utilizar los datos como contraprestación en la contratación digital con consumidores, conviene recordar brevemente cómo funcionan las nociones de onerosidad, precio y contraprestación en la teoría general de obligaciones y contratos; y compararlas con la evolución de estos términos en la normativa relacionada con Derecho del consumo y particularmente en la evolución normativa de la Directiva 2019/770.
En Derecho español, la idea de onerosidad conecta con la causa del contrato y por lo tanto con la configuración del sinalagma contractual. Según el artículo 1274 Código Civil (CC), son posibles tres causas en los contratos: onerosa, remuneratoria o gratuita. En el Derecho civil portugués, se ha considerado innecesario hacer una referencia autónoma a la causa, como requisito del negocio jurídico, por entenderse que forma parte de su objeto, especialmente de su contenido, por lo que no hay una norma que con carácter general clasifique las causas del contrato de la manera en que lo hace el art. 1274 CC español[10]. Sin embargo, esta distinción se ve reflejada en el elenco de contratos particulares, en la medida en que en algunos de estos contratos hay un artículo específicamente dedicado a distinguir su modalidad gratuita de su modalidad onerosa[11]. En cualquier caso, la distinción entre gratuidad y onerosidad es común en ambos ordenamientos: un contrato es oneroso cuando es fuente recíproca de atribuciones patrimoniales, y es gratuito cuando una de las partes del contrato se enriquece correlativamente al empobrecimiento de la otra (porque sólo hay una prestación, y no un intercambio)[12].
En relación con el equilibrio o sinalagma contractual hay que dejar claro un matiz importante, que conecta con el siguiente de los conceptos importantes: la contraprestación.
Todo sinalagma contractual se construye combinando una prestación y una contraprestación. La prestación principal es aquella que caracteriza y da nombre al contrato (por destacar las principales, dar una cosa, realizar una actividad, o no realizar una actividad o un comportamiento). La contraprestación puede ser concreta (como ocurre en el caso del contrato de permuta, donde las partes se intercambian dos cosas específicas), o genérica. La contraprestación genérica normalmente ha sido de carácter monetario, y ha recibido tradicionalmente el nombre de “precio”.
La noción de precio no debería quedar circunscrita al pago monetario. La definición del término “precio” ha variado desde la versión inicial de la Propuesta 634/2015 hasta la versión definitiva en la Directiva 2019/770: en 2015 se definía el precio como “dinero pagadero a cambio de los contenidos digitales suministrados” (identificando con ello onerosidad del contrato y pago monetario); mientras que en la versión definitiva de 2015 se define el precio como “el dinero o una representación digital de valor, pagadero a cambio del suministro de los contenidos o servicios digitales”[13].
Más allá de esta breve crónica de la tramitación de una norma, parece acertado no circunscribir la noción de precio al pago monetario[14]; o, para no ir contra el diccionario[15], recordar que son también contratos onerosos aquellos en los que la contraprestación[16] no es un pago monetario, sino otro tipo de prestación, sea ésta de dar, de hacer o de no hacer (cfr. art. 1088 CC). Sin perjuicio de las dificultades para restituir las prestaciones no dinerarias, no puede ignorarse que es posible que existan contraprestaciones no dinerarias diferentes del dinero, pudiendo ser éstas de dar (como ocurre en el contrato de permuta), de hacer o incluso de no hacer. En el entorno digital, donde los modelos de negocio están fuertemente impregnados del llamado capitalismo de la vigilancia[17], podemos encontrarnos con diversas contraprestaciones diferentes del pago de un precio (es decir, pago monetario) o del pago con datos, como por ejemplo obligaciones de hacer consistentes en observar publicidad comportamental (para la cual necesitan realizar analítica de datos en masa) no eludible, o de no hacer, como no desactivar la geolocalización[18].
Si entendemos que el pago con datos es una obligación de dar, cabe preguntarse qué significa dar (o entregar) los datos. Para responder a esta cuestión podemos tener en cuenta tanto la Directiva 2019/770 como aspectos de teoría general de obligaciones y contratos. Comencemos por la teoría general para posteriormente relacionarla con lo dispuesto en el art. 3.1 párrafo 2º de la Directiva 2019/770.
De acuerdo con el art. 1462-1º CC-ESP, relativo a la entrega de la cosa vendida, “se entenderá entregada la cosa vendida cuando se ponga en poder y posesión del comprador”. El art. 1462-1º CC-ESP hace referencia a la tradición real o entrega en un sentido material; sin embargo es posible que la entrega tenga lugar de manera simbólica como por ejemplo a través de la entrega de llaves (art. 1463 CC-ESP). En la medida en que los datos son bienes incorporales[19], parece útil tomar como referencia el art. 1464 CC-ESP, precisamente referido a las formas de entrega de bienes incorporales. Según este artículo los bienes incorporales pueden ser objeto de tradición instrumental[20], simbólica[21] o por el uso que de su derecho haga el comprador. Esta última forma de entrega es más bien una prueba de la transmisión ya producida, si bien es precisamente la que resultaría aplicable en el caso del pago con datos: habrá de entenderse producida esta “entrega” por el uso que de los datos del cliente haga la empresa con la aquiescencia del cliente como interesado, y siempre que haya aceptado expresamente el uso de los datos para las finalidades que la contraparte considere[22]. En el caso del pago con datos, podrá entenderse que el interesado “entrega” sus datos cuando acepta (consiente) que éstos queden en poder y disposición del comprador para que los use de acuerdo con las finalidades expresadas. En la medida en que estamos hablando no sólo de bienes incorporales, sino informacionales, hay que tener presente que el interesado no pierde sus datos, sino que éstos se copian. La clave está, por tanto, en tener que permitir su uso y no tanto en desprenderse de ellos, cuestión que resulta imposible dadas sus características.
En el art. 3.1 párrafo 2º de la Directiva UE 2019/770 puede observarse esta lógica de intercambio de contenidos o servicios digitales por datos cuando se afirma que “también se aplicará cuando el empresario suministre[23] o se comprometa a suministrar contenidos o servicios digitales al consumidor y éste (a cambio)[24] facilite o se comprometa a facilitar datos personales al empresario, salvo cuando los datos personales facilitados por el consumidor sean tratados exclusivamente por el empresario con el fin de suministrar los contenidos o servicios digitales con arreglo a la presente Directiva para permitir que el empresario cumpla los requisitos legales a que está sujeto, y el empresario no trate esos datos personales para ningún otro fin”[25].
3.1. La economía de los datos
Una de las consecuencias más significativas de la Revolución Digital es que los datos han dejado de ser únicamente una proyección de nuestra personalidad, relativa o no a la intimidad, sobre la que debemos tener poder de disposición para pasar a convertirse también en un activo económico de primer nivel, dando lugar a la llamada economía de los datos. La Comisión Europea[26] define la economía de los datos como un ecosistema donde diferentes agentes del mercado (fabricantes, investigadores y proveedores de infraestructuras) colaboran para garantizar que los datos sean accesibles y utilizables; lo que incluye la generación, recolección, almacenaje, procesado, distribución, análisis, elaboración, suministro y explotación de datos accesibles a través de tecnologías de la información y la comunicación[27]. Un aspecto fundamental de la economía de datos son los mercados de datos, plataformas donde se intercambian los datos como si de productos o servicios se tratase[28].
El valor de la economía de datos no ha dejado de subir desde que la Comisión Europea presta atención a este fenómeno[29]. En el último informe (2023) se constata que el valor de la economía de datos para la UE de los 27 alcanzó los 544 millones de euros en 2023, con un crecimiento interanual del 9,3% respecto de 2022 (cuando superó la barrera de los 500 millones de euros)[30]. También se constata un incremento de la monetización de los datos, esto es, de los ingresos que se obtienen con la venta de datos. A modo de brevísimo botón de muestra, pueden tenerse en cuenta los dos gráficos siguientes[31], que no sólo muestran la trayectoria seguida hasta ahora por la economía de datos en su conjunto (y la monetización de datos, en el segundo gráfico), sino también escenarios de posible evolución de cara al año 2030.
Todo esto permite afirmar sin gran dificultad que los datos son una nueva (e importante) forma de riqueza. Y lo son independientemente de que se trate de datos personales o de datos no personales[32]. Por tanto, si los datos son una nueva forma de riqueza, cabe preguntarse si son bienes en el sentido jurídico patrimonial y, en su caso, qué tipo de bienes son. No se trata de una respuesta fácil y las reflexiones que aquí compartimos deben tomarse como una propuesta no exenta de debate.
3.2. La protección de datos como derecho fundamental y los datos como objeto de comercio
La primera dificultad reside, precisamente, en la posibilidad de comerciar con un derecho fundamental como es la protección de datos personales tal como reflejan tanto la Constitución española (art. 18.4) como la Constitución portuguesa (art. 26) y la Carta Europea de Derechos Fundamentales (art. 8). De acuerdo con el Considerando 24 de la Directiva 2019/770, “la protección de datos personales es un derecho fundamental, por lo que los datos personales no pueden considerarse una mercancía”, de lo que cabría colegir que la protección de datos personales es un derecho fundamental no comercializable. El sistema de la Directiva (en especial, el art. 3.1 párrafo 2º), sin embargo, permite afirmar de la economía de datos que eppur si muove a pesar de las reticencias que suscita entre las autoridades de protección de datos europeas[33]. Por tanto, una reflexión más detenida sería necesaria[34].
Quizás afirmar rotundamente que, en la medida en que la protección de datos es un derecho fundamental, no debe permitirse su comercialización, sea demasiado. Al fin y al cabo, ciertos derechos fundamentales, precisamente cercanos al derecho a la protección de datos (derechos al honor, a la intimidad y a la propia imagen), son objeto de comercio hoy día. A finales del siglo XIX y con ocasión de las nuevas tecnologías de entonces (cámaras de fotos) surgieron dudas similares a las que hoy se expresan respecto del derecho a la protección de datos y el entorno digital[35].
El derecho a la protección de datos, como derecho fundamental, es más cercano a derechos como el honor, la intimidad o la propia imagen, que son eventualmente objeto de comercio por parte de sus titulares. El aprovechamiento comercial de los mismos no está exento de garantías, pero tampoco cuestiona su carácter de derecho fundamental. No parece que deba equipararse, en cambio, a otros derechos fundamentales que claramente no son comercializables como el derecho a la vida o la integridad física[36]. Si puede afirmarse que el derecho a la protección de datos es cercano a derechos como el honor, la intimidad o la propia imagen, esta cercanía debería avalar su carácter comercializable. No ocurre lo mismo con otros derechos fundamentales como el derecho a la integridad física, que son claramente no comercializables. Parece, pues, algo exagerado sugerir que los mercados de datos y la monetización de datos son algo similar a los mercados de órganos[37], al menos en todos los casos.
A finales de 2023 la empresa Worldcoin inició una campaña a nivel mundial para la captación de datos biométricos (iris) a cambio de criptomonedas. En otras palabras, en este caso los datos no actuaban como medio de pago, sino que eran objeto de compra. Algunas autoridades nacionales de protección de datos decidieron ordenar la suspensión de la recogida de datos debido a falta de información o información defectuosa[38], habiéndose comprometido Worldcoin a paralizar su actividad en España a principios del mes de junio[39]. Sin embargo, cabe preguntarse si la protección de cierto tipo de datos personales quizás sí sea más cercana al derecho a la integridad física (por tanto, no comercializables) que a derechos como el honor, la intimidad y la propia imagen (comercializables). A modo de propuesta abierta a debate, entendemos que ciertas categorías especiales de datos personales sí deberían quedar excluidas del comercio: los datos genéticos, los datos biométricos, y los datos relativos a la salud.
Son datos genéticos aquellos “datos personales relativos a características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona” (art. 4.13 RGPD). Son datos biométricos aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos (art. 4.14 RGPD). Dentro de los datos biométricos, cabe incluir no sólo los relativos al iris como en el caso de Worldcoin, sino también los neurodatos[40]. Los interfaces cerebro-computador (BCI) permiten medir y registrar la actividad generada por el cerebro, que serviría como identificador biométrico[41]. Las ondas cerebrales registradas por un BCI se traducen en datos fisiológicos una vez procesadas y decodificadas. Aplicando herramientas de analítica de datos avanzada y sistemas IA es posible inferir pensamientos, sentimientos, estados de salud, perfilar al individuo y realizar inferencias acerca de su pasado, su presente y su futuro. Por otra parte, el cerebro es un identificador único igual que la huella dactilar o el genoma. Por otra parte, la neurotecnología permite no sólo recoger información neurológica en tiempo real, sino también generar estímulos que alteren la actividad cerebral y modifiquen el comportamiento de la persona a corto y largo plazo. En definitiva, esta tecnología y el uso de los neurodatos evidencia riesgos graves para los derechos y libertades fundamentales de los individuos. Ello ha dado lugar a que algunos Estados, como España, comiencen a proponer la redacción de derechos de los ciudadanos en relación con el uso de las neurotecnologías, si bien de momento únicamente como propuestas normativas objeto de debate (Derecho XXVI Carta de Derechos Digitales). Finalmente, son datos relativos a la salud aquellos “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud” (art. 4.15 RGPD). La vis expansiva de la noción de datos relativos a la salud podría suponer en la práctica un impedimento a la comercialización de datos personales. Quizás una interpretación restrictiva de esta categoría sería necesaria para evitarlo[42].
Las categorías especiales de datos personales representan un mayor riesgo para los derechos y libertades fundamentales (Cons. 51 RGPD), razón por la cual el art. 9.1 RGPD establece una prohibición general de tratamiento de estas categorías de datos. A pesar de ser cierto que con carácter general el tratamiento de datos de categorías especiales implica un mayor riesgo para los derechos y libertades de los interesados, no por ello deberían excluirse todas del comercio, sino solamente aquellas cuyo tráfico no sometido a un control o regulación específico suponga, por sí mismo, un riesgo aún mayor para los derechos y libertades no sólo de los interesados sino de la población en su conjunto. Datos genéticos, biométricos y datos relativos a la salud son las únicas tres categorías especiales de datos personales que vienen definidas en el artículo 4 RGPD, y las únicas tres respecto de las cuales el RGPD permite que los Estados miembros introduzcan limitaciones al tratamiento, siempre que no supongan un obstáculo a su libre circulación (art. 9.4 RGPD). Estas circunstancias son muestra de la importancia de estas tres categorías de datos personales más allá de tratarse de categorías especiales de datos.
El tráfico de datos genéticos, biométricos y relativos a la salud debe estar sometido a una regulación específicos de tal manera que su circulación constituya un “tráfico regulado”, debido a la especial naturaleza de la información a la que se refieren. Esta es la razón que justifica las posibles restricciones nacionales que el RGPD permite imponer a los Estados Miembros, y sobre todo la razón que justifica la construcción, aún en curso, del Espacio Europeo de Datos Sanitarios (EEDS). En el marco del EEDS, se ha publicado una Propuesta de Reglamento sobre el Espacio Europeo de Datos Sanitarios[43], relativo al uso de datos sanitarios, entendiendo por tales tanto los relativos a la salud como los genéticos (art. 2.2.a, b y c). Por lo que se refiere a los datos biométricos, su especial impacto para los derechos y libertades fundamentales ha quedado reflejado en el Reglamento de Inteligencia Artificial, que clasifica los sistemas de identificación biométrica como de alto riesgo (Anexo III, apartado 1, y Cons. 44 y 54).
