Por Fernando Díez Estella
Conductas abusivas de la privacidad y la política ‘pay-or-consent’
A partir de la sentencia del TJUE del 4 de julio de 2023 (ECLI:EU:C:2023:537) en el asunto Meta Platforms Inc., las grandes plataformas digitales pusieron en práctica políticas de “pagar-o-aceptar” en relación con la recogida y tratamiento de datos personales de los usuarios para el envío de publicidad personalizada. La legalidad de esta práctica y su adecuación a la normativa de competencia y a la de protección de datos ha despertado un acalorado debate, con un sorprendente desenlace.
En efecto, el pasado 23 de abril de 2025 la Comisión Europea ha sancionado (ver Nota de Prensa) a Meta con 200 millones de euros por entender que esta práctica infringe el Reglamento 2022/1925, de 14 de septiembre, de Mercados Digitales (conocido como la DMA, por sus siglas en inglés, Digital Markets Act). En concreto, incumple el deber de solicitar el consentimiento de los usuarios para combinar sus datos personales entre servicios. Los usuarios que no den su consentimiento deberán tener acceso a una alternativa menos personalizada pero equivalente.
En la misma histórica decisión -es la primera vez que se imponen en Europa sanciones por infracción de la DMA- también se multa a Apple con 500 millones de euros por las llamadas cláusulas anti-steering. En este caso, se incumple el deber de informar a los clientes, de forma gratuita, de ofertas alternativas fuera de la App Store, dirigirles a esas ofertas y permitirles realizar compras.
Las sanciones pueden parecer pequeñas si se las compara con las cuantías impuestas en los expedientes antitrust seguidos estos últimos años contra las grandes plataformas digitales. Es cierto, pero no hay que olvidar que la DMA entró en vigor hace un año, en marzo de 2024, y por tanto la duración de la infracción ha sido muy limitada. Además, aunque esto no será objeto de análisis en este comentario, mucho más gravosas van a ser las obligaciones impuestas en la Decisión sobre la configuración de ambas plataformas, ya que van a suponer importantes cambios en el diseño de su modelo de negocio y el funcionamiento empresarial.
Apple ya había sido multada hace ahora un año justo, el 4 de marzo de 2024, con 1.800 millones de euros por infracción del art. 102 TFUE en el caso Apple-App Store Practices (As. AT.40.437) por… ¡exactamente la misma conducta! (en lo que no deja de ser una “creativa” forma de abuso de carácter explotativo, echando mano, para fundamentarla, de algunos conceptos propios de la economía del comportamiento que aplica selectivamente a su conveniencia). Sin embargo, si la Comisión iba a aplicar a esta conducta la DMA, no se entiende por qué no esperó y decidió en cambio aplicarle el art. 102 TFUE.
Apple también ha sido sancionada recientemente en Francia con 150 millones de euros por abuso de posición dominante en el mercado de distribución de aplicaciones móviles en dispositivos iOS e iPadOS, entre abril de 2021 y julio de 2023. El origen de la infracción fue la implementación del sistema App Tracking Transparency (ATT), introducido con iOS 14.5, que obliga a los usuarios a dar su consentimiento explícito para el rastreo con fines publicitarios por parte de apps de terceros. Aunque el objetivo declarado era reforzar la privacidad del usuario, la Autorité concluyó que Apple aplicó la ATT de forma que distorsionaba la competencia, dificultando artificialmente el uso de aplicaciones de terceros y favoreciendo a sus propios servicios publicitarios. Esta práctica de restringir la competencia amparándose en la protección de la privacidad ha sido analizada con acierto por Alba Ribera (ver aquí) y, nuevamente, se trata de una conducta también prohibida por la DMA.
Estos tres casos conforman un escenario complejo, ya que se aplican dos normativas distintas -la antitrust y la regulatoria- a exactamente las mismas prácticas. En este comentario analizaremos, a partir de la práctica supuestamente anticompetitiva de Facebook en Alemania, que dio origen al caso Meta, y algunas de las nuevas modalidades de abuso de dominio sobre datos, el viaje de ida -sin vuelta, aparentemente- que se emprendió en el Derecho de Defensa de la Competencia y cuyo destino ha sido la tipificación de la conducta como contraria a la regulación de los mercados digitales.
