El trabajo se refiere a los contratos de intercambio entre servicios o contenidos digitales y datos personales del consumidor. Una vez identificados los supuestos en los que la declaración con la que el consumidor comunica sus datos personales tiene carácter negocial y constatada la disponibilidad y comerciabilidad de los datos personales, la investigación se centra en los efectos del contrato en cuestión, para reconstruir hermenéuticamente los numerosos aspectos de la disciplina que la directiva n. 770 de 2019 no trata.
Il lavoro ha ad oggetto i contratti di scambio tra servizi o contenuti digitali e dati personali del consumatore. Individuati i casi in cui la dichiarazione con la quale il consumatore comunica i propri dati personali ha natura negoziale e accertata la disponibilità e la commerciabilità dei dati personali, l’indagine si sofferma sugli effetti del contratto in discorso, per ricostruire in via ermeneutica i molti aspetti della disciplina di cui la direttiva n. 770 del 2019 non si occupa.
Articoli Correlati: dati personali - consumatore - servizi digitali
Angela La Spina - La trasmisión de los datos de carácter personal del consumidor para la adquisición de servicios y contenidos digitales
1. La naturaleza de la declaración en la comunicación de los datos de carácter personal para el acceso a servicios y contenidos digitales. - 2. La disponibilidad y la naturaleza transaccional de los datos de carácter personal. - 3. El contrato para el intercambio entre servicios o contenidos digitales y datos de carácter personal del consumidor. - 3.1. El acuerdo. - 3.2. El objeto. - 4. Los efectos del contrato: a) La limitada vinculación del consentimiento y el distinto alcance en caso de incumplimiento. - 4.1. b) La cesión de datos personales a título oneroso y la constitución de un derecho de uso y disfrute a favor del empresario.
El comportamiento mediante el cual un sujeto comunica sus datos de carácter personal y autoriza su recogida y tratamiento ha sido calificado tradicionalmente como una declaración de voluntad no transaccional de tipo autorizatorio[1], aunque en los múltiples supuestos, y cada vez con más frecuencia, en los que el sujeto comunica sus datos de carácter personal para acceder a servicios o contenidos digitales, la declaración prestada por el mismo parece encuadrarse de manera más verosímil en una transacción, especialmente cuando tenga por objeto datos no necesarios para la ejecución de la prestación por parte de quién los recibe. De hecho, la doctrina del Reglamento UE n. 679/2016[2] parece imbuida de las declaraciones de voluntad no transaccionales, de tipo autorizatorio[3], a través de las cuales el sujeto legitima la actividad ajena de recogida y tratamiento de sus propios datos de carácter personal y, en este sentido, sin duda las condiciones de eficacia del consentimiento son proporcionadas de tal manera que salvaguardan la efectividad del mismo. En todo caso, la normativa reglamentaria demuestra no ignorar, más al contrario, prestar especial atención, al menos en perspectiva, las particulares exigencias de tutela que emergen en los supuestos en los que estas declaraciones presenten naturaleza transaccional. El Reglamento, persiguiendo el objetivo de crear un clima de confianza a la hora de implementar la libre circulación de datos de carácter personal, estratégicamente se sirve de determinados instrumentos que puedan garantizar pleno conocimiento y libertad al usuario que exprime una declaración con la que transmite información sobre su persona y autoriza la recogida y tratamiento de sus datos, de tal manera que tranquiliza el usuario y lo pone en condición de proporcionar datos cada vez más numerosos a la par que veraces. Además de dar más fuerza a la relevancia conferida a la plena conciencia del declarante[4], que confirma la perspectiva normativa dirigida a proteger el sujeto que emite una declaración de tipo autorizatorio de las reservas[5] y de los malentendidos[6] a los que pueden dar lugar las peticiones recibidas, el Reglamento se muestra sensible a la necesidad del usuario de ser protegido incluso de las insidias que en el contexto comercial digital pueden [continua ..]