3.3. Los datos como bienes o cosas y la propiedad de los datos
Como hemos tratado más arriba, el pago con datos implica el intercambio de datos por otra prestación, es decir, la “entrega” de los datos a cambio de prestaciones como puedan ser contenidos o servicios digitales. Sin embargo, para “dar” los datos hay que “tenerlos” antes, ya que nadie da lo que no tiene. Si, por tanto, los datos se “dan” (con todas las salvedades ya expresadas), hay que preguntarse qué son, y quién los tiene. En otras palabras, ¿son los datos bienes en el sentido jurídico-patrimonial? Si lo son, ¿de qué tipo, y sometidos a qué régimen de propiedad? Como en el caso anterior, tómense estas reflexiones a modo de propuestas para un debate complejo que, por el momento, cede su protagonismo al relativo a la comerciabilidad del derecho a la protección de datos como derecho fundamental.
A lo largo de la historia la expresión “cosa” (res) ha sufrido una progresiva expansión a cambio de una menor precisión de su contenido: pensadores como Aristóteles circunscriben el término a aquellas cosas que se pueden tocar; mientras que otros como Cicerón o Séneca distinguen entre cosas que se pueden tocar y cosas que se pueden pensar[44]. La unidad de destino económico es un criterio importante a tener en cuenta con carácter general cuando no nos encontramos ante cosas corporales muebles, que son el paradigma de la realidad metajurídica en torno al cual se construye la teoría de las cosas: bienes inmuebles, inmateriales o digitales no son más que ficciones jurídicas que intentan adaptar la realidad de las cosas muebles corporales al mundo del derecho.
El primer texto jurídico donde puede encontrarse una clasificación de las “cosas” son las Instituciones de Gayo[45], que distinguen entre cosas corporales e incorporales, entendiendo por corporales las tangibles y por incorporales las intangibles (I. 12-14). El término “bien” deriva del latín bona, que hace referencia al patrimonio que se encuentra en poder de un sujeto. En el derecho romano se utilizaban los términos bonum y bona de manera indistinta para designar los haberes o el patrimonio de las personas. Si bien es cierto que el abandono del latín como lengua franca en Europa produjo una cierta confusión en el uso de ciertos términos como por ejemplo el de bienes y cosas, esto no llevó a una completa equiparación de los mismos. Tanto es así que juristas clásicos franceses como Domat y Pothier utilizaban el término “cosa” y no el término “bien” en sus textos. No sería hasta la Revolución Francesa cuando algunos de los Códigos civiles de Europa se decantarían por el término “bienes” como término de referencia. Los revolucionarios franceses eligieron este cambio terminológico por razones políticas: pretendían de este modo liberar el derecho de propiedad de los vínculos feudales del Antiguo Régimen. Así, aquellos países que elaboraron sus Códigos civiles bajo la influencia francesa optaron por el término “bienes”, mientras que aquellos otros que se vieron influidos por la pandectística optaron por la expresión “cosa” en sus distintas lenguas[46].
Los Códigos civiles de España (art. 333) o Italia (art. 810) siguen la terminología francesa (art. 516 CC-FR) y hablan de “bienes”; mientras que Códigos civiles como el de Portugal (art. 202) o Austria (§285) siguen la terminología alemana (§90) y hablan de “cosas”. Sin embargo, más importante que la terminología es si se adopta una concepción restrictiva o amplia de los bienes, esto es, si se admiten como bienes sólo los corporales, los tangibles, o todos, incluidos los inmateriales. El BGB adopta esta concepción restrictiva[47], mientras que otros Códigos civiles (como es el caso del español, el portugués o el italiano) no, independientemente de si hablan de bienes (España e Italia) o de cosas (Portugal[48]). Corporalidad no es igual a tangibilidad. La diferencia entre una cosa y la otra puede observarse en la concepción de la electricidad como bien, en el artículo 814 del CC-IT, según el cual “se consideran bienes muebles las energías naturales que tienen valor económico”. La electricidad es tangible, pero no corporal. La restricción corporalista ha impregnado gran parte de las normas de Derecho de la UE, y particularmente las de Derecho del consumo[49]: el agua, el gas o la electricidad sólo se consideran bienes cuando se ponen a la venta en un volumen delimitado o en cantidades determinadas[50].
Para superar estas diferencias, sería deseable la aceptación de una noción común y funcional a nivel europeo de bienes que permitiera acoger las nuevas realidades con valor económico surgidas de la Revolución Digital. Los bienes, desde este punto de vista, podrían definirse como (1) elementos de la realidad metajurídica (2) individualizables, (3) estáticos, (4) extraños al sujeto, (5) útiles, y (6) jurídicamente relevantes, es decir, aptos para ser objeto de derechos[51].
Los bienes son extraños al sujeto, puesto que son objeto de derechos y no sujeto de derechos[52]. Son también estáticos y esto los diferencia de los servicios, que son actividades, es decir, realidades metajurídicas dinámicas y difícilmente separables del sujeto que las realiza. Un servicio tiene un carácter relacional y dinámico: se realiza siempre en favor de otro, y existe mientras la persona realiza la actividad y solamente durante este espacio de tiempo. Antes de realizarse, podemos hablar de expectativa del acreedor y obligación del deudor del servicio; y después, de cumplimiento del contrato y satisfacción de la expectativa. La relevancia económica y jurídica de los bienes van de la mano: el Derecho sólo presta atención a aquellas realidades con un valor económico mínimamente reseñable para, al menos, ser objeto de derechos (cfr. art. 202 CC-PT). El valor económico de los bienes debe entenderse, por lo tanto, en un sentido amplio, como sinónimo de utilidad[53], independientemente de que dicha utilidad pueda monetizarse o no; y debe valorarse de manera objetiva: debe ser apto para despertar un interés, independientemente de si efectivamente lo despierta o no, y cuánto interés despierta. Esto es importante también por lo que se refiere a los datos ya que se ha reflexionado acerca de las dificultades para fijar criterios de valoración económica de los datos[54], lo cual en último término depende de las leyes de oferta y demanda. Sin embargo, estas dificultades por sí mismas no deberían cuestionar el valor económico de los datos ya que éste habla de su utilidad potencial en sentido amplio, independientemente del interés subjetivo que en cada momento paquetes concretos de datos despierten y que es lo que influye en la determinación del precio de estos datos.
Una realidad es metajurídica cuando su existencia no depende del Derecho, sino que el Derecho se limita a reconocerla como jurídicamente relevante. La posibilidad de individualización es esencial, y resulta particularmente relevante (por su dificultad) en lo referido a los datos: debe ser posible “señalar” los bienes, de manera que puedan convertirse en centros de imputación jurídica de manera autónoma. Para ello no es estrictamente necesario que se trate de bienes corporales, sino que basta con que la experiencia y el lenguaje común puedan designar con un sustantivo a la cosa en cuestión[55]; es decir, que ésta tenga una existencia separada no desde el punto de vista material, sino intelectual y sobre todo económico[56]. La unidad de destino económico es especialmente importante en el caso de las llamadas “universalidades patrimoniales”[57], y también en el de bienes inmateriales[58] e incluso bienes inmuebles[59]. También lo es en el caso de los datos, de los que siempre se habla en plural.
Podemos distinguir tres grandes grupos de bienes digitales en función de su adherencia al entorno digital: bienes digitales en sentido estricto, contenidos digitales y datos. Son bienes digitales en sentido estricto aquellos que sólo pueden ser bienes[60] en el entorno digital (fundamentalmente, programas de ordenador, páginas web y sistemas y modelos IA); son contenidos digitales las obras del ingenio[61] recogidas en soporte digital (art. 2.11 Directiva UE 2011/83, y 2.1 Directiva UE 2019/770). Los datos, entendidos como bienes, no participan de la “informaticidad” de los bienes digitales en sentido estricto: es decir, siguen siendo bienes fuera del entorno digital puesto que son bienes informacionales. No son tampoco contenidos digitales ya que no tienen la originalidad suficiente como para que podamos hablar de obras del ingenio[62].
Si una aproximación funcional y europea[63] de bienes nos permite calificarlos como realidades metajurídicas, individualizables, estáticas, extrañas al sujeto, útiles y jurídicamente relevantes; cuando hablamos de bienes digitales en sentido amplio debemos otras características comunes no menos importantes como son su condición de (1) no rivales, (2) infinitamente extensibles y (3) aspaciales[64]. Son bienes no rivales desde el punto de vista económico porque, en tanto que bienes informacionales, su disfrute por parte de un sujeto no condiciona ni limita el uso por parte de otros. Son infinitamente extensibles porque su reproducción es ilimitada y a coste cero[65]. Finalmente, son aspaciales en la medida en que se pueden encontrar en distintos lugares al mismo tiempo[66].
Entendemos por “datos”, o “datos digitales” toda representación interpretable de información codificada y legible por una máquina[67]. Así, los datos pueden estar generados por personas o por máquinas o sensores; y al mismo tiempo estar o no asociados a una persona identificada o identificable. Una y otra circunstancia no van unidas, pudiendo darse datos no personales generados por personas y datos personales generados por máquinas (por ejemplo, datos inferenciales o sintéticos). Los datos son bienes informacionales, y no es novedoso que la información sea objeto de intercambio oneroso. La novedad derivada de la irrupción de tecnologías de analítica masiva de datos radica en que gracias a ésta cualquier tipo de información (desnuda y mediocre) goza de un potencial valor económico en la medida en que los datos digitales pueden combinarse con otros, siendo así que cada dato tiene más valor cuanta mayor sea la cantidad de datos con la que puede combinarse.[68]
De todas las características señaladas acerca de los datos como bienes, y como bienes digitales en sentido amplio, la que mayores dificultades ofrece es la dificultad de individualizar los datos. Como hemos dicho, siempre se habla de datos en plural, y acabamos de ver que es precisamente la cantidad la que confiere valor económico a los datos: un dato vale más cuanto mayor es la cantidad de datos de la que forma parte. En este caso también la unidad de destino económico permite individualizar el grupo de datos que actúa como un bien en sentido jurídico patrimonial: aquel conjunto de datos (universalidad patrimonial) que sirve como contraprestación en un contrato de suministro de contenidos o servicios digitales.
Ya por último, si bien la capacidad de servirse de los datos como medio de pago implica que de facto se actúa como propietario de los datos (pues nadie da lo que no tiene), no resulta sencillo diseñar un derecho de propiedad de los datos. No pretendemos aquí resolver esta cuestión, pero sí al menos dar cuenta de las principales propuestas que se han compartido.
Se ha propuesto canalizar el derecho a la propiedad de los datos a través de cinco opciones: (1) desarrollar un derecho de propiedad ad hoc, (2) entender los datos como una obra de propiedad intelectual, (3) asimilar los datos a las bases de datos para que pueda resultar aplicable la normativa de bases de datos, (4) acogerse a la regulación sobre secretos comerciales, o (5) confiar en la protección jurídica derivada de los contratos firmados por las partes[69].
De estas cinco opciones, parece que la más razonable, y también la más difícil, es desarrollar un derecho de propiedad ad hoc. El contenido del derecho de propiedad varía en cada caso dependiendo de las características de los bienes a que se refiere, lo que equivale a decir que hay tantos derechos de propiedad como tipos de bienes diferentes existen[70]. No menos importante en este punto son las diferencias entre Estados miembros en cuanto al sistema de derechos reales: Portugal (art. 1306 CC-PT) tiene un sistema de numerus clausus, mientras que en España (arts. 2 LH y 7 RH) el sistema es de numerus apertus. Todo lo que acabamos de reflexionar en este apartado necesita ser refrendado posteriormente por la creación del correspondiente derecho real en la normativa del Estado miembro cuando el sistema es de numerus clausus, mientras que si es de numerus apertus basta con que estén suficientemente bien descritas las facultades que comporta.
Pagar con datos significa utilizar los propios datos personales como contraprestación. Es decir, que la contraprestación del contrato sea, precisamente, consentir el tratamiento de los propios datos personales. Ahora bien, no todo consentimiento al tratamiento de datos personales en contratos de suministro de bienes o servicios digitales debe considerarse como una contraprestación.
Estaremos ante un pago con datos cuando se den las siguientes condiciones:
— El tratamiento de datos tiene como base de legitimación (y, en su caso, excepción a la prohibición de tratamiento) el consentimiento del interesado.
— El oferente (también responsable del tratamiento) vincula su prestación al consentimiento del cliente (titular de datos), de manera que se configura el siguiente sinalagma: do (res) ut des (data).
— El titular de los datos cuando paga con sus propios datos es también consumidor[71]. Como consumidor, es parte contratante y por lo tanto debe ser responsable de sus propios actos. Es decir, libertad de consentimiento no puede significar “consentimiento irresponsable”.
El último de los requisitos es más bien una consecuencia: si los datos son un pago que convierte en oneroso el contrato, su retirada debe tener consecuencias contractuales[72]. De lo contrario, más que libertad de consentimiento estaríamos ante irresponsabilidad de consentimiento y ello generaría un desequilibrio contractual inaceptable[73]. Eso sí, ningún perjuicio extra puesto que el RGPD lo prohíbe (art. 7.3 y Cons. 42 in fine).
4.1. El tratamiento de los datos se basa en el consentimiento del consumidor (como titular de los datos)
Antes de entrar en el contenido de este apartado, conviene realizar dos precisiones previas. En primer lugar, las diferencias entre España y Portugal en cuanto a la delimitación del concepto de consumidor, y su importancia de cara al pago con datos personales (que, como veremos, es escasa). En segundo lugar, debemos referirnos a la doble función que cumple el consentimiento al tratamiento de datos (desde la perspectiva contractual y de protección de datos) y cómo, pese a ello, sigue siendo un solo consentimiento.
Por lo que se refiere al concepto de consumidor, mientras que en el Derecho español se admite que las personas jurídicas puedan ser consumidoras[74], no ocurre así en general en Portugal[75]. En cualquier caso, como hemos dicho al inicio nuestras reflexiones se centran en el pago con datos personales de ciertos bienes y servicios digitales. Bien es cierto que un consumidor puede pagar tanto con datos personales como no personales[76], y que es posible la existencia de contratos entre empresas que paguen con datos[77]. Sin perjuicio del interés jurídico de uno y otro caso, aquél que ha despertado un encendido debate se refiere al uso de los propios datos personales como contraprestación. Por tanto, a los efectos de este estudio no tendremos en cuenta el pago con datos por parte de personas jurídicas (tuvieran o no la condición de consumidoras) en la medida en que nunca podrían pagar con datos “personales” habida cuenta de que el artículo 4.1 RGPD sí circunscribe la noción de dato personal como referido a personas físicas en toda la UE.
En relación con la doble función que cumple el consentimiento, una parte importante de la doctrina alemana ha propuesto separar ambos consentimientos basándose en el principio de abstracción[78]. De acuerdo con este razonamiento, en la medida en que existen dos instituciones diferentes (contrato y tratamiento de datos), debe diferenciarse entre el consentimiento contractual y el consentimiento al tratamiento de datos. De esta manera, sería posible defender la legalidad del uso de los datos como contraprestación desde el punto de vista de la lógica contractual aunque se considerase contario al RGPD[79]. Entendemos que resulta muy complicado separar en dos el consentimiento ya que (1) se produce en un solo acto, y (2), sobre todo, la consecuencia es la misma, la posibilidad de tratar los datos personales, aunque sean dos las lógicas normativas que la observan. Es diferente aplicar este principio en contratos como el de compraventa donde el régimen de transmisión no es espiritual a este caso. En el caso del contrato de compraventa, es posible distinguir tanto conceptualmente como en la práctica el consentimiento del vendedor a obligarse a transmitir la propiedad, de la transmisión de la propiedad (cfr. arts. 609 CC-ESP y 408, 409 y 879 CC-PT). En este caso el consentimiento es al tratamiento de datos por la contraparte contractual, que tiene la doble condición de proveedor de contenidos o servicios digitales y de responsable del tratamiento, del mismo modo que el consumidor tiene también la condición de interesado. Por ello, la perspectiva desde la que parte este trabajo es la de que, habida cuenta de que se trata de un único consentimiento, deben hallarse los puntos en común o los criterios interpretativos de ambas lógicas normativas de tal manera que se eviten antinomias[80].