El nuevo escenario: la economía del dato y los “jardines vallados”
Los datos personales son un activo económico de gran valor para las plataformas digitales. De ahí la creciente actividad de los reguladores para proteger a los usuarios y el creciente interés por acceder a ellos de los operadores. Meta, por ejemplo, ha visto cuestionados sus ‘Términos y condiciones’ por autoridades de competencia y de protección de datos en Alemania (2019), Irlanda (2023) y Noruega (2023) en cuanto a la forma de recabar el consentimiento de los datos, su tratamiento posterior, y especialmente la combinación de diferentes bases de datos – data sets – orientada a la elaboración de perfiles de consumidores –profiling– con los que implementar mecanismos de publicidad personalizada.
El derecho de la competencia interviene en estos casos porque los datos son una fuente de poder de mercado (sobre esta cuestión he tenido ocasión de pronunciarme en anteriores publicaciones; ver aquí y aquí). En concreto, son un parámetro de competencia no basado en precios sino en la calidad del servicio por lo que su relevancia competitiva es especialmente acusada respecto de aquellos servicios que se prestan a precio cero a los consumidores y usuarios. Este problema ha sido acertadamente caracterizado como el antitrust privacy dilemma.
Lo que todavía no está claro es hasta qué punto las teorías del daño basadas en la protección de la privacidad justifican adecuadamente calificar como anticompetitivas estas prácticas comerciales. La pregunta de si la privacidad es o no un parámetro de la competencia queda contundentemente respondida en la Sentencia del TJUE de 4 de julio de 2023, en el asunto Meta Platforms Inc. (el destacado es nuestro):
“el acceso a los datos personales y la posibilidad del tratamiento de estos se han convertido en un parámetro significativo de la competencia entre empresas de la economía digital. Por lo tanto, excluir las normas en materia de protección de datos personales del marco jurídico que las autoridades de defensa de la competencia deben tomar en consideración al examinar un abuso de posición dominante ignoraría la realidad de esta evolución económica y podría menoscabar la efectividad del Derecho de la competencia en el seno de la Unión” (apartado n. 51).
Sin embargo, estamos asistiendo a una interpretación de la normativa digital que parece guiada por un único principio: la primacía absoluta de la privacidad; la protección de datos como mantra de cualquier actuación administrativa o judicial. Esto, que se refleja en el análisis de las políticas de ‘pay-or-consent’, requiere una reflexión más pausada, y un debate que hasta la fecha no ha tenido lugar. Se corre el riesgo, como algunos autores han señalado, de construir un dogma basado en ponderaciones de los bienes jurídicos en juego, discutibles. En efecto, además de la privacidad -y la competencia- merecen protección también la libertad de empresa, la libertad de contratación, el poder diseñar un modelo de negocio libremente y la libertad de elección de los consumidores. Y, como ha puesto de manifiesto recientemente Antonio Robles en relación con el caso Android Auto (ECLI:EU:C:2025:100) en el que se impone a la empresa dominante una obligación de facilitar la interoperabilidad de su plataforma con una App de una empresa competidora, pese a que no es “indispensable” para el desarrollo de su actividad, sino meramente “conveniente”, se corre el riesgo de reducir aún más la “menguante libertad de contratar de las empresas dominantes en la UE”.
Es cierto que las empresas tienen incentivos para desarrollar estrategias respecto de los datos que les sirvan para crear o reforzar una posición dominante, aumentando o reduciendo los niveles de protección legales en la recogida y procesamiento de los datos de sus usuarios, o de empresas que operan en sus plataformas. Y es cierto también que la reducción de la protección de la privacidad podría constituir un abuso de posición dominante por explotación a los usuarios finales y el aumento de la protección de la privacidad podría constituir una estrategia idónea para excluir o discriminar a los rivales, como muestran los casos analizados hasta aquí.