En el plano dogmático, una prohibición absoluta que implique subordinar el acceso a servicios digitales a la trasmisión de datos de carácter personal y a la concesión del consentimiento a su tratamiento, se perfilaría como una figura de tipo específicamente personalística que considera los datos de carácter personal como derechos absolutamente indisponibles y, a fortiori, no negociables de la persona. Muy al contrario, resulta evidente que la doctrina introducida por el Reglamento se dirige hacia una lógica distinta, que no presupone la absoluta indisponibilidad de los datos ni su falta de comerciabilidad, como surje además de la expresa previsión, de entre los derechos del usuario, del que hace referencia a la portabilidad de los propios datos (art. 20 del Reglamento) que atribuye específicamente al sujeto un poder de disposición que tiene por objeto el derecho de uso de una utilidad (los mismos datos) sobre el que él mantenía el control[1]. Como se ha mencionado con anterioridad, del literal de las disposiciones contenidas en el mismo, aparece de manera inequívoca que, tal y como ha puesto en evidencia la Suprema Corte[2] y confirmado incluso la jurisprudencia alemana[3], el Reglamento no establece de ninguna manera un principio de indisponibilidad de los datos de carácter personal y ello porque, desde la perspectiva axiológica, no persigue la finalidad de impedir la mercantilización de la persona, sino más bien, a la vista de los considerandos (véase especialmente los números 42, 43 y 89), la de inhibir la concentración de los datos en manos de unos pocos gestores. El objetivo final consiste en evitar que los operadores, aprovechándose de la diferencia de poder existente con los usuarios, consigan hacerse con más y más datos de manera básicamente gratuita, puesto que ello implicaría a la vez el riesgo de falsear la competencia, amén del de socavar derechos y libertades de las personas físicas, con posibles discriminaciones y limitaciones a la libertad de autodeterminación. El instrumento que parece más adecuado para perseguir el fin axiológico es garantizar lo máximo posible la autodeterminación individual. La prohibición de intercambiar bienes y servicios con datos de carácter [continua ..]
Si bien el Reglamento demuestra reconocer en algunos supuestos naturaleza transaccional al consentimiento aun cuando no adopta una posición definida respecto de la mercantilización de los datos de carácter personal, las directivas n. 770 y 771 de 2019 aclaran cualquier duda al respecto. En particular modo, la n. 770[1] regula precisamente esta clase de intercambios que connotan los datos de carácter personal de una segura patrimonialidad, presupone la posibilidad de su cesión incluso a título oneroso y predispone, en el ámbito de las soluciones, la protección relativa propia de la dimensión contractual, que se añade a la absoluta, aquiliana, que se garantiza por la lesión del derecho a la propia personalidad; la n.771[2] refuerza la protección derivada de contrato que se garantiza al consumidor por el incumplimiento del agente económico de los contratos de compraventa de bienes que lleven incorporados o interconectados contenidos o servicios de tipo digital. El análisis del dato positivo, si es realizado prescindiendo de encasillamientos rígidos y preconcebidos, demuestra que el silogismo “contrato - patrimonialidad de los bienes objeto de intercambio - reificación de los datos de carácter personal en la lógica de la propiedad”, es solamente aparente. En este sentido, no puede pasarse por alto que no solo el Reglamento no admite de forma expresa ni la licitud de la cesión a título oneroso de los datos de carácter personal, ni la calificación de contrato respecto del acuerdo en virtud del cual se realiza el intercambio, sino también el literal de la directiva n. 770 demuestra ser especialmente cauto al respecto, al utilizar una sintaxis ambigua[3]. Con todo, conviene subrayar que en fase de desarrollo, el texto de la mencionada directiva, con el expreso objetivo de garantizar al consumidor la plena tutela contractual con independencia de cualesquiera contraprestaciones a las que fuera obligado, utilizaba, al tratar el contracto oneroso de oferta de contenidos y servicios digitales, una fórmula literal que establecía un precio y el cumplimiento de una prestación no pecuniaria bajo la forma de datos de carácter personal, como si fueran polos alternativos para una misma compensación[4]. Al respecto no obstante, el Supervisor Europeo de [continua ..]
Respecto del acuerdo por el cual se produce el intercambio entre prestación de contenidos o servicios digitales y datos personales, no parece caber duda alguna que puedan englobarse las disposiciones relativas a la validez del mismo, con todas las puntualizaciones que sean necesarias debido a la particularidad de la situación en la que se halla. En este sentido de hecho, la directiva (considerando n. 12) deja de manera expresa al derecho de cada estado miembro la regulación de todas las cuestiones no abordadas por la misma, entre las que se encuentra precisamente la validez del contrato. Naturalmente, como ya se ha apuntado, siempre que el consentimiento a la recogida y tratamiento de los datos personales sea condición para el acceso a los servicios y se considere por tanto, de hecho, como una contraprestación, de cara a valorar el requisito de la libertad del consentimiento es preciso en primer lugar, a la luz de los parámetros ofrecidos por la directiva arriba mencionados, comprobar que sea manifestación del derecho de autodeterminación y haya sido por tanto prestado libremente y que no exista entre las partes un desequilibrio de poder significativo. Con el fin de garantizar que el consentimiento revista tal condición de expresión de autodeterminación, es indispensable que el usuario sea plenamente consciente de la naturaleza no gratuita de la oferta que recibe y del papel que desempeña el propio consentimiento en el intercambio. Si el consentimiento no reúne tales requisitos y en particular no haya existido una posibilidad real de elección por parte del usuario, este sin duda podrá hacer valer su derecho declarando la ilegalidad del tratamiento según dispone la directiva, e incluso podría tener acción de nulidad del contrato (por ir contra normas imperativas y por ilegalidad de la causa) si le fuera más favorable[1]. Para que el consentimiento pueda considerarse válidamente prestado, es preciso que la voluntad pase por el tamiz de la libertad y de la consciencia según las reglas propias del derecho de los contratos, amén del ulterior control requerido por el Reglamento[2]; por tanto, es necesario que el consumidor sea capaz para obligarse, que comprenda la obligación que asume y que su consentimiento sea libre y voluntario y no se den las circunstancias propias del contrato perfeccionado en [continua ..]