El consentimiento al tratamiento de datos personales está regulado por el RGPD, particularmente por el artículo 4.11 (que lo define), y por los artículos 6.1.a (en caso de datos personales ordinarios) y 9.2.a (en caso de categorías especiales de datos como puedan ser los datos relativos a la salud, orientación sexual o religión). Todo tratamiento de datos debe estar amparado por una base de legitimación (art. 6 RGPD). En caso de tratarse de categorías especiales de datos, no es suficiente con una base de legitimación, sino que debe encontrarse además una excepción a la prohibición general de tratamiento de categorías especiales de datos del art. 9.1 RGPD. Entre estas excepciones se encuentra el consentimiento del titular de los datos.
Antes de entrar en las dudas que suscita la coordinación entre el consentimiento de acuerdo con la lógica del Derecho de contratos y el consentimiento de acuerdo con la lógica del Derecho de protección de datos[81], cabe preguntarse cómo debe ser este consentimiento. Si tenemos en cuenta el art. 3.8 de la Directiva 2019/770 en relación con el Considerando 37, podemos afirmar que el RGPD se aplica con carácter prevalente[82], por lo que parece razonable comenzar por el RGPD. Según el art. 4.11 debe entenderse por consentimiento “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen” (énfasis añadido). Por lo tanto, desde el punto de vista del RGPD el consentimiento debe ser inequívoco, pero no necesariamente expreso. Ello implica que es posible también un consentimiento tácito, es decir, emitido a través de una clara acción afirmativa. Sin embargo, cuando nos encontramos ante contratos de consumo, debemos tener en cuenta lo dispuesto en el art. 8.2 de la Directiva UE 2011/83, según el cual “el comerciante deberá velar porque el consumidor, al efectuar el pedido, confirme expresamente que es consciente de que implica una obligación de pago”, obligación que resulta aplicable en los contratos a distancia “incluso cuando el consumidor sólo está obligado a pagar al comerciante la remuneración cuando se cumpla una condición posterior”[83]. Por lo tanto, el consentimiento al tratamiento de datos como forma de pago debe ser expreso, pero no porque lo exija el RGPD (que admite el consentimiento tácito), sino cuando el interesado tenga además la condición de consumidor en la medida en que lo exige el art. 8.2 de la Directiva UE 2011/83.
El requisito que más dudas ofrece de cara a la coordinación de la lógica contractual con el RGPD es el de la libertad del consentimiento, que a su vez se relaciona con la noción (y extensión) de “perjuicio”. Con carácter general, cuando un titular de datos personales consiente el tratamiento de sus datos, debe poder retirar dicho consentimiento en todo momento y sin sufrir ningún tipo de perjuicio por ello. Así se establece con claridad en el art. 7.3 y los Considerandos 42 y 43 RGPD.
Además del “puro consentimiento” del titular de los datos, existen otras bases de legitimación. En lo que aquí interesa, los datos personales pueden tratarse cuando ello “es necesario para la ejecución de un contrato en el que el interesado es parte” (art. 6.2.b RGPD). Este punto es especialmente importante para analizar qué significa “pagar con datos” en contratos de suministro de contenidos o servicios digitales con consumidores. Antes de seguir, esta circunstancia sólo existe como “base de legitimación” (art. 6 RGPD), no como excepción a la prohibición general de tratamiento de categorías especiales de datos (art. 9.2 RGPD). Es decir, la ejecución de un contrato sólo habilita para tratar datos personales ordinarios, pero no para tratar categorías especiales de datos.
Por tanto, ninguna empresa debería decir que trata, por ejemplo, datos relativos a la salud, la vida sexual o las opiniones políticas (ni cualesquiera otros a los que se refiere el art. 9.1 RGPD como “categorías especiales de datos”) porque son necesarios para la correcta ejecución de un contrato. Pensemos en contratos de alojamiento turístico (ni la plataforma de alojamiento ni los establecimientos hoteleros) o de viaje combinado; o en contratos de uso de redes sociales. Tendrá que solicitar consentimiento explícito según el art. 9.2.a RGPD explicando las razones del tratamiento de datos (ej, para garantizar una mayor seguridad sanitaria en un contexto como el reciente de COVID-19), o ampararse en la protección de la salud pública (art. 9.2.i RGPD). Esta precaución es importante habida cuenta de la fuerte vis expansiva que las categorías especiales de datos: estaremos ante categorías especiales de datos siempre que éstos permitan revelar información comprendida en alguna de las categorías del artículo 9.1 RGPD, independientemente de que (1) los datos permitan revelar información comprendida en alguna de las categorías especiales de datos, (2) de que la información revelada sea o no exacta y (3) de que el responsable del tratamiento actuase con el fin de obtener datos de categorías especiales. Todo ello significa que en ciertas circunstancias la consulta de ciertas webs o la descarga de aplicaciones puede revelar datos de categorías especiales.[84]
El RGPD ha sido objeto de desarrollo nacional por parte de los Estados Miembros de la UE, posibilidad a la que se refiere a lo largo de todo el texto. Como botón de muestra podemos tomar el Considerando 8:
“En los casos en que el presente Reglamento establece que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros, éstos, en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios, pueden incorporar a su Derecho nacional elementos del presente Reglamento”.
Esta previsión resulta de interés en lo que se refiere a la regulación del consentimiento al tratamiento de datos, que como es evidente forma parte de las cuestiones nucleares del RGPD. Es decir, en principio no resultará necesario que los desarrollos nacionales del RGPD se refieran al consentimiento al tratamiento de datos, cuya regulación es completa en el RGPD; aunque podrán hacerlo si lo consideran necesario por razones de coherencia con el ordenamiento nacional o para facilitar la comprensión de los destinatarios de la norma.
Las aproximaciones de la Lei 58/2019 (Portugal)[85] y de la LO 3/2018 (España)[86] han sido muy diferentes en cuanto al desarrollo normativo del consentimiento.
Portugal ha optado por el desarrollo mínimo permitido por el propio RGPD en este aspecto, concretando cuestiones como la edad del menor para emitir consentimiento al tratamiento de sus datos.[87]
La LO 3/2018, en cambio, establece en su artículo 6 una regulación general del consentimiento, con el siguiente tenor literal:
“Artículo 6. Tratamiento basado en el consentimiento del afectado.
Los dos primeros apartados del artículo 6 son una reproducción casi literal de lo que ya establece el RGPD. Cabe preguntarse qué razones de coherencia y comprensibilidad de la norma exigían que se copiase parte (y no todo) de lo que dice el RGPD en materia de consentimiento. El tercer párrafo incide en una concreta interpretación del RGPD. Esta interpretación ha sido defendida por el CEPD en la Guía 5/2020 relativas al consentimiento al tratamiento de datos. Trataremos del art. 6.3 en detalle en la última parte de este trabajo.
4.2. Do res ut des data. La libertad de consentimiento en el RGPD y el Derecho de consumo
También es importante tener en cuenta el tratamiento de datos en el marco de la ejecución de contratos porque está íntimamente relacionado con la libertad de consentimiento al tratamiento de datos. Esta noción de libertad de consentimiento es fundamental para delimitar qué es pago con datos y qué no.
En muchas ocasiones se utiliza la existencia previa de un contrato como excusa para esconder lo que en realidad es un pago con datos, como ocurre por ejemplo en los contratos de redes sociales, donde en ocasiones se ha intentado argumentar que la navegación personalizada es parte fundamental de estos contratos en la medida en que el contrato ofrece al usuario una experiencia personalizada.
La correcta ejecución de un contrato como base de legitimación para el tratamiento de los datos personales del consumidor debe ser objeto de interpretación restrictiva, al igual que ocurre con el resto de bases de legitimación para el tratamiento de datos alternativas al consentimiento[88]. Es importante recordar que el RGPD no ve al titular de los datos como consumidor, sino como ciudadano; y que parte de la protección de datos como derecho fundamental (Cons. 1 RGPD[89]). Esto justifica que toda base de legitimación y, más aún, toda excepción a la prohibición de tratamiento, deban ser objeto de interpretación restrictiva. En este sentido, el TJUE ha afirmado recientemente que “la personalización de los contenidos no resulta necesaria para ofrecer a dicho usuario los servicios de la red social en línea” (Cons.102), ya que el tratamiento de datos “debe ser objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual destinada al interesado” (Cons. 98) y el hecho de que el tratamiento “se mencione en el contrato o de que únicamente sea útil para la ejecución de éste carece, en sí mismo, de pertinencia” al no constituir un tratamiento “esencial” (Cons. 99), sin perjuicio de que se trate de un interés legítimo por parte del responsable del tratamiento (Cons. 115)[90].
Este argumento tampoco debería ser válido desde la publicación de los Reglamentos de Mercados y Servicios Digitales[91], en la medida en que tanto uno como otro parten de una posición de desconfianza acerca de la navegación personalizada basada en analítica de datos hasta el punto de recomendar que se permita a los usuarios separarse fácilmente de estas opciones de navegación (Cons. 36 RMD; Cons. 68 RSD). Especial atención merece la personalización de contenidos basada en perfilado cuando las redes sociales están dirigidas a menores. El artículo 28.2 RSD establece que los prestadores de plataformas en línea (entre los que se encuentran las redes sociales) “no presentarán anuncios en su interfaz basados en la elaboración de perfiles, tal como se define en el artículo 4, punto 4, del Reglamento (UE) 2016/679, mediante la utilización de datos personales del destinatario del servicio cuando sean conscientes con una seguridad razonable de que el destinatario del servicio es un menor”[92].
En todo este panorama hay un concepto fundamental donde convergen la doble condición de un cliente de contenidos y servicios digitales como (1) titular de datos personales y (2) consumidor. Este concepto es la libertad de consentimiento al tratamiento de datos.
De acuerdo con el art. 4.11 el consentimiento debe ser libre, específico, informado e inequívoco; y puede manifestarse mediante una declaración o una clara acción afirmativa (ej, seguir navegando una vez avisado claramente de que esta acción significa aceptar el tratamiento de los datos).
El RGPD entiende que el consentimiento del titular de los datos no debe considerarse libremente emitido cuando (1) su retirada implica algún tipo de perjuicio para el interesado, o cuando (2) la prestación principal del contrato depende del consentimiento al tratamiento de datos a pesar de que éste no es necesario por razones contractuales, técnicas ni jurídicas (Cons. 42 y 43 RGPD). Centrémonos en el último aspecto, que se refiere al sinalagma do res ut des data.
El sinalagma do res ut des data no sólo significa “te doy la cosa para que me des tus datos”; sino, interpretado a sensu contrario, “no te doy la cosa hasta que no me des tus datos”, o “si no me das tus datos, no te doy la cosa”. La expresión que ha hecho fortuna en este año y que da título a nuestro trabajo: “pay or ok”. Hay que señalar, eso sí, que cuando el consumidor se compromete a facilitar datos se compromete exactamente a eso, “a facilitar datos personales al empresario” (art. 3.1-2º Directiva 2019/770), no a que los datos sean de una determinada calidad. Simplemente acepta herramientas de recolección y analítica de datos (cookies, por ejemplo). Esto redunda en la dificultad de estimar un valor monetario de los datos ya que la casuística es enorme; y también en la dificultad de implementar ciertos remedios a favor del consumidor como por ejemplo la acción de reducción del precio cuando la contraprestación es, simple y llanamente, facilitar datos personales.
¿Cuándo tiene sentido plantearse todo esto? Cuando dar los datos sirve precisamente para obtener la prestación. Es decir, cuando el consentimiento al tratamiento de datos no era previamente necesario por razones contractuales, técnicas o jurídicas; porque si fuera necesario por alguna de estas razones el empresario ya ha obtenido los datos del cliente. Cuestión distinta es que debe usarlos de acuerdo con la finalidad para la que los obtuvo y no ir más allá (principio de limitación de la finalidad, art. 5.1.b RGPD); y que la concreción de las finalidades compatibles para usos ulteriores de los datos también debe ser objeto de interpretación restrictiva[93].
Sobre esta situación se pronuncia el RGPD en el art. 7.4 del siguiente modo:
“Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”
Veamos qué dice y sobre todo qué no dice el art. 7.4 RGPD. Este artículo fija como criterio para valorar si el consentimiento se ha emitido libremente si se ha vinculado la ejecución del contrato o la prestación de un servicio al consentimiento al tratamiento de datos (cuando éstos no son necesarios). Dice, además, que este elemento deberá tenerse en cuenta “en la mayor medida posible”. ¿Qué no dice? En primer lugar, no dice cuál debe ser la consecuencia jurídica de constar que la prestación se ha vinculado a la entrega de datos; y, por tanto, menos todavía afirma que la consecuencia jurídica de constatar esta vinculación deba ser radical y absolutamente una o radical y absolutamente otra. Dicho de otra forma, el art. 7.4 RGPD no afirma que “constatado que la prestación de un servicio se supedita al consentimiento al tratamiento de datos, este consentimiento se entiende como no libremente emitido”. Tampoco afirma lo contrario. Únicamente dice que esto se debe tener en cuenta para decidir si el consentimiento se ha emitido de forma libre o no. Además, deberá tenerse en cuenta “en la mayor medida posible”. Es decir, podrán darse situaciones en que se tenga en cuenta en mayor medida y otras en que se tenga en cuenta en menor medida, sin que en uno u otro caso se produzca un incumplimiento del art. 7.4 RGPD.
Como puede verse, una lectura atenta del art. 7.4 RGPD lleva a entender que se trata de una disposición menos rígida de lo que pudiera parecer en un primer momento; y sobre todo, que se trata de una norma que: (1) obliga a examinar si existe vinculación entre prestación y consentimiento al tratamiento de datos; (2) pero no a extraer una consecuencia jurídica concreta de que exista o de que no exista; y que, por último, (3) da margen a una aplicación que atienda a las circunstancias de cada caso a la hora de entender si hay o no libertad de consentimiento.
Así, el aplicador de esta norma deberá decidir si hay libertad de consentimiento o no incluyendo en su razonamiento la vinculación prestación/datos; pero no estará obligado a decir que no se da tal libertad porque se vinculan prestación y datos[94].
El Considerando 43 dice que el consentimiento se presume no libre cuando se convierta en requisito imprescindible para la entrega de la prestación; pero no dice que esta presunción sea iuris et de iure[95]. Veámoslo:
“Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular.
Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento.”
En la primera mitad se dice que no habrá consentimiento libre cuando exista claro desequilibrio y especialmente si el responsable del tratamiento es una autoridad pública; mientras que en la segunda mitad dice que “se presumirá”[96] que no es libre en otras situaciones. Es decir, podemos entender que se trata de una presunción iuris tantum. Por lo tanto, deberá prestarse especial atención a las situaciones de sinalagma do res ut des data (entre las que se incluyen los muros de cookies, más conocidas últimamente como “pay or ok”) partiendo de que son situaciones de consentimiento falto de libertad; pero pudiendo llegar a la conclusión en cada caso de que efectivamente sí hay libertad de consentimiento[97]. Esto no sólo es coherente con la lectura completa del Considerando 43 RGPD, sino que también: (1) respeta el espíritu de favorecer la libre circulación de los datos del propio RGPD[98] y de la Estrategia europea de datos[99]; y (2) permite interpretar el RGPD de tal manera que no sea un obstáculo para regular la realidad de la economía de los datos en el Derecho digital de consumo.