El paso siguiente exige tener en cuenta que las plataformas digitales son ‘ecosistemas’, es decir, que integran un amplio conjunto de prestaciones y servicios conectados entre sí. Es inevitable, pues, que se aprovechen los recursos producidos en relación con un producto o servicio para mejorar y ampliar los restantes. Es lo que se conoce como leveraging, la extensión del poder de mercado entre los diferentes productos interconectados entre sí. Este apalancamiento puede, en algunos casos, hacer más eficiente la prestación o garantizar mejor la integridad de la plataforma y beneficiar a los consumidores que disfrutarán de la integración de servicios y funcionalidades. Lo que toca a la autoridad de competencia es justificar en qué circunstancias este apalancamiento es permisible o, por el contrario, una conducta anticompetitiva o explotadora que hay que prohibir (ex art. 102 TFUE)
Cuando estas plataformas se cierran a terceros (jardines vallados), las dificultades para el análisis antitrust se exacerban. La plataforma hará todo lo posible por proteger su negocio de la competencia reforzando las ya naturalmente elevadas barreras de entrada que existen en estos mercados y que se derivan, por ejemplo, de los efectos de red, o de las ventajas naturales del first-mover en mercados donde la competencia se desarrolla por el mercado y no en el mercado. Estas estrategias consisten en utilizar todos los medios a su alcance para retener a sus usuarios (efecto lock-in) elevándoles los costes de abandonar la plataforma o cambiar a otra (switching costs).
En el caso Apple – App Store Practices, la Comisión describe minuciosamente estas barreras de entrada y estrategias de los titulares de plataformas (v., apartado n. 107: efectos de red tanto directos como indirectos; apartado n. 112: único canal de distribución para las aplicaciones; apartado n. 388: elevados costes de cambio; apartado n. 410, efecto lock-in de los consumidores; apartado n. 511: privación de alternativas etc.
La STJUE Meta Platforms, Inc.
En el marco de la prohibición de abuso de posición dominante, la autoridad de competencia alemana (Bundeskartellamt, BKartA) introdujo por primera vez en el ámbito del derecho europeo parámetros de protección de datos en la evaluación competitiva de una conducta de un operador dominante. El BKartA analizó detalladamente los términos y condiciones (TyC) de los servicios ofrecidos por Facebook, y concluyó que el tratamiento integral de dichos datos personales infringía el RGPD, y ello era constitutivo además de una infracción antitrust.
Conforme al esquema que hemos descrito de los “jardines vallados”, Facebook consolidaba su posición de dominio frente al resto de sus competidores, fortaleciendo las barreras de entrada al mercado de las redes sociales. En su análisis, el BKartA determinó que dichas barreras de entrada estaban reforzadas por la imposibilidad de los competidores de replicar la base de datos que Facebook había obtenido en aplicación de su política abusiva de TyC.
Facebook planteó un recurso ante el Tribunal Superior Regional de Düsseldorf (OLG), quien suspendió cautelarmente la decisión de la FCO, al entender que la teoría del daño construida para acreditar la conducta de abuso de dominio no era correcta. Señala el OLG (texto íntegro de la decisión, en inglés, disponible aquí) que “el tratamiento de datos por parte de Facebook […] no da lugar a ningún daño competitivo relevante ni a ninguna evolución indeseable de la competencia”. Para este tribunal la conducta prohibida y sancionada por la FCO no da lugar a un resultado anticompetitivo, y la recopilación y el tratamiento de los datos de los usuarios de Facebook no perjudica al mercado, dado que los datos en cuestión pueden duplicarse sin dificultades y ponerse a disposición de cualquier tercero, incluidos los competidores de Facebook en el mercado de las redes sociales.
Finalmente, al resolver el recurso de casación y en total desacuerdo con las conclusiones alcanzadas por el OLG, en junio de 2020 el Tribunal Supremo alemán (BHG) revocó dicha decisión considerando que la recopilación de datos de los usuarios por parte de Facebook se realizó sin el consentimiento necesario y que por tanto sí constituía un abuso de posición de dominio.
Se ha criticado esta decisión por no tener en cuenta una realidad empírica conocida como la privacy paradox, que demuestra que a pesar de que los usuarios de plataformas digitales expresen una preferencia clara por una mayor protección de sus datos personales, suelen consentir a un tratamiento mucho más intensivo que aquel que desearían. En efecto, en su decisión el BHG parece obviar que los consumidores tienen la posibilidad, en todo caso, de elegir no utilizar la red social si deciden que los TyC son inaceptables.