Respecto del objeto del contrato, es oportuno en primer término poner de manifiesto que el art. 1346 no es de aplicación, pues en los contratos que tienen por objeto el tratamiento de datos de carácter personal, por mandato reglamentario, el consentimiento circunscribe los límites de la legalidad, tanto en lo que respecta a la tipología de datos que se transmiten o que pueden ser recogidos, como respecto de la finalidad del tratamiento; por lo tanto el objeto del contrato resulta ser siempre necesariamente determinado no pudiendo ser bastante la mera determinabilidad[1]. Es preciso además determinar qué datos personales constituyen y pueden ser objeto del intercambio. En primer lugar, hay que excluir los datos necesarios para proporcionar el contenido o servicio digitales; la transmisión de los datos imprescindibles para la ejecución del contrato no constituye objeto de intercambio puesto que la correspondiente declaración, si se limita a la transmisión de estos datos y a su tratamiento, necesario para el suministro requerido, se debe considerar como declaración de voluntad no contractual, dirigida a la realización del interés previsto en el contrato que en sí mismo sigue siendo gratuito. Por otro lado, el tratamiento de estos datos, en los límites tratados, encuentra su legitimación no ya en el consentimiento, sino precisamente, por el art. 6.1 del Reglamento, en la circunstancia que “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte”[2]. Objeto del intercambio son por tanto los datos personales cuya recogida y tratamiento encuentran legitimación exclusivamente en el consentimiento negocial del interesado, esto es las informaciones no necesarias al suministro de contenidos digitales o a la prestación del servicio digital, o la autorización a un tratamiento de los datos necesarios cuya finalidad no esté estrechamente vinculada a la ejecución de la prestación del profesional. En principio, parece oportuno considerar objeto de intercambio incluso los datos que se pueden englobar en las así llamadas “categorías especiales”[3], pues son idóneos para revelar los aspectos más íntimos de la personalidad. Es cierto que la directiva no trata las condiciones de legalidad del tratamiento de los [continua ..]
Establecida la validez del intercambio, es preciso comprobar qué efectos produce y cuáles pueden ser las consecuencias del incumplimiento de las partes. Al respecto, es oportuno poner de relieve que la peculiaridad de los valores en juego impide la aplicación del principio consensual entre las partes en los términos en los que operan los arts. 1372 y 1376 c.c. En primer lugar, de hecho, el derecho a retirar el consentimiento, concedido por ley al consumidor, implica que la vinculatividad del acuerdo sea por su propia naturaleza limitada en sentido unilateral. El derecho a retirar el consentimiento otorgado por el sujeto, tanto para la recogida de datos para el mismo (y por tanto incluso para sus propios dispositivos electrónicos e informáticos o mediante el uso de los servicios digitales a los que tiene acceso), como para su tratamiento, es configurado por el art. 7.3 del Reglamento y, como a la vez hace referencia expresa el considerando n. 39 de la directiva n. 770[1], es con toda seguridad aplicable incluso en los supuestos en los que tal consentimiento tenga naturaleza negocial, redimensionando de tal forma ex uno latere la fuerza vinculante del acuerdo por el que se perfecciona el intercambio entre contenidos o servicios digitales y datos personales. El derecho de revocación no está supeditado a que exista justa causa y debe considerarse como indisponible y por tanto irrenunciable por parte del consumidor[2]. Por supuesto, es necesario poner de relieve que si bien es cierto que el sujeto, en su interés a la autodeterminación identitaria, conserva el derecho al control de sus datos y específicamente el ejercicio de este derecho le permite retirar el consentimiento en cualquier momento, lo es también que, en el supuesto de consentimiento negocial, la tutela de los intereses de la otra parte implica cierta “moderación fisiológica” a tal poder dispositivo, por lo menos dentro de los límites de la buena fe y de la corrección que se presuponen al sujeto en su relación contractual. Con todo, cabe señalar que la particularidad del objeto de estos acuerdos implica una estructuración también de los principios de buena fe y de lealtad y corrección durante todo el iter del contrato. De tal forma que hay que considerar que, ante un posible incumplimiento por parte del empresario, el consumidor [continua ..]