En la Guía 05/2020 sobre consentimiento[100] el CEPDCEPD se refiere al sinalagma do res ut des data, al que llama “cookie wall”, y lo pone como ejemplo de un consentimiento no libre. Las cookies no técnicas (aquellas que no son necesarias para que la web o el programa concreto puedan funcionar) se han convertido en los principales instrumentos recolectores de datos personales en el contexto de la contratación digital con consumidores a partir del consentimiento de éstos.[101]
El ejemplo 6.a del CEPD (parágrafo 40) no deja lugar a dudas:
“A website provider puts into place a script that will block content from being visible except for a request to accept cookies and the information about which cookies are being set and for what purposes data will be processed. There is no possibility to access the content without clicking on the “accept cookies” button. Since the data subject is not presented with a genuine choice, its content is not freely given.”
¿Debe seguirse la interpretación del CEPD emitida en las Guías con tanta claridad? No necesariamente. Las Guías emitidas por las autoridades de protección de datos son documentos interpretativos de la norma, pero no tienen carácter vinculante ni dentro de la propia estructura administrativa de la respectiva oficina ni fuera. Cosa distinta son las circulares, y únicamente a efectos internos de la propia Administración que las emite. Las Guías son documentos de enorme utilidad para la interpretación de la norma, más aun teniendo en cuenta que es la propia oficina encargada de vigilar el cumplimiento de la norma la que las publica. Pero no constituyen una interpretación auténtica de la misma.
La interpretación que aquí se propone pretende entender que los muros de cookies son un instrumento perfectamente acorde con el RGPD en el contexto de los contratos de suministro de contenidos y servicios digitales con consumidores en la medida en que son un instrumento útil (por el momento, uno de los más extendidos si no el que más) para canalizar el pago con datos. Todo ello sin perjuicio de que deba partirse de la presunción iuris tantum de que en situaciones de muro de cookies y, en general, pago con datos, no hay libertad de consentimiento por parte del titular en cumplimiento del Considerando 43 in fineRGPD. Pero teniendo claro que al tratarse de una presunción iuris tantum puede quedar destruida en cada caso concreto demostrando que el consumidor quiso libre y voluntariamente pagar con sus datos (por ejemplo, si teniendo la opción de pago monetario prefirió optar por consentir el tratamiento de sus datos para no tener que pagar precio monetario). Dicho más claramente, el criterio del CEPD no es del todo correcto en el contexto de la contratación digital con consumidores, pues cierra la puerta sin posibilidad de matices o aplicación adaptada a cada caso a la posibilidad de pagar con los propios datos personales ciertos contenidos y servicios digitales.
En la STJUE de 4 de julio de 2023 parece respaldarse esta postura, así como el propio modelo “pay or ok”, cuando se afirma que el tratamiento de datos para personalización no parece que sea estrictamente necesario para la ejecución del contrato (Cons. 149), y que (Cons. 150):
“en el marco del proceso contractual, esos usuarios deben disponer de la libertad de negarse individualmente a prestar su consentimiento a operaciones particulares de tratamiento de datos que no sean necesarias para la ejecución del contrato, sin verse por ello obligados a renunciar íntegramente a la utilización del servicio ofrecido por el operador de la red social en línea, lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente no acompañada de tales operaciones de tratamiento de datos.”[102]
Este Considerando y otros anteriores ya referidos son importantes a los efectos de este apartado ya que: (1) descartan que el tratamiento de datos a efectos de personalización forme parte de la ejecución del contrato y con ello el art. 6.1.b RGPD como base de legitimación, dejando como única posibilidad el libre consentimiento a… pagar con datos personales; y (2) cuestionan que la voluntad del usuario de aceptar pasar por un muro de cookies (“pay or ok”) sea contraria a la libertad de consentimiento del art. 4.11 RGPD. Cuando el TJUE afirma que todo ello implica ofrecer a los usuarios una alternativa de uso equivalente no acompañada de tratamiento de datos, pero sí a cambio de una remuneración adecuada está, precisamente, afirmando que este modelo es válido de acuerdo con el RGPD. Las Sentencias del TJUE constituyen, de acuerdo con el art. 267 TFUE, una interpretación auténtica de las normas del Derecho de la UE[103]
Estando reconocida esta posibilidad en la Directiva 2019/770 y las diferentes adaptaciones a los Ordenamientos nacionales de los Estados miembros debe procurarse una interpretación del RGPD que evite antinomias. Hay que tener claro que el RGPD prevalece sobre la Directiva 2019/770 (Cons. 37 y 38), y por lo tanto lo discutible aquí no es el conflicto entre Directiva 2019/770 y RGPD; sino entre Directiva 2019/770 y una concreta interpretación del RGPD, que es la que defienden la CEPD (Guía 5/2020 sobre consentimiento) y el SEPD (Opinión 4/2017, sobre la Propuesta de Directiva, hoy Directiva 2019/770).
4.3. El consentimiento responsable del consumidor en contratos digitales donde paga con sus datos
Aceptada la realidad de que en ciertos contratos digitales se paga con datos, queda por destacar un último aspecto, y es la necesidad de que el cliente que paga con datos (el consumidor) sea responsable de sus propios actos[104]. De lo contrario, se emitiría un consentimiento irresponsable que colocaría al proveedor de contenidos y servicios digitales en una situación de precariedad[105] en la medida en que debe devolver al consumidor sus datos en cualquier momento sin que esto pueda afectar a la prestación de servicios a la que le obliga el contrato. Nuevamente, resulta necesaria una interpretación del RGPD que no choque frontalmente con la Directiva 2019/770, lo cual pasa por una interpretación restrictiva de lo que significa “perjuicio” en el RGPD.
Según el Considerando 42 RGPD, no debe entenderse que el consentimiento se ha prestado libremente cuando el titular de los datos no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. La clave de un buen entendimiento entre la Directiva 2019/770 y el RGPD en lo que se refiere a este punto está en determinar qué significa “perjuicio”.
Teniendo en cuenta la aproximación expansiva de la noción de “perjuicio” que ofrece el CEPD tanto en la Guía 5/2020 como en la Opinión 8/2024 conviene analizarla en dos fases diferentes del íter contractual: en la fase de formación del contrato, y en la fase de ejecución del contrato. En la fase de formación del contrato, se entiende por perjuicio exclusión del servicio a aquellas personas que no consientan el tratamiento de sus datos. Esto reconduce a la viabilidad de los muros de cookies, sobre la que acabamos de pronunciarnos[106]. En fase de ejecución del contrato, una noción expansiva de la expresión “perjuicio” implica situaciones como las siguientes tras la retirada del consentimiento al tratamiento de los datos: (1) disminución del rendimiento del servicio[107]; o (2) la obligación del consumidor de pagar una tarifa alternativa (monetaria) desde ese momento[108].
Una concepción expansiva de la noción de perjuicio derivaría en un potencial enriquecimiento injusto por parte del consumidor una vez decidiese libremente retirar su consentimiento al tratamiento de datos tal como le permite el art. 7.3 RGPD.
Esta situación de desequilibrio puede corregirse si se adopta una interpretación alternativa y más restrictiva de la noción de “perjuicio”; partiendo de que toda libertad conlleva responsabilidad, y que la retirada del consentimiento al tratamiento de datos debe permitirse (de acuerdo con el RGPD), pero respetando el equilibrio contractual de las partes. En este sentido, parece razonable optar por una noción restrictiva del término “perjuicio”, entendiendo por tal todo aquello que vaya más allá de la obligación de restitución recíproca de las prestaciones tras la resolución contractual. Que el consumidor se vea obligado a devolver el contenido digital, a dejar de disfrutar del servicio digital, o a disfrutar del servicio digital en condiciones básicas y no premium no debería entenderse como un “perjuicio”, sino meramente como un reajuste del equilibrio contractual.
Tomemos como ejemplo el del CEPD: un cliente abre una cuenta bancaria con “tarifa cero”[109]. El banco pide al cliente su consentimiento para permitir que terceros utilicen sus datos de pago con fines de mercadotecnia directa. Si el cliente se niega a dar su consentimiento a este tratamiento de datos, se le denegarán los servicios bancarios o se transformará la cuenta bancaria con “tarifa cero” en una cuenta bancaria con “tarifa 5 euros”. Si el cliente acepta al principio, pero después decide retirar el consentimiento al tratamiento de datos, el banco podría cancelar su cuenta o cobrar cinco euros como pago alternativo a los datos.
Este ejemplo lo señala el CEPD como muestra de un consentimiento no libre. Sin embargo, se trata simplemente de un criterio por el cual la entidad bancaria pretende preservar el equilibrio negocial, facilitando una alternativa monetaria para el caso de que el consumidor, en ejercicio de su derecho, decidiese retirar el consentimiento al tratamiento de datos. No debe entenderse esta cuestión como “perjuicio” en la medida en que en caso de que se tratara de la retirada de cualquier otra contraprestación, no parecería razonable que el consumidor siguiera disfrutando en las mismas condiciones de la prestación recibida[110]. Volvemos, por tanto, al criterio expresado por la STJUE de 4 de julio de 2023 en el Cons. 150. Si el ejercicio de la libertad individual en los contratos de suministro de contenidos y servicios digitales (entre los que podemos entender comprendidos los contratos de acceso y uso de redes sociales) se traduce en que el usuario pueda elegir entre pagar con sus datos o con una “remuneración (monetaria) adecuada”, parece razonable colegir que cuando el contrato es duradero (como ocurre en los contratos de redes sociales, pero no sólo) podrá optar por cambiar el método de pago: datos o remuneración adecuada. Otra cosa diferente es precisar qué es una “remuneración adecuada” en palabras del TJUE.
La Directiva 2019/770 se abstiene de regular las consecuencias de la retirada del consentimiento al tratamiento de datos por parte del consumidor, pero lo hace de una manera que hace suponer que quizás estaba pensando en inhibirse de entrar en el derecho contractual de los Estados miembros. Afirma el Cons. 40 que “la presente Directiva no debe regular las consecuencias para los contratos sujetos a la presente Directiva en caso de que el consumidor retire el consentimiento para el tratamiento de sus datos personales. Esta cuestión sigue siendo competencia del Derecho nacional”. Las consecuencias de la retirada del consentimiento al tratamiento de datos están reguladas por el RGPD, que en su caso puede venir desarrollado por el Derecho nacional (como efectivamente ocurre), y la Directiva 2019/770 se aplica sin perjuicio del RGPD (Cons. 37)[111]. Al margen de la redacción un tanto redundante del Cons. 40, el olvido en la mención del RGPD nada menos que en la retirada del consentimiento al tratamiento de datos y la cercanía con el Cons. 12, relativo a normas nacionales en materia de contratos sugieren, nuevamente, que si bien se aceptó la crítica del SEPD el sistema de la Directiva no cambió[112].
Cabe preguntarse, en definitiva, qué ocurre cuando el consumidor retira el consentimiento al tratamiento de sus datos de acuerdo con una interpretación del RGPD que no fuese frontalmente contraria a la lógica contractual de la Directiva 2019/770. A pesar de la inhibición del Cons. 40, podemos tomar como punto de referencia en la Directiva el art. 16, relativo a las obligaciones del empresario en caso de resolución del contrato. No nos ocuparemos aquí de examinar el art. 16 de la Directiva ni las consecuencias de la resolución contractual en su conjunto, ni tampoco las relativas a la restitución de contenidos digitales y datos no personales.
De acuerdo con el art. 16 de la Directiva 2019/770:
– “El empresario reembolsará al consumidor únicamente la parte proporcional del precio pagado correspondiente al período durante el cual los contenidos o servicios digitales no fuesen conformes” (art. 16.1-2º);
– “Se abstendrá de utilizar cualquier contenido distinto de los datos personales que el consumidor hubiese facilitado” salvo cuando se den ciertas circunstancias como son (1) que no tenga utilidad fuera del contexto de los contenidos o servicios digitales suministrados, (2) que esté exclusivamente relacionado con la actividad del consumidor durante el uso de los contenidos o servicios digitales suministrados, (3) que haya sido agregado con otros datos y no pueda desagregarse sino realizando “esfuerzos desproporcionados”, o (4) que haya sido generado conjuntamente por el consumidor y otras personas y otros consumidores puedan continuar haciendo uso (art. 16.3);
– Y “en relación con los datos personales del consumidor, el empresario cumplirá las obligaciones aplicables de conformidad con el RGPD” (art. 16.2).
Teniendo en cuenta los criterios señalados, podemos realizar algunas consideraciones acerca de las consecuencias de la retirada del consentimiento al tratamiento de datos personales por parte del consumidor.
Algunas de las excepciones previstas en el art. 16.3 (referidas a contenidos digitales facilitados por el consumidor) pueden necesitar de esfuerzos de coordinación con el RGPD si tenemos en cuenta que el concepto amplio de contenido digital de la Directiva (art. 2.1) incluye también datos personales. Por otra parte, una vista global de las excepciones sugiere que se pretende no entorpecer los modelos de negocio basados en big data[113].
Respecto de la retirada al consentimiento de datos debe hacerse una consideración preliminar, común independientemente de la lógica normativa desde la que se examine la cuestión: existen factores que dificultan enormemente la eliminación total de los datos[114] y su completa seudonimización es igualmente muy complicada hasta el punto de que el RGPD opta por hablar únicamente de seudonimización (art. 4.5). Todo ello lleva a la necesidad de no exigir la retirada total y absoluta de los datos en la medida en que ni siquiera el propio RGPD lo hace. Lo que sí proporciona el RGPD son herramientas normativas que, más allá de su exigibilidad como derechos de los interesados, permiten dar contenido a la retirada del consentimiento por parte del consumidor, en particular los derechos a la supresión y a la limitación del tratamiento, e incluso del derecho de portabilidad (arts. 17, 18 y 20 RGPD)[115].
Derivado de lo anterior, una cuestión no menos importante: no se puede deshacer lo ya hecho. Esto implica que la retirada del consentimiento por parte del consumidor se materializará en la práctica en una obligación de abstención del uso de datos a futuro por parte del empresario, que resultaría un esfuerzo desproporcionado (caso de que pudiera llevarse a cabo) eliminar los datos cuando éstos han sido agregados (cfr. art. 16.3 Directiva 2019/770)[116].
Finalmente, el empresario, en su condición de responsable del tratamiento, debe ser capaz de demostrar que ha cumplido con los principios relativos al tratamiento de datos (art. 5.2 RGPD), y particularmente con los principios de limitación de la finalidad (art. 5.1.b RGPD) y limitación del plazo de conservación (art. 5.1.e RGPD) cuando el consumidor retira su consentimiento al tratamiento de datos. Una declaración unilateral del empresario afirmando que ha cesado en el tratamiento de datos no parece suficiente para ofrecer certidumbre a este respecto, por lo que parece razonable la propuesta de Cámara Lapuente de una certificación de terceros de confianza, o algún instrumento similar que evite obligar en la práctica al consumidor a creer en la palabra del empresario sin más[117].
La Directiva 2019/770, como bien señala el Decreto-Lei nº 84/2021 de 18 de outubro, “assegura que o consumidor que faculta dados pessoais para usufruir de um conteúdo ou serviço digital passa a estar protegido por um conjunto de direitos, caso ocorra o não fornecimento dos mesmos ou falta de conformidade”. Es decir, se reconoce, aunque no se nombra como tal, que los datos personales funcionan como contraprestación y que por lo tanto no deben ser lo mismo aquellos contratos en los que el consumidor no da nada a cambio que aquellos otros en los que sí da algo a cambio, aunque no sea dinero. En pocas palabras, no son contratos gratuitos[118]. Esto ya lo reflejaba el Considerando 18 de la frustrada propuesta de Reglamento de Compraventa Europea (CESL); si bien el nivel de protección era diferente dependiendo de si se pagaba con dinero o si la contraprestación era otra diferente como podrían ser por ejemplo datos personales (cfr. art. 107)[119].