Pese a todo, el BHG acoge -aunque con matices- la teoría del daño esbozada inicialmente por el BKartA, y añade que la conducta de Facebook no solamente refuerza su posición dominante en el mercado de las redes sociales, sino también en el mercado conexo de la publicidad online, con lo que incorpora además la posibilidad de un abuso de dominio de carácter exclusionario. Mediante la técnica de profiling, Meta consigue mejorar la experiencia personalizada del usuario en sus propios servicios y, atraídos por este incremento en la calidad del servicio, estos permanecen un mayor tiempo en la red social.
Tras el planteamiento por parte del Düsseldorf Higher Regional Court de una cuestión prejudicial ante el TJUE, el AG Rantos hizo públicas sus conclusiones el 20 de septiembre de 2022 (ECLI:EU:C:2022:704), y el TJUE dictó Sentencia el 4 de julio de 2023, Meta Platforms Inc. (ECLI:EU:C:2023:537),
He tenido ocasión de comentar este pronunciamiento en una publicación anterior (disponible aquí), por lo que ahora me limitaré a señalar algunas de sus principales consecuencias con relación a la aplicación de la prohibición del art. 102 TFUE a las prácticas comerciales basadas en datos
El TJUE contempla por primera vez en la historia la posible infracción del art. 102 TFUE a partir de una conducta de una empresa en relación con la recogida y tratamiento de los datos personales que recaba de sus usuarios. Y en la que el núcleo de la supuesta ilicitud está la infracción de la normativa específica de protección de datos, el RGPD. Dice el TJUE:
“El modelo económico de la red social en línea Facebook se basa en la financiación a través de la publicidad en línea, que se hace a medida para los usuarios individuales de la red social, en función, en particular, de sus actitudes de consumo, intereses, poder adquisitivo y situación personal” (apartado n. 27). Y queda constatado también que dicho modelo se apoya, a su vez, en el profiling: “Tal publicidad es técnicamente posible mediante el establecimiento automatizado de perfiles detallados de los usuarios de la red y de los servicios en línea ofrecidos a nivel del grupo Meta” (apartado n. 28).
En síntesis, el TJUE afirma:
1) En la medida que la protección de datos es un parámetro más de la actividad competitiva, la infracción de las normas que la regulan puede devenir en una conducta anticompetitiva, por lo que la autoridad de competencia está plenamente legitimada para llevar a cabo esta valoración, sin “invadir” competencias a las autoridades de protección de datos.
2) Sobre el potencial conflicto entre la libertad de empresa -de diseñar un modelo de negocio basado en la publicidad personalizada-, y el derecho del individuo a la protección de sus datos, el TJUE se decanta sin ambages a favor de este frente a aquel:
“A este respecto, cabe señalar que, pese a la gratuidad de los servicios de una red social en línea como Facebook, el usuario de esta no debería esperar razonablemente que, sin su consentimiento, el operador de esa red social trate los datos personales de ese usuario con fines de personalización de la publicidad. En estas circunstancias, debe considerarse que los intereses y los derechos fundamentales de tal usuario prevalecen sobre el interés de dicho operador en tal personalización de la publicidad, mediante la que él financia su actividad (…)” (Apartado n. 117).
3) Finalmente, el TJUE no dibuja el delicado equilibrio entre los principios de la competencia y la protección de datos; simplemente señala que el procesamiento de datos es un factor competitivo más, a la vez que se abstiene de decantarse en favor de modelos de negocio que prioricen la protección de datos. Además, refuerza (apartado n. 147) la idea de que lo importante -en términos de dinámica competitiva, y supuestos abusos de posición dominante- es la capacidad de acceso, acumulación y tratamiento de dichos datos, no su conformidad con los principios y requisitos del Reglamento de Protección de Datos (RGPD).
Como no podía ser de otra forma, la propuesta de Directrices sobre la aplicación del artículo 102 del Tratado de Funcionamiento de la Unión Europea a la conducta excluyente abusiva de las empresas dominantes publicada el pasado mes de agosto de 2024 se hacen eco de este pronunciamiento, y citándolo explícitamente a pie de página (nota 19) señalan en su apartado 13:
“El artículo 102 del TFUE también puede aplicarse a las conductas comprendidas en el ámbito de aplicación de otras normas, de la Unión o nacionales, que regulan la conducta de las empresas en el mercado y que persiguen objetivos diferentes de los de las normas sobre competencia”.