La transposición española de la Directiva 2019/770 sí menciona, aunque de manera accidental, la expresión “datos como contraprestación” (art. 119 ter TRLGDCU[120]). En cualquier caso, el criterio fundamental está recogido en el artículo 3 de la Directiva y desarrollado en el Considerando 24 de la misma. Para examinar la realidad del pago con datos no sólo hay que tener en cuenta la transposición de esta Directiva en los Estados Miembros (Decreto-Lei 84/2021 en Portugal y RD-Ley 7/2021 de modificación del TRLGDCU en España). También hay que tener en cuenta el desarrollo nacional del RGPD (Lei 58/2019 en Portugal; y LO 3/2018 en España).
La Directiva 2019/770 reconoce la prevalencia del RGPD, cuando afirma en su Considerando 39 que “el derecho del consumidor a resolver el contrato con arreglo a la presente Directiva debe entenderse sin perjuicio del derecho del consumidor con arreglo al Reglamento (UE) 2016/679 a retirar cualquier consentimiento otorgado al tratamiento de los datos personales del consumidor”. En este aspecto hay una pequeña luz de esperanza depositada en los ordenamientos nacionales de los Estados Miembros, puesto que el Considerando 40 de la Directiva deja en manos de éstos la regulación de las consecuencias de la retirada del consentimiento por parte del consumidor cuando afirma que la Directiva “no debe regular las consecuencias para los contratos sujetos a la presente Directiva en caso de que el consumidor retire el consentimiento para el tratamiento de sus datos personales”, y finaliza señalando que “esta cuestión sigue siendo competencia del Derecho nacional”. El último inciso es también importante para el tema del que nos ocupamos: las consecuencias contractuales de la retirada del consentimiento para el tratamiento de datos son competencia del Derecho nacional (Códigos civiles, normas nacionales de consumo); pero no del RGPD.
La Lei 58/2019 (Ley de Protección de Datos Personales de Portugal) no desarrolla la regulación del consentimiento al tratamiento de datos más de lo que está regulado en el RGPD. La LO 3/2018 (Ley de Protección de Datos Personales y Garantía de los Derechos Digitales de España) sí va más allá del RGPD y en su artículo 6.3 afirma lo siguiente: “No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual”. España, por tanto, hace suyo y eleva a categoría de Ley Orgánica los criterios acerca del consentimiento al tratamiento de datos del CEPD en su Guía 5/2020 y particularmente una interpretación concreta acerca de la posibilidad de vincular la prestación de un contenido o servicio digital al consentimiento al tratamiento de datos.
El caso que antes mencionábamos de la cuenta bancaria con “tarifa cero” es un caso real ocurrido en España que tiene como protagonista a la entidad Bankia, y por la que dicha entidad recibió una multa de 2 millones de euros por parte de la Autoridad Española de Protección de Datos (AEPD), precisamente debido a una “infracción del artículo 6 en relación con el 7.4 RGPD (…) en relación con la obtención del consentimiento para fines distintos a los propios del contrato condicionando su obtención a la exención de comisiones bancarias”[121].
La sanción de la AEPD es coherente con la interpretación de la libertad de consentimiento que propone la CEPD, en dos aspectos: (1) la vinculación del consentimiento a la prestación; y (2) las consecuencias negativas derivadas de la retirada. Sobre todo, es coherente con la interpretación que hace la LO 3/2018 española acerca de la posibilidad de pagar con datos en su artículo 6.3.
Sin embargo, no se tiene en cuenta la realidad del pago con datos descrita en la Directiva 2019/770 y su transposición a los ordenamientos nacionales. Por eso entendemos que el criterio de interpretación de la libertad de consentimiento del RGPD debería tomar en consideración una noción restrictiva del término “perjuicio” (siendo perjuicio todo lo que vaya más allá de la restitución recíproca de las prestaciones tras la resolución contractual) que permitiera una convivencia armónica entre RGPD y Directiva 2019/770. Esta postura es un problema de antinomia grave en España en que no son dos normas nacionales cualquiera. Sin embargo, la posibilidad de una interpretación flexible en este punto en Portugal es menos problemática al no tener la Lei 58/2019 un equivalente a nuestro artículo 6.3 LO 3/2018.
La cuestión relativa a las consecuencias de la retirada del consentimiento al tratamiento de los datos personales es común tanto en España como en Portugal. No hay desarrollo específico en las respectivas leyes nacionales de protección de datos, por lo que es posible entender que “perjuicio” significa todo aquello que vaya más allá de la restitución recíproca de las prestaciones derivada de la resolución de un contrato (art. 1303 CC-ESP; arts. 289 y 433 CC-PT).
En este punto, merece la pena tratar un precepto concreto del CC-PT que no tiene equivalente en el CC-ESP: el artículo 81.2. El artículo 81 CC-PT se refiere a la limitación voluntaria de los derechos de la personalidad, distinguiendo dos casos: (1) es nula toda limitación contraria a los derechos de la personalidad que fuese contraria al orden público[122]; y (2) aquellas limitaciones voluntarias al ejercicio de derechos de la personalidad no contrarias al orden público serán revocables, si bien con la obligación de indemnizar los prejuicios causados a las legítimas expectativas de la contraparte[123]. Adelantamos que no resulta aplicable este precepto a la retirada del consentimiento al tratamiento de datos cuando funciona como contraprestación, ya que no configura una obligación de restitución recíproca de las prestaciones[124]. Desarrollemos el argumento.
El derecho a la protección de datos es un derecho fundamental (Cons. 1 RGPD) cercano, pero no idéntico a otros derechos como el derecho a la privacidad, el derecho al honor o el derecho a la propia imagen[125]. Esta cercanía permite calificar el derecho a la protección de datos, también, como un derecho de la personalidad.
Por tanto, la pregunta que debemos hacernos en este punto es si puede pagarse o comerciarse con ciertos derechos de la personalidad. En palabras del art. 81.2 CC-PT, si la limitación voluntaria del ejercicio de derechos de la personalidad como contraprestación en ciertos contratos es siempre contraria al orden público (y por lo tanto ilegal) o si hay casos en que no es contraria al orden público.
En realidad, se trata de un debate con un largo recorrido histórico. Samuel D. Warren y Louis D. Brandeis ya reflexionaron acerca de esto a finales del siglo XIX en relación con la posibilidad de comerciar con los derechos a la intimidad y la propia imagen en un contexto en el que la “nueva tecnología” era la cámara de fotos. Estos autores se mostraron críticos con esta posibilidad[126]. Sin embargo, transcurrido el tiempo existe incluso doctrina jurisprudencial acerca de las consecuencias en la dimensión concreta de estos derechos fundamentales dependiendo del aprovechamiento económico que de los mismos hagan sus titulares.
A día de hoy, por tanto, existe aceptación jurisprudencial y social respecto de la posibilidad de comerciar con ciertos derechos de la personalidad como son la intimidad, el honor y la propia imagen; y el derecho a la protección de datos se encuentra sumamente próximo a éstos. Así las cosas, no parece que exista razón para negar al derecho a la protección de datos la utilidad económica que se reconoce a otros derechos de la personalidad que le resultan próximos.
Por tanto, volviendo al marco del art. 81.2 CC-PT, existen derechos de la personalidad cuyo aprovechamiento económico por parte de su titular debe considerarse contrario al orden público (ej, vender un órgano vital) y que por lo tanto son derechos extra commercium; y otros respecto de los que existe aceptación social e incluso jurisprudencial suficiente como para entender que su aprovechamiento económico no es contrario al orden público (derechos intra commercium). El derecho a la protección de datos, igual que el derecho a la propia imagen, a la intimidad o al honor, se encuentra entre los segundos.
Llegados a este punto cabe preguntarse: ¿resulta aplicable el art. 81.2 CC-PT a aquellas situaciones, como las que hemos visto, en que el consumidor retira su consentimiento al tratamiento de datos en el contexto de un contrato de contenidos o servicios digitales? No, no resulta aplicable. Pero explica muy bien la propuesta de interpretación del término “perjuicio” del Cons. 42 in fine que aquí se propone[127].
El art. 81.2 CC-PT configura una cláusula penal indemnizatoria para aquellos casos en que la persona titular de un derecho de la personalidad intra commercium decide recuperarlo y ello causa un perjuicio a la contraparte. Por ejemplo, pensemos en una campaña publicitaria con la imagen de una persona conocida. Se trata de un aprovechamiento económico de un derecho de la personalidad como es el derecho a la propia imagen. La persona tiene derecho a revocar la limitación voluntaria del derecho a la propia imagen que supone el contrato publicitario por el cual decide autolimitárselo. Pero en caso de hacerlo debe indemnizar los daños y perjuicios causados a la parte que la contrató para la campaña de publicidad.
A pesar de la proximidad entre el derecho a la protección de datos y derechos de la personalidad afines como la propia imagen, el honor o la intimidad; no parece razonable entender aplicable el art. 81.2 CC-PT a la retirada de los datos personales cuando funcionan como pago, precisamente en aplicación del art. 7.3 RGPD tal como lo interpreta el art. 42 in fine.
Hemos dicho más arriba que la noción de perjuicio debe interpretarse como todo aquello que vaya más allá de la restitución recíproca de las prestaciones. La restitución recíproca de las prestaciones, al igual que la excepción de contrato no cumplido, están orientadas a mantener el equilibrio contractual entre las partes[128]. En el caso del pago con datos, si se retiran los datos el consumidor debe asumir pasar de la versión premium a la versión free del contrato, o incluso restituir el contenido digital. Esto no debe entenderse como perjuicio, sino como restablecimiento del equilibrio negocial entre las partes.
En Portugal, el art. 81.2 CC-PT configura una cláusula penal indemnizatoria para el caso en que la recuperación del ejercicio pleno de un derecho de la personalidad (en el ejemplo de arriba, el derecho a la propia imagen) lesione las legítimas expectativas de la contraparte (siguiendo con el ejemplo, arruine la campaña publicitaria). La primera razón por la que no resulta aplicable el art. 81.2 CC-PT al pago con datos es que no cabe imaginar más legítimas expectativas del empresario que acepta datos como pago que poder aprovechar económicamente los mismos; y resulta difícil imaginar una lesión diferente que la mera imposibilidad de seguir aprovechándolos económicamente tras la retirada del consentimiento.La segunda razón, más importante desde el punto de vista de la normativa, es que el RGPD prohíbe que el titular de los datos sufra “perjuicio alguno” como consecuencia de la retirada de su consentimiento al tratamiento de datos (art. 7.3 en relación con Cons. 42 in fine); entendiendo por perjuicio todo aquello que vaya más allá de la mera restitución recíproca de las prestaciones. Como, por ejemplo, una cláusula penal indemnizatoria como la que configura el art. 81.2 CC-PT.
Si con esto respondemos a qué ocurre con el contrato cuando el consumidor retira los datos, también podemos preguntarnos qué ocurre con los datos cuando se extingue el contrato. En este caso la disparidad de causas de extinción del contrato no permite una respuesta sencilla, y tampoco lo es si tenemos en cuenta que en un contrato digital se aprovechan económicamente por el empresario datos personales y no personales (que, en principio, deberían tener un régimen diferenciado ya que a los últimos no se aplica el RGPD), pero que la noción de dato personal tiene una importante vis expansiva. Amén de la disparidad de causas de extinción del contrato, no parecería razonable establecer diferencias respecto de la supresión, recuperación y portabilidad de los datos si el contrato se extingue por incumplimiento o porque el consumidor ejerce legítimamente su derecho de desistimiento o el contrato es nulo; al menos desde una lógica contractual de consumo. Cuestión distinta es, de nuevo, la aplicación del RGPD[129].
Tras la publicación de la STJUE de 4 de julio de 2023, y la escueta afirmación acerca de que el usuario de una red social tiene libertad para negarse a prestar su consentimiento a operaciones de tratamiento de datos que impliquen navegación personalizada, “en su caso a cambio de una remuneración adecuada” (Cons. 150), se produjo una cascada de cambios en páginas web de todo tipo implementando el conocido modelo “pay or ok” y despertando críticas del CEPD, que a principios de 2024 anunció que debatiría el asunto[130]. Fruto de este debate se emitió la Opinión 8/2024 relativa al consentimiento válido en el contexto de los modelos “pay or ok” implementados por plataformas de muy gran tamaño[131]. Si bien ya hemos comentado algunas de las afirmaciones del CEPD a lo largo de este trabajo, la importancia de este documento merece una breve reseña descriptiva autónoma.
La opinión se emite en el marco del art. 64.2 RGPD a petición de las Autoridades holandesa y alemana de protección de datos, en reacción a la STJUE de 4 de julio de 2023[132]. La petición de las Autoridades nacionales de protección de datos se refiere a la implementación de este modelo en “plataformas de muy gran tamaño”. Este concepto ha sido acuñado con el Reglamento de Servicios Digitales, que lo define en el artículo 33.1: plataformas que (1) tengan un promedio mensual de destinatarios del servicio activos en la UE igual o superior a cuarenta y cinco millones, y (2) que sean designadas como tales por la Comisión de acuerdo con el procedimiento establecido en el art. 33.4 RSD. Por lo tanto, no sólo basta con reunir los requisitos de tamaño del art. 33.1, sino que es necesario ser designado como plataforma de muy gran tamaño. Sin embargo, el CEPD aclara que cuando habla de “plataformas de muy gran tamaño” incluye, pero no se limita, a las plataformas de muy gran tamaño del art. 33 RSD, sino que se refiere también a los guardianes de acceso del Reglamento de Mercados Digitales, y a aquellas otras plataformas que (1) tangan una posición dominante en el mercado, y/o (2) se sirvan de procesado de datos a gran escala. En aras de la seguridad jurídica, habría sido deseable emplear un término diferente para evitar que un concepto recientemente introducido en el Derecho de la UE tenga ya dos acepciones con evidentes diferencias, siendo la principal que en la delimitada por el CEPD no es necesario ser designado como tal.
Define los modelos “pay or ok” (“consent or pay models”) como modelos donde el responsable del tratamiento ofrece al interesado dos opciones: (1) consentir el tratamiento de datos a efectos de recibir publicidad personalizada (lo que es posible gracias a la instalación de cookies y otras tecnologías de rastreo), o (2) pagar un precio para poder acceder al servicio sin dicha publicidad personalizada[133]. La publicidad comportamental se sirve de cookies y tecnologías de rastreo de la navegación para desarrollar perfiles con los que ofrecer anuncios ajustados a los intereses (inferidos) de los usuarios en cada momento, lo cual puede producir riesgos de discriminación y manipulación[134].
Sentado este marco, el CEPD reflexiona acerca de la libertad de consentimiento al tratamiento de datos personales. Recuerda el criterio ya expresado en 2020 y previamente por el SEPD en 2017 acerca de que los datos personales no pueden ser un bien comercializable, así como la interpretación amplia de la noción de “perjuicio”, estableciendo estándares tan altos para entender que el consentimiento se ha prestado libremente que en la práctica resultaría difícilmente practicable cualquier modelo de negocio basado en el aprovechamiento económico de datos personales entregados como contraprestación (se pronuncie o no la palabra “contraprestación”). Sobre estas cuestiones ya hemos tratado a lo largo del trabajo. En relación con la libertad de consentimiento, sugiere que en el contexto de la publicidad comportamental (y, habría que añadir, contratos duraderos como son los contratos de acceso y uso de redes sociales) el consentimiento se entienda válido por períodos limitados de tiempo, como por ejemplo un año, debiendo renovarse cada vez que se superase dicho período[135].
Finalmente, se propone lo que llama FAWBA (Free Alternative Without Behavioural Advertising)[136] en plataformas de muy gran tamaño (entendidas éstas, como hemos visto, en sentido amplio), como una suerte de herramienta para la concreción en la práctica de la libertad de consentimiento tal como la entiende el CEPD. De acuerdo con el CEPD, los responsables del tratamiento deben proporcionar a los usuarios una alternativa equivalente del servicio que no implique procesado de datos a efectos de perfilado comportamental sin coste económico extra (en palabras del TJUE, sin, “en su caso, una remuneración adecuada”) de tal manera que se garantice plenamente la libertad de consentimiento del interesado.
A lo largo de todo este trabajo nos hemos pronunciado acerca de la conveniencia de una interpretación del RGPD que no choque frontalmente con la lógica contractual, por lo que no tiene sentido repetirse aquí. Sí parece importante, sin embargo, subrayar cómo una alternativa como la descrita redundaría en la identificación de consentimiento libre y consentimiento irresponsable. Si el proveedor del servicio o contenido digital está obligado a ofrecerlo al usuario, con igual calidad (para no producirle “perjuicio”) independientemente de si el usuario quiere pagar o no por dicho servicio, o si quiere consentir o no el tratamiento de sus datos, en la práctica está obligado a ofrecer el contenido o servicio digital de manera gratuita con la esperanza de que algunos usuarios, muy libremente, decidan darle datos o dinero. Ciertamente, ya ni los datos ni el dinero serían una contraprestación, probablemente tampoco fuese sostenible el modelo de negocio como tal, y difícilmente podría hablarse de consentimiento libre salvo que como tal se incluyera también el consentimiento irresponsable.
No se pretende cuestionar la conveniencia de procurar un entorno digital no sujeto a microsegmentación y presidido por el llamado capitalismo de la vigilancia. Esta cuestión comporta riesgos y perjuicios sociales a corto, medio y sobre todo largo plazo contra los que se debe luchar[137]. Sin embargo, ofrece serias dudas que la lucha contra todo esto pase por impedir a los consumidores y usuarios aprovechar económicamente sus propios datos personales cuando todo el sistema de la economía digital gira en torno al aprovechamiento económico de los datos (personales y no personales) sin que hasta ahora hayan (hayamos) recibido cualquier tipo de compensación económica por ello.
Pagar con los propios datos personales a través del consentimiento al tratamiento de los datos en el contexto de la contratación digital es una realidad, por incómoda que esta pueda parecer. Buenas muestras de esa incomodidad las encontramos en el SEPD (Opinión 4/2017) y el CEPD (Guías 5/2020 sobre consentimiento al tratamiento de datos, y Opinión 8/2024, sobre el modelo “pay or ok” en plataformas de muy gran tamaño). Pese a todo, la realidad del pago con datos ha continuado abriéndose camino y eso hace necesario establecer unas características mínimas en relación con el pago con datos.
En el primer semestre de 2024 hemos asistido al inicio de un intenso debate en torno ya no sólo en torno al pago con datos, sino a la compra de datos personales a raíz de la campaña iniciada por la empresa Worldcoin. Este asunto arroja un nuevo interrogante en torno a la realidad de la economía de datos: ¿debe considerarse que todos los datos personales son comercializables (bien pagando con ellos, bien vendiéndolos) o sólo cierto tipo de datos (y en este caso, cuáles serían comercializables y cuáles no?).
En primer lugar, un contrato en que los datos actúen como contraprestación es un contrato tan oneroso como cualquier otro en que la contraprestación es dineraria; y por lo tanto el consumidor debe gozar también de protección. Así lo refleja, por ejemplo, el Decreto-Lei 84/2021 de Portugal de transposición de la Directiva 2019/770 cuando afirma que en caso de que el consumidor entregue datos personales para disfrutar de contenidos o servicios digitales debe estar protegido por un conjunto de derechos, especialmente en caso de incumplimiento o falta de conformidad.
La noción de onerosidad la podemos encontrar en la catalogación de las causas del contrato en el art. 1274 CC español. No existe un equivalente en el CC portugués, pero sí una distinción entre modalidad onerosa y gratuita en diversos contratos particulares. En esencia, un contrato es oneroso cuando es fuente recíproca de atribuciones patrimoniales; y es gratuito cuando en lugar de esa reciprocidad, una parte se enriquece a costa de la otra sin dar una contrapartida. Para calificar como oneroso un contrato da igual que la contraprestación sea dineraria o de cualquier otro tipo, mientras que tenga utilidad económica en sentido amplio. Y los datos tienen utilidad económica.
Nos encontramos con un pago con datos personales cuando se dan estas tres circunstancias al mismo tiempo: (1) el tratamiento de datos se basa en el consentimiento del interesado; (2) el prestador del servicio o contenido digital vincula la prestación al consentimiento del consumidor (do res ut des data); y (3) si el consumidor retira el consentimiento al tratamiento de datos deberá afrontar las consecuencias contractuales relacionadas con la restitución recíproca de las prestaciones, pero no sufrir ningún tipo de perjuicio extra. El último de los requisitos es más bien una consecuencia: si los datos son un pago que convierte en oneroso el contrato, su retirada debe tener consecuencias contractuales. De lo contrario, más que libertad de consentimiento estaríamos ante irresponsabilidad de consentimiento y ello generaría un desequilibrio contractual inaceptable. Eso sí, ningún perjuicio extra puesto que el RGPD lo prohíbe (art. 7.3 y Cons. 42 in fine).
A pesar de lo extendido que se encuentra el pago con datos como realidad, hay dificultades normativas asociadas a una cierta interpretación del RGPD, y la transposición y desarrollo nacional que ciertos Estados Miembros han realizado del RGPD. Esto es posible gracias a que la Directiva 2019/770, en sus Considerandos 39 y 40 deja en manos de los Estados Miembros la regulación de las consecuencias contractuales de la emisión y retirada del consentimiento al tratamiento de datos personales al tiempo que reconoce el carácter prevalente del RGPD en este punto. Lo que no hace ni el RGPD ni la Directiva 2019/770 es proporcionar una interpretación concreta acerca de la responsabilidad del consumidor en relación con el uso de su consentimiento al tratamiento de datos como pago. El art. 7.4 RGPD establece que al evaluar si el consentimiento se ha emitido libremente se tendrá en cuenta si la prestación de un servicio se condiciona al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato; pero no dice en qué sentido debe tenerse en cuenta. Por ello, proponemos una interpretación concreta que permita convivir tanto la protección de datos personales como la economía de los datos.
En España, el art. 6.3 LO 3/2018 establece que “no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual”. Esta afirmación resume la postura del CEPD y del SEPD en los documentos antes mencionados y supondría una prohibición del pago con datos en España o, como mínimo, una antinomia con artículos como el 119 ter TRLDCU, que explícitamente habla de “datos como contraprestación”.
La situación en Portugal es menos problemática. Tanto desde la perspectiva de la Lei 58/2019 (de protección de datos), como desde la perspectiva del Decreto-Lei 84/2021 (de transposición de la Directiva 2019/770).
Desde la perspectiva del derecho de consumo, el Decreto-Lei 84/2021 constata que el consumidor entrega datos personales para disfrutar de contenidos y servicios digitales, pero no pronuncia “La-Palabra-Que-No-Debe-Ser-Nombrada” (“contraprestación”)[138], siguiendo en esto la Opinión 4/2017 del SEPD en relación con la entonces Propuesta de Directiva. En ese sentido de prudencia el art. 3.3.b del Decreto-Lei 84/2021 copia el art. 3.1 párrafo 2º de la Directiva.
En cuanto a la Lei 58/2019, no desarrolla el RGPD en materia de consentimiento y por lo tanto no opta por una interpretación concreta. Esta falta de desarrollo es una ventaja, puesto que ni la Lei 58/2019 ni el Decreto-Lei 84/2021 impiden interpretar el RGPD en un sentido favorable al pago con datos, aunque no lo llamemos con ese nombre.
Bibliografía
Antunes, José Engrácia, Direito do Consumo, Coimbra, Almedina, 2019
Ascarelli, Tulio, Teoría de la concurrencia y de los bienes inmateriales, Barcelona, Publicaciones del Real Colegio de España en Bolonia – Bosch, 1970
Barbosa, Mafalda Miranda, “Proteção de Dados, Consentimento e Tutela do Consumidor”, en Estudos de Direito do Consumidor, n.º 15, 2019, pp. 37-90
Barbosa, Mafalda Miranda, “Negócios onerosos e gratuitos: uma reflexão a propósito de novos fenómenos de gratuitidade”, en Revista de Direito Comercial, 2020, pp. 1809-1851
Bettencourt, Matilde Lopes de Mendonça Ortins de, “A Proteção do Consumidor em Contratos Digitais: Análise dos Contratos Celebrados com Dados Pessoais como Contraprestação”, en Anuário do NOVA Consumer Lab, Ano 3, 2021, pp. 387-476
Biondi, Biondo, I beni, Turín, Editrice Torniese, 1956
Cámara Lapuente, Sergio, “La nueva protección del consumidor de contenidos digitales tras la Ley 3/2014, de 27 de marzo”, en Revista CESCO de Derecho de Consumo, nº 11, 2014, pp. 79-167
Cámara Lapuente, Sergio, “El régimen de la falta de conformidad en el contrato de suministro de contenidos digitales según la Propuesta de Directiva de 9.12.2015”, en InDret – Revista para el análisis del Derecho, nº 3, 2016, pp. 1-91
Cámara Lapuente, Sergio, “Resolución contractual y destino de los datos y contenidos generados por los usuarios de servicios digitales”, en Cuadernos de Derecho Transnacional, vol. 12, nº 1, pp. 838-862
Cámara Lapuente, Sergio, “Extinción de los contratos sobre contenidos y servicios digitales y disponibilidad de los datos: supresión, recuperación y portabilidad”, en Castaños Castro, Paula; Castillo Parrilla, Jose Antonio (dirs.), El mercado digital en la Unión Europea, Madrid, Reus, 2019, pp. 157-249
Carvalho, Jorge Morais, Os Limites à Liberdade Contratual, Coimbra, Almedina, 2016
Carvalho, Jorge Morais, Compra e Venda e Fornecimento de Conteúdos e Serviços Digitais, Coimbra, Almedina, 2021
Carvalho, Jorge Morais, Manual de Direito do Consumo, 8.ª ed., Coimbra, Almedina, 2022
Castillo Parrilla, José Antonio, “A-palavra-que-não-pode-ser-pronunciada” – Pagar com dados pessoais em Portugal e em Espanha”, en NOVA Consumer Blog, 30/6/2023
Castillo Parrilla, Jose Antonio, “Economía digital y datos entendidos como bienes”, en en Castaños Castro, Paula; Castillo Parrilla, Jose Antonio (dirs.), El mercado digital en la Unión Europea, Madrid, Reus, 2019, pp. 279-301
Castillo Parrilla, José Antonio, “Los datos personales como contraprestación en la reforma del TRLGDCU y las tensiones normativas entre la economía de los datos y la interpretación garantista del RGPD”, en La Ley mercantil, nº 82, 2021
Cordeiro, A. Barreto Menezes (coord.), Comentário ao Regulamento Geral de Proteção de Dados e à Lei n.º 58/2019, Coimbra, Almedina, 2019
Cordeiro, António Menezes, Tratado de Direito Civil III – Parte Geeral – Coisas, Coimbra, Almedina, 2019
Cotino Hueso, Lorenzo, “Nuevo paradigma en las garantías de los derechos fundamentales y una nueva protección de datos frente al impacto social y colectivo de la inteligencia artificial”, en Derechos y garantías ante la inteligencia artificial y las decisiones automatizadas, Navarra, Aranzadi, pp. 69-105
De Franceschi, Alberto, La circolazione dei dati personale tra privacy e contratto, Napoli, Edizione Scientifiche Italiane, 2017
Díez-Picazo y Ponce de León, Luis, Fundamentos del Derecho Civil Patrimonial, vol. III, 5ª Edición, Madrid, Civitas, 2008
Farinha, Martim, “Os Limites da Proteção dos Consumidores no Regime do Tratamento de Dados Pessoais como Contraprestação na Diretiva (UE) 2019/770”, en Diretivas 2019/770 e 2019/771 e Decreto-Lei n.º 84/2021 – Compra e Venda, Fornecimento de Conteúdos e Serviços Digitais, Conformidade, Sustentabilidade e Dados Pessoais, Coimbra, Almedina, 2022, pp. 143-201
Fries, Martin, “Data as Counter-Performance in B2B Contracts”, en Lohsse, Sebastian; Schulze, Reiner; Staudenmayer, Dirk (Eds. Lits.), Data as Counter-Performance — Contract Law 2.0?, 5th, Münster Colloquia on EU Law and The Digital Economy V. Baden-Baden, Nomos/Hart Publishing, 2020, pp. 253-261
Galgano, Francesco, Trattato di Diritto civile, vol. 1, 3ª Edición, Padua, CEDAM, 2015
García Vicente, José Ramón, “Artículos 1274-1277”, en Comentarios al Código civil: tomo VII (arts. 1265 a 1484), Valencia, Tirant lo Blanch, 2013, pp. 9141-9145
Gil González, Elena, Big data, privacidad y protección de datos, Madrid, Agencia Española de Protección de Datos, 2022
Güven Taştan, Furkan, The (Im)Possibility Of Personal Data as an Object of Contracts: An Analysis of the GDPR and the Digital Content Directive, Tilburg, Universidad de Tilburg, Julio 2021
Hacker, Philipp, “Regulating the Economic Impact of Data as Counter-Performance: From The Illegality Doctrine To The Unfair Contract Terms Directive”, en Lohsse, Sebastian; Schulze, Reiner; Staudenmayer, Dirk (Eds. Lits.), Data as Counter-Performance — Contract Law 2.0?, 5th Münster Colloquia on Eu Law and the Digital Economy V. Baden-Baden, Nomos/Hart Publishing, 2020, pp. 47-76
Holmes, Down E., Big Data, Una breve introducción, Barcelona, Antoni Bosch, 2018
Jacquemin, Hervé, “Contracting Around Privacy: The (Behavioral) Law and Economics of Consent and Big Data”, en Journal of Intellectual Property, Information Technology and Electronic Commerce Law (Jipitec), Publicação Online, Vol. 8, No. 1 (2017), pp. 27–38
Jaume Palasí, Lorena, “Cómo la inteligencia artificial está impactando en las sociedades”, en Retos jurídicos de la inteligencia artificial, Navarra, Aranzadi, pp. 27-39
Mattioli, Michael, “Data policy in the United States: New Challenges”, en Intellectual Property Journal, nº 3, vol. 9, pp. 299-316
Metzger, Axel, “Data as Counter-Performance: What Rights and Duties do Parties Have?”, en Journal of Intellectual Property, Information Technology and E-Commerce Law, Vol. 8, n.º 1, 2017, pp. 2-8
Metzger, Axel, “A Market Model for Personal Data: State of Play Under The New Directive on Digital Content and Digital Services”, en Lohsse, Sebastian; Schulze, Reiner; Staudenmayer, Dirk (Eds. Lits.), Data as Counter-Performance — Contract Law 2.0?, 5th Münster Colloquia on Eu Law and the Digital Economy V. Baden-Baden, Nomos/Hart Publishing, 2020, pp. 25-45
Narciso, Madalena “Dados Pessoais como Contraprestação em Contratos de Consumo – Breve Reflexão”, en Anuário do NOVA Consumer Lab, Año 1, 2019, pp. 129-147
Quah, Danny, “Digital Goods and the New Economy”, Centre for Economic Performance, Londres, 2003
Rodríguez-Izquierdo Serrano, Myriam, “La posición de las sentencias del tribunal de justicia de la Unión Europea en el Sistema constitucional de fuentes”, en Teoría y realidad constitucional, nº 39, 2017, pp. 483-514
Santos Briz, Joaquín, Comentario al artículo 333 del Código civil, en Albaladejo García, M. (Dir.), Comentarios al Código civil y compilaciones forales, Tomo V, vol. 1, Madrid, Edersa, Madrid, 1980, pp. 2-25
Shapiro, Carl; Varian, Hal, El dominio de la información – Una guía estratégica para la economía de la red, Barcelona, Bosch, 2000
Schmidt-Kessel, Martin, “Right to Withdraw Consent to Data Processing – The Effect on the Contract”, en Lohsse, Sebastian; Schulze, Reiner; Staudenmayer, Dirk (Eds. Lits.), Data as Counter-Performance — Contract Law 2.0?, 5th Münster Colloquia on Eu Law and the Digital Economy V. Baden-Baden, Nomos/Hart Publishing, 2020, pp. 129-146
Spiekermann, M., “Data marketplaces: trends and monetisation of data goods”, en Intereconomics, n.º 54, 2019, pp. 208-216
Swinnen, K., “Ownership of data: four recommendations for future research”, Journal of Law, Property and Society, nº 5, pp. 139-177
Versaci, Guiseppe, “Personal Data and Contract Law: Challenges and Concerns about Economic Exploitation of the Right to Data Protection”, en European Review Contract Law, Vol. 14, n.º 4, 2018, pp. 374-392
Van Erp, Sjef, “Management as Ownership of Data”, en Lohsse, Sebastian; Schulze, Reiner; Staudenmayer, Dirk (Eds. Lits.), Data as Counter-Performance — Contract Law 2.0?, 5th Münster Colloquia on Eu Law and the Digital Economy V. Baden-Baden, Nomos/Hart Publishing, 2020, pp. 77-93
Warren, Samuel D.; Brandeis, Louis D, “The right to privacy”, en Harvard Law Review, nº 4, vol. 5, pp. 193-220
Zech, Herbert, “Data as a Tradeable Commodity”, en De Franceschi, Alberto (ed.), European Contract Law and the Digital Single Market – The Implications of the Digital Revolution, Cambridge, Intersentia, pp. 51-79
Zuboff, Shoshana, La era del capitalismo de la vigilancia. La lucha por un futuro humano frente a las nuevas fronteras del poder, Barcelona, Paidós, 2020
[1] Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales.
[2] Propuesta de Directiva del Parlamento Europeo y del Consejo relative a determinados aspectos de los contratos de suministro de contenidos digitales, COM(2015) 634 final.
[3] Supervisor Europeo de Protección de Datos, Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content, 14 Marzo 2017.
[4] Madalena Narciso, “Dados Pessoais como Contraprestação em Contratos de Consumo – Breve Reflexão”, en Anuário do NOVA Consumer Lab, Año 1, 2019, pp. 129-147, p. 145.
[5] STJUE de 4 de julio de 2023 (ECLI:EU:C:2023:537): https://curia.europa.eu/juris/document/document.jsf;jsessionid=F3DD0CA874FF40844471F2F6AC22FD50?text=&docid=275125&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=97875. Visitado por última vez el 29 de mayo de 2024.
[6] CEPD, Guidelines 5/2020, on consent under Regulation 2016/679, 4 Mayo 2020.
[7] CEPD, Opinion 8/2024, on valid consent in the context of consent or pay models implemented by large online platforms, 17 de abril de 2024.
[8] Para un breve análisis de este debate, véase Jorge Morais Carvalho, Manual de Direito do Consumo, 8.ª ed., Coimbra, Almedina, 2022, pp. 95 ss..
[9] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
[10] Sobre este tema, v. Jorge Morais Carvalho, Os Limites à Liberdade Contratual, Coimbra, Almedina, 2016, p. 9.
[11] Art. 1145 CC portugués (CC-PT), en relación con el contrato de préstamo (mútuo); art. 1158 CC-PT en relación con el contrato de mandato.
[12] Sobre la causa, José Ramón García Vicente, “Artículos 1274-1277”, Comentarios al Código civil: tomo VII (arts. 1265 a 1484), Valencia, Tirant lo Blanch, 2013, pp. 9150-9151.
[13] Arts. 2.6 PD 634/2015 y 2.7 Dir. 2019/770 respectivamente. En 2016 se presentaron enmiendas al texto por parte del Grupo de Trabajo de Derecho civil. Entre estas enmiendas figuraban la de suprimir la definición de precio o ampliarla, de manera que se entendiese por precio no sólo el dinero sino también “cualquier otro tipo de moneda o representación digital de valor incluida la moneda virtual, como los bitcoins, que se debe a cambio del suministro de contenido digital o de un servicio digital” (traducción propia). El texto de estas enmiendas puede encontrarse en: https://www.eumonitor.eu/9353000/1/j9vvik7m1c3gyxp/vk4zal0c4nzz. Visitado por última vez el 30 de mayo de 2024.
[14] Vid. Sergio Cámara Lapuente, “La nueva protección del consumidor de contenidos digitales tras la Ley 3/2014, de 27 de marzo”, en Revista CESCO de Derecho de Consumo, nº 11, 2014, p. 104, que afirma respecto de la entonces Propuesta 634/2015 que “cabe pensar en un precio no pecuniario que, como expresamente menciona la Propuesta CESL, hace que la normativa no deba depender de si se paga o no un precio por el contenido digital” (énfasis añadido). Oportunamente recuerda este autor el Considerando 18 de la Propuesta CESL, cuyo tenor literal guarda una evidente similitud con los Considerandos 13 y especialmente 14 de la Propuesta 634/2015.
[15] El Oxford English Dictionary (OED, inglés) define el término “price” como la cantidad de dinero que se tiene que pagar por algo (1ª acepción). Disponible en: https://www.oxfordlearnersdictionaries.com/definition/english/price_1. Visitado por última vez el 30 de mayo de 2024. Similares definiciones, ligadas en todo caso al dinero, pueden encontrarse en el Diccionario del Español Jurídico (DEJ, español), en la voz “precio”, 1ª acepción (https://dpej.rae.es/lema/precio, visitado por última vez el 30 de mayo de 2024), o en el Diccionario Porto Editora (portugués), en la voz “preço”, 1ª acepción (https://www.infopedia.pt/dicionarios/lingua-portuguesa-aao/pre%C3%A7o, última vez visitado el 30 de mayo de 2024).
[16] En el DEJ, la voz “contraprestación” se define como “prestación que retribuye la de otra parte en las obligaciones recíprocas”. https://dpej.rae.es/lema/contraprestaci%C3%B3n. Vistiado por última vez el 30 de mayo de 2024.
[17] Shoshana Zuboff, La era del capitalismo de la vigilancia. La lucha por un futuro humano frente a las nuevas fronteras del poder, Barcelona, Paidós, 2020, p. 21. Define la autora el capitalism de la vigilancia como una nueva forma de capitalism que “reclama para sí la experiencia humana, entendiéndola como una materia prima gratuita que puede traducir en datos de comportamiento […] como un excedente conductual privativo (propiedad) de las propias empresas capitalistas de la vigilancia [que] se usa como insumo de procesos avanzados de producción conocidos como inteligencia de máquinas, con los que se fabrican productos predictivos que prevén lo que cualquiera de ustedes hará ahora, en breve y más adelante”.
[18] Sobre este tema, Sergio Cámara Lapuente, “El régimen de la falta de conformidad en el contrato de suministro de contenidos digitales según la Propuesta de Directiva de 9.12.2015”, en InDret – Revista para el análisis del Derecho, n.º 3, 2016, pp. 21 y 25.
[19] Vid. infra sobre los datos como bienes.
[20] Art. 1462-2º CC, esto es, a través del otorgamiento de escritura pública siempre que de la misma no debiera deducirse claramente que no se pretende la entrega.
[21] Por ejemplo, a través de la entrega de títulos de pertenencia.
[22] Vid. infra, apdo. 4.1, en relación con la forma del consentimiento tanto desde la perspectiva del RGPD como desde la perspectiva del Derecho de consumo.
[23] Debe entenderse aquí la expresión “suministro” como sinónimo de entrega.
[24] Expresión añadida, si bien entendemos que se encuentra implícita en el tenor literal de la norma. Entendemos que se encuentra, sin embargo, suprimida, para evitar referencias al intercambio oneroso de datos; es decir, a su uso como contraprestación.
[25] Cfr. art. 5.1.b RGPD (principio de limitación de finalidad). Vid. infra, apdo. 4.1, sobre cuando el consentimiento es necesario para cumplir con finalidades legales o con el propio contrato.
[26] Comisión Europea, Comunicación “Building a European Data Economy, 10 de enero de 2017, p. 2.
[27] Comisión Europea, European Data Market Study 2021-2023, 2024, p. 44.
[28] M. Spiekermann, “Data marketplaces: trends and monetisation of data goods”, en Intereconomics, n.º 54, 2019, pp. 209-210.
[29] Comisión Europea, Comunicación “Hacia una economía de datos próspera”, 2 de julio de 2014.
[30] Comisión Europea, European Data Market Study 2021-2023, 2024, pp. 44-45.
[31] Comisión Europea, European Data Market Study 2021-2023, 2024, pp. 45 y 42.
[32] Comisión Europea, European Data Market Study 2021-2023, 2024, p. 76.
[33] Vid. infra, apdo. 5, sobre la Opinión 8/2024 del CEPD. Sin perjuicio de otros documentos ya referidos tanto del CEPD como del SEPD.
[34] K. Swinnen, “Ownership of data: four recommendations for future research”, en Journal of Law, Property and Society, Vol. 5, n.º 3, 2020, pp. 139-177, pp. 169-170.
[35] Samuel D. Warren y Louis D. Brandeis, “The right to privacy”, en Harvard Law Review, n.º 4, Vol. 5, pp. 193-220.
[36] Art. 15 CE; art. 25 CP; art. 3 Carta de Derechos Fundamentales de la UE.
[37] Supervisor Europeo de Protección de Datos, Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content, 14 Marzo 2017, p. 7.
[38] En Portugal, https://www.publico.pt/2024/03/26/tecnologia/noticia/comissao-proteccao-dados-suspende-recolha-dados-iris-worldcoin-2084876;
[39]https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/worldcoin-se-compromete-paralizar-su-actividad-en-espana
[40]https://www.aepd.es/prensa-y-comunicacion/blog/neurodatos-y-neurotecnologia-privacidad-y-proteccion-de-datos-personales
[41]https://www.aepd.es/prensa-y-comunicacion/blog/neurodatos-privacidad-y-proteccion-de-datos-personales-ii
[42] Sobre esta vis expansiva, STJUE de 4 de julio de 2023 (Cons. 73 y 89).
[43] Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el Espacio Europeo de Datos Sanitarios, Estrasburgo, 3 de mayo de 2022, COM (2022) 197 final.
[44] António Menezes Cordeiro, Tratado de Direito Civil III – Parte Geeral – Coisas, Coimbra, Almedina, 2019, pp. 13-16.
[45] Hay que aclarar que este texto, si bien del siglo II d. C., fue descubierto por Barthold Georg Niebuhr en 1816 (António Menezes Cordeiro, Tratado de Direito Civil III – Parte Geral – Coisas, cit., p. 17).
[46] António Menezes Cordeiro, Tratado de Direito Civil III – Parte Geral – Coisas, cit., pp. 29-33.
[47] Savigny se manifestó contra la vis expansiva del término cosa y propuso restringirlo a las corporales, siguiendo así lo ya afirmado por Kant en la Metafísica de las Costumbres, y apartándose de la clasificación de Gayo según la cual existen cosas corporales e incorporales.
[48] La definición del término “cosa” en el art. 202 CC-PT coincide con la del término “bien” en el art. 810: todo aquello que puede ser objeto de relaciones jurídicas.
[49] Vid. art. 1.2.b Directiva 1999/44/CE, art. 2.h Propuesta CESL; art. 2.3 Directiva UE 2011/83, o art. 2.5 Directiva UE 2019/771.
[50] Cfr. art. 2.5 Directiva UE 771/2019.
[51] Cfr. nuevamente aquí la coincidencia entre los artículos 202 CC-PT y 810 CC-IT. Sobre el concepto, v. Mafalda Miranda Barbosa, “Negócios onerosos e gratuitos: uma reflexão a propósito de novos fenómenos de gratuitidade”, en Revista de Direito Comercial, 2020, pp. 1809-1851, pp. 1843 y siguientes.
[52] Joaquín Santos Briz, Comentario al artículo 333 del Código civil, en Albaladejo García, M. (Dir.), Comentarios al Código civil y compilaciones forales, Tomo V, vol. 1, Madrid, Edersa, Madrid, 1980, p. 2.
[53] Biondo Biondi, I beni, Turín, Editrice Torniese, 1956, pp. 11-12.
[54] Philipp Hacker, “Regulating the Economic Impact of Data as Counter-Performance: From The Illegality Doctrine To The Unfair Contract Terms Directive”, en Data as Counter-Performance — Contract Law 2.0?, 5th Münster Colloquia on Eu Law and the Digital Economy, Nomos/Hart Publishing, 2020, pp. 48-54.
[55] Biondo Biondi, I beni, Turín, Editrice Torniese, 1956, pp. 23-24.
[56] Díez-Picazo y Ponce de León, Luis, Fundamentos del Derecho Civil Patrimonial, vol. III, 5ª Edición, Madrid, Civitas, 2008, p. 186. Sirva como ejemplo el art. 186 del CC-IT, que define las “universidades patrimoniales” como pluralidades de cosas que pertenecen a la misma persona y tienen un destino (económico) unitario.
[57] Cfr. art. 816 CC-IT, o art. 659 CC-ESP, relativo a la herencia.
[58] Pensemos por ejemplo en cómo distinguir un libro de un conjunto de libros.
[59] Cfr. art. 8.2 LH, que considera “fincas” (es decir, unidades) aquellas explotaciones agrícolas que formen una “unidad orgánica, aunque esté constituida por predios no colindantes”.
[60] Entiéndase, que reúnen todas las características que acabamos de relacionar respecto de los bienes en sentido funcional.
[61] La expresión es de Tulio Ascarelli, Teoría de la concurrencia y de los bienes inmateriales, Barcelona, Publicaciones del Real Colegio de España en Bolonia – Bosch, 1970.
[62] Michael Mattioli, “Data policy in the United States: New Challenges”, en Intellectual Property Journal, n.º 3, vol. 9, p. 311.
[63] Es decir, que pase por alto las diferencias nacionales reflejadas en los Códigos civiles de los diferentes Estados miembros.
[64] Danny Quah, “Digital Goods and the New Economy”, Centre for Economic Performance, Londres, 2003, p. 6.
[65] Carl Shapiro y Hal Varian, El dominio de la información – Una guía estratégica para la economía de la red, Barcelona, Bosch, 2000, p. 4.
[66] Danny Quah, “Digital Goods and the New Economy”, cit., p. 19.
[67] Herbert Zech, “Data as a Tradeable Commodity”, en Alberto De Franceschi (ed.), European Contract Law and the Digital Single Market – The Implications of the Digital Revolution, Cambridge, Intersentia, p. 54.
[68] José Antonio Castillo Parrilla, “Economía digital y datos entendidos como bienes”, en Paula Castaños Castro y José Antonio Castillo Parrilla (dirs.), El mercado digital en la Unión Europea, Madrid, Reus, 2019, pp. 279-301.
[69] Comisión Europea, Documento de trabajo “on the free flow of data and emerging issues of the European dada economy”, Bruselas, 10 de enero de 2017, pp. 19-21.
[70] Francesco Galgano, Trattato di Diritto civile, vol. 1, 3.ª edición, Padua, CEDAM, 2015, p. 370. Sjef Van Erp, “Management as Ownership of Data”, en Data as Counter-Performance — Contract Law 2.0?, cit., p. 87. En España, la STC 37/1987, de 26 de marzo, afirma que “la flexibilidad o plasticidad actual del dominio que se manifiesta en la existencia de diferentes tipos de propiedades dotadas de estatutos jurídicos diversos de acuerdo con la naturaleza de los bienes sobre los que cada derecho de propiedad recae”.
[71] En el Derecho portugués, se acepta en general la aplicación de parte de las normas del Derecho de consumo a los contratos gratuitos (Jorge Morais Carvalho, Manual de Direito do Consumo, cit., p. 199; José Engrácia Antunes, Direito do Consumo, Coimbra, Almedina, 2019, p. 60).
[72] Vid. infra, apado. 4.3.
[73] Alberto De Franceschi, La circolazione dei dati personale tra privacy e contratto, Napoli, Edizione Scientifiche Italiane, 2017, pp. 55-56 y 111-117.
[74] Art. 3.1-2º TRLGDCU: “Son también consumidores a efectos de esta norma las personas jurídicas y las entidades sin personalidad jurídica que actúen sin ánimo de lucro en un ámbito ajeno a una actividad comercial o empresarial”.
[75] Cfr. art. 2 Lei 24/96. Sobre el concepto de consumidor, v. Jorge Morais Carvalho, Manual de Direito do Consumo, cit., pp. 39 y siguientes.
[76] Sergio Cámara Lapuente, “Resolución contractual y destino de los datos y contenidos generados por los usuarios de servicios digitales”, en Cuadernos de Derecho Transnacional, vol. 12, n.º 1, p. 839.
[77] Martin Fries, “Data as Counter-Performance in B2B Contracts”, en Data as Counter-Performance — Contract Law 2.0?, cit., pp. 253-261.
[78] Martin Schmidt-Kessel, “Right to Withdraw Consent to Data Processing – The Effect on the Contract”, Data as Counter-Performance — Contract Law 2.0?, cit., pp. 130; Axel Metzger, “A Market Model for Personal Data: State of Play Under The New Directive on Digital Content and Digital Services”, Data as Counter-Performance — Contract Law 2.0?, cit., p. 33; Philipp Hacker, “Regulating the Economic Impact of Data as Counter-Performance: From The Illegality Doctrine To The Unfair Contract Terms Directive”, cit., p. 74.
[79] Philipp Hacker, “Regulating the Economic Impact of Data as Counter-Performance: From The Illegality Doctrine To The Unfair Contract Terms Directive”, cit., p. 74: “even when the provision of data violates data protection law, that finding should, as a general rule, not bar that data from qualifying as counter-performance under general contract law”.
[80] Las posibilidades de extensión del principio de abstracción a la lógica contractual desde una óptica comparada y aplicado al tema que nos ocupa requeriría de un tiempo y un espacio del que no disponemos.
[81] Entendemos que una y otra perspectiva deben interpretarse de forma armonizada en la medida en que el consentimiento es sólo uno, a pesar de tener efectos en dos esferas del Derecho diferentes. Cfr. Axel Metzger, “A Market Model for Personal Data: State of Play Under The New Directive on Digital Content and Digital Services”, Data as Counter-Performance — Contract Law 2.0?, cit., pp. 33-34, que propone distinguir y separar ambos consentimientos apoyándose en el principio de abstracción.
[82] Axel Metzger, “A Market Model for Personal Data: State of Play Under The New Directive on Digital Content and Digital Services”, cit., pp. 34.
[83] STJUE de 30 de mayo de 2024 (ECLI:EU:C:2024:436): https://curia.europa.eu/juris/document/document.jsf;jsessionid=E21C38D40F661FF5EA4287BFF1DFE6D1?text=&docid=286561&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=7580002).
[84] STJUE de 4 de julio de 2023, Considerandos 68 a 73.
[85] Lei n.º 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
[86] Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
[87]Vid. art. 8.1 párrafo 2º RGPD; y art. 16.1 Lei 58/2019, que rebaja la edad a 13 años respecto de los 16 años por defecto del art. 8.1 RGPD.
[88] Cons. 93 STJUE de 4 de julio de 2023.
[89] Vid. art. 8 de la Carta de los Derechos Fundamentales de la Unión Europea y el art. 16 del TFUE, ambos referidos en el Cons. 1 RGPD. En España la STC 292/2000, de 30 de noviembre afirma que el derecho a la protección de datos es un derecho fundamental diferenciado del derecho a la intimidad y encuadrado en el art. 18.4 CE.
[90] Por ello, debe informarse adecuadamente en el marco del art. 13 RGPD y realizarse un juicio de ponderación de los derechos e intereses en juego (art. 6.1.f RGPD), debiendo entenderse que dicho juicio no se supera cuando no se informa adecuadamente y por tanto la personalización no entra dentro de las expectativas razonables del usuario de la red social, ni siquiera habida cuenta de que éste no paga dinero por utilizarla (Cons. 112, 116 y 117 STJUE de 4 de julio de 2023).
[91] Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo de 14 de septiembre de 2022 sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales-RMD); Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales – RSD).
[92] Cfr. Cons. 95 RSD y Cons. 111 STJUE de 3 de julio de 2023, según el cual “los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Así pues, tal protección particular debe aplicarse, entre otros, al tratamiento de datos personales relativos a niños con fines de marketing, de creación de perfiles de personalidad o de usuario o incluso de oferta de servicios orientada directamente a niños”.
[93] Son usos ulteriores de los datos aquellos que no obedecen a la finalidad originaria para la que fueron recabados. Estos usos ulteriores deben ser compatibles con la finalidad originaria del tratamiento. De acuerdo con el Cons. 50 RGPD, en el examen de compatibilidad el responsable del tratamiento debe tener en cuenta, entre otras cosas, “cualquier relación entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista”.
[94] A. Barreto Menezes Cordeiro (coord.), Comentário ao Regulamento Geral de Proteção de Dados e à Lei n.º 58/2019, Coimbra, Almedina, 2019, p. 123; Matilde Lopes de Mendonça Ortins de Bettencourt, “A Proteção do Consumidor em Contratos Digitais: Análise dos Contratos Celebrados com Dados Pessoais como Contraprestação”, en Anuário do NOVA Consumer Lab, Ano 3, 2021, pp. 387-476, p. 412.
[95] José Antonio Castillo Parrilla, “Los datos personales como contraprestación en la reforma del TRLGDCU y las tensiones normativas entre la economía de los datos y la interpretación garantista del RGPD”, en La Ley mercantil, nº 82, 2021, epígrafe 7.
[96] Énfasis añadido.
[97] En este sentido, Martim Farinha, “Os Limites da Proteção dos Consumidores no Regime do Tratamento de Dados Pessoais como Contraprestação na Diretiva (UE) 2019/770”, en Diretivas 2019/770 e 2019/771 e Decreto-Lei n.º 84/2021 – Compra e Venda, Fornecimento de Conteúdos e Serviços Digitais, Conformidade, Sustentabilidade e Dados Pessoais, Coimbra, Almedina, 2022, pp. 143-201; Guiseppe Versaci, “Personal Data and Contract Law: Challenges and Concerns about Economic Exploitation of the Right to Data Protection”, en European Review Contract Law, Vol. 14, n.º 4, 2018, pp. 374-392, pp. 389 e 390; Axel Metzger, “Data as Counter-Performance: What Rights and Duties do Parties Have?”, en Journal of Intellectual Property, Information Technology and E-Commerce Law, Vol. 8, n.º 1, 2017, pp. 2-8, p. 4.
[98] Con frecuencia se suele olvidar el título completo del RGPD: relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales… “y a la libre circulación de estos datos” (énfasis añadido).
[99] Comunicación COM (2020) 66 final. Bruselas, 19 de febrero de 2020. Disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52020DC0066. Visitado por última vez el 29 de mayo de 2024. A modo de botón de muestra, en el apartado “2. ¿Qué está en juego? / La UE tiene mucho que ganar con la economía de los datos del futuro” se afirma lo siguiente: “tenemos que encontrar nuestro modo europeo de equilibrar el flujo y el amplio uso de los datos, preservando al mismo tiempo un elevado nivel de privacidad, protección, seguridad y ética” (p. 4).
[100] CEPD, Guidelines 5/2020, on consent under Regulation 2016/679, 4 Mayo 2020, parágrafos 39-41.
[101] Elena Gil González, Big data, privacidad y protección de datos, Madrid, Agencia Española de Protección de Datos, 2022, p. 62; Lorenzo Cotino Hueso, “Nuevo paradigma en las garantías de los derechos fundamentales y una nueva protección de datos frente al impacto social y colectivo de la inteligencia artificial”, en Derechos y garantías ante la inteligencia artificial y las decisiones automatizadas, Navarra, Aranzadi, pp. 78-80; Holmes, Big Data, Una breve introducción, Barcelona, Antoni Bosch, 2018, pp. 26-29; Lorena Jaume Palasí, “Cómo la inteligencia artificial está impactando en las sociedades”, en Retos jurídicos de la inteligencia artificial, Navarra, Aranzadi, pp. 32-34.
[102] Énfasis añadido.
[103] Sobre el particular, Myriam Rodríguez-Izquierdo Serrano, “La posición de las sentencias del tribunal de justicia de la Unión Europea en el Sistema constitucional de fuentes”, en Teoría y realidad constitucional, nº 39, 2017, p. 494.
[104] José Antonio Castillo Parrilla, “Los datos personales como contraprestación en la reforma del TRLGDCU y las tensiones normativas entre la economía de los datos y la interpretación garantista del RGPD”, en La Ley mercantil, nº 82, 2021, epígrafe 8.
[105] Alberto De Franceschi, La circolazione dei dati personale tra privacy e contratto, cit., pp. 55-56 y 111-117.
[106] Vid. supra, 4.2.
[107] CEPD, Guidelines 5/2020, on consent under Regulation 2016/679, 4 Mayo 2020, parágrafo 48; CEPD, Opinion 8/2024, on valid consent in the context of consent or pay models implemented by large online platforms, 17 de abril de 2024, parágrafo 89.
[108] CEPD, Guidelines 5/2020, on consent under Regulation 2016/679, 4 Mayo 2020, parágrafo 33; CEPD, Opinion 8/2024, on valid consent in the context of consent or pay models implemented by large online platforms, 17 de abril de 2024, parágrafos 84 y 86.
[109] CEPD, Guidelines 5/2020, on consent under Regulation 2016/679, 4 Mayo 2020, parágrafo 33.
[110] Trataremos de este ejemplo en el siguiente apartado, donde se analizarán de manera comparada las adaptaciones nacionales en Portugal y España tanto del RGPD como de la Directiva 2019/770.
[111] Más claramente se expresa el art. 52.2 del DL 84/2021 de transposición de las Directivas 770 y 771 cuando afirma que en caso de conflicto entre las disposiciones de dicha norma y el RGPD, prevalece el último.
[112] Axel Metzger, “A Market Model for Personal Data: State of Play Under The New Directive on Digital Content and Digital Services”, cit., p. 38.
[113] Sergio Cámara Lapuente, “Resolución contractual y destino de los datos y contenidos generados por los usuarios de servicios digitales”, cit., p. 855.
[114] Sergio Cámara Lapuente, “Resolución contractual y destino de los datos y contenidos generados por los usuarios de servicios digitales”, cit., p. 856.
[115] Cfr. en relación con este asunto y con consideraciones acerca de la compatibilidad de la normativa con el RGPD, Sergio Cámara Lapuente, “Resolución contractual y destino de los datos y contenidos generados por los usuarios de servicios digitales”, cit., pp. 856-860.
[116] Cfr. Cámara Lapuente, Sergio, “El régimen de la falta de conformidad en el contrato de suministro de contenidos digitales según la Propuesta de Directiva de 9.12.2015”, cit., p. 855, que critica que la balanza se haya situado en los “esfuerzos desproporcionados” y no en la “imposibilidad”, ya que “podría dar lugar a fáciles picarescas empresariales, pues bastará agregar determinados datos, lo que será habitual, por ejemplo, en el internet de las cosas”.
[117] Sergio Cámara Lapuente, “Resolución contractual y destino de los datos y contenidos generados por los usuarios de servicios digitales”, cit., p. 860.
[118] Jorge Morais Carvalho, Compra e Venda e Fornecimento de Conteúdos e Serviços Digitais, Coimbra, Almedina, 2021, p. 28.
[119] Sergio Cámara Lapuente, “La nueva protección del consumidor de contenidos digitales tras la Ley 3/2014, de 27 de marzo”, cit., pp. 100-105.
[120] Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios. RDL 1/2007 de 16 de noviembre.
[121]https://blog.psnsercon.com/wp-content/uploads/2022/03/ps-00226-2020.pdf
[122] Puede entenderse que esta regla está contenida en el artículo 1255 CC-ESP, si bien este artículo se refiere con carácter general a pactos contrarios al orden público.
[123] Art. 81.2 CC-PT: “A limitação voluntária, quando legal, é sempre revogável, ainda que com obrigação de indemnizar os prejuízos causados às legítimas expectativas da outra parte.”
[124] En este sentido, Martim Farinha, “Os Limites da Proteção dos Consumidores no Regime do Tratamento de Dados Pessoais como Contraprestação na Diretiva (UE) 2019/770”, cit..
[125] Vid. STC 292/2000; y art. 18.4 CE (que sirve de apoyo normativo para la construcción del derecho a la protección de datos en España) y su ubicación en el artículo 18, relativo a la protección de los derechos al honor, intimidad y propia imagen.
[126] Samuel D. Warren y Louis D. Brandeis, “The right to privacy”, en Harvard Law Review, nº 4, vol. 5, pp. 193-220
[127] A. Barreto Menezes Cordeiro (coord.), Comentário ao Regulamento Geral de Proteção de Dados e à Lei n.º 58/2019, cit., p. 123, argumenta que, “en última instancia, no sería excesivo imponer una solución idéntica a la prevista en la parte final del artículo 81.2 CC”. Mafalda Miranda Barbosa, “Proteção de Dados, Consentimento e Tutela do Consumidor”, en Estudos de Direito do Consumidor, n.º 15, 2019, pp. 37-90, p. 83, señala las similitudes entre ambos regímenes.
[128] Cfr. art. 428 CC-PT y art. 1303 CC-ESP en este aspecto.
[129] Sergio Cámara Lapuente, “Extinción de los contratos sobre contenidos y servicios digitales y disponibilidad de los datos: supresión, recuperación y portabilidad”, en Paula Castaños Castro y José Antonio Castillo Parrilla, (dirs.), cit., pp. 207-228.
[130]https://www.edpb.europa.eu/news/news/2023/edpb-application-gdpr-successful-sufficient-resources-are-necessary-tackle_en
[131] CEPD, Opinion 8/2024, on valid consent in the context of consent or pay models implemented by large online platforms, 17 de abril de 2024.
[132] CEPD, Opinion 8/2024, on valid consent in the context of consent or pay models implemented by large online platforms, 17 de abril de 2024, parágrafos 1 y 5.
[133] CEPD, Opinion 8/2024, on valid consent in the context of consent or pay models implemented by large online platforms, 17 de abril de 2024, parágrafos 14-16.
[134] CEPD, Opinion 8/2024, on valid consent in the context of consent or pay models implemented by large online platforms, 17 de abril de 2024, parágrafos 19-21.
[135] CEPD, Opinion 8/2024, on valid consent in the context of consent or pay models implemented by large online platforms, 17 de abril de 2024, parágrafo 178.
[136] CEPD, Opinion 8/2024, on valid consent in the context of consent or pay models implemented by large online platforms, 17 de abril de 2024, parágrafos 72-82.
[137] Lorenzo Cotino Hueso, “Nuevo paradigma en las garantías de los derechos fundamentales y una nueva protección de datos frente al impacto social y colectivo de la inteligencia artificial”, en Derechos y garantías ante la inteligencia artificial y las decisiones automatizadas, Navarra, Aranzadi, pp. 87-89.
[138] José Antonio Castillo Parrilla, “A-palavra-que-não-pode-ser-pronunciada” – Pagar com dados pessoais em Portugal e em Espanha”, NOVA Consumer Blog, 30/6/2023.