Hasta que se pronunció la Comisión Europea aplicando la DMA a esta práctica, había un cierto consenso en la doctrina en que calificar como de abuso de carácter explotador contrario al art. 102 TFUE la recopilación “excesiva” de datos es un poco forzado, pese a que indudablemente contraviene las previsiones del RGPD. En cambio, y como otros autores han puesto de manifiesto, parecía más coherente construir una teoría del daño en torno al carácter anticompetitivo contrario al art. 102 TFUE de una conducta de negativa de dar acceso a terceros a los datos que necesita para competir en el mercado de forma eficiente.
Con todo, de la dificultad de establecer una teoría del daño unívoca para este tipo de prácticas da cuenta el rocambolesco iter judicial seguido en Alemania, en el que, como hemos visto, el BKartA firmó que los TyC de Facebook eran abusivos (unfair) por ser contrarios a los principios del RGPD; el Tribunal Superior de Düsseldorf (OLG) afirmó que no tenían ningún tipo de efecto anticompetitivo, ni en forma alguna habían perjudicado a los usuarios y consumidores; y el Tribunal Federal (BGH), en cambio, dio la razón a la autoridad alemana de competencia, pero por un motivo distinto: no se había restringido el derecho a la protección de datos, sino la libertad de elección. Y añade el efecto exclusionario por la barrera de entrada que suponía la acumulación de ingentes cantidades de datos por Facebook, que sus competidores no podían replicar.
Como acertadamente sintetiza A. Witt: “El caso Facebook ilustra el potencial de solapamientos significativos entre el Derecho de la competencia y la regulación de datos. Meta c. Bundeskartellamt reconoce esta realidad al reconocer dos puntos clave de interacción entre el artículo 102 del TFUE y el RGPD: la compatibilidad de la conducta empresarial con el RGPD puede ser relevante para determinar si cualifica como competencia en los méritos, y una posición dominante sí es relevante para evaluar si los interesados consienten libremente el tratamiento de sus datos”.
Las políticas de ‘pay-or-consent’: ¿conducta antitrust o conducta sometida a regulación sectorial?
A los pocos meses de haberse dictado la Sentencia del TJUE, Meta anunciaba el 30 de octubre de 2023 el lanzamiento de una versión de pago, sin anuncios, de sus dos aplicaciones más populares, Instagram y Facebook. Los usuarios que no quieran suscribirse a esta nueva modalidad pueden seguir disfrutando gratis de dichas redes sociales, pero tienen que consentir en el tratamiento de sus datos y ‘soportar’ el bombardeo de anuncios en la aplicación.
Esta posibilidad de ‘pay-or-consent’ está contemplada expresamente en la normativa de protección de datos de varios países de la UE (entre ellos España y Austria), prohibida en otros (Bélgica), o admitida bajo ciertas condiciones (Francia y Países Bajos). Es consecuencia directa del pronunciamiento del TJUE en el caso Meta Platforms Inc., cuando señala (apartado n. 150) que:
“Así pues, en el marco del proceso contractual, esos usuarios deben disponer de la libertad de negarse individualmente a prestar su consentimiento a operaciones particulares de tratamiento de datos que no sean necesarias para la ejecución del contrato, sin verse por ello obligados a renunciar íntegramente a la utilización del servicio ofrecido por el operador de la red social en línea, lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente no acompañada de tales operaciones de tratamiento de datos”.
Por ello, haciendo expresa mención a la Sentencia del TJUE en su comunicado oficial, Meta ofrece elegir entre pagar (sin anuncios) o consentir (con anuncios).
Uno puede preguntarse si realmente nos hallamos ante una opción entre dos modalidades de servicio. Si puede decirse que los usuarios tienen una genuina libertad de elección. Porque eso, y no otra cosa, es lo que exigen tanto el RGPD como la DMA -por remisión a la normativa de protección de datos- para hablar de un consentimiento válidamente prestado
Puede consultarse aquí un sugerente análisis de Alba Ribera sobre la “circularidad” del consentimiento exigido por el art. 5.2 DMA en relación con el RGPD.
El presupuesto de esta capacidad real de elegir es fácilmente identificable: que los usuarios que no quieran aceptar el tratamiento de sus datos a efectos de publicidad personalizada dispongan de alternativas realistas a la versión gratuita y con anuncios.
Y, parece, la respuesta es negativa: no hay una auténtica opción para el usuario. La versión de pago-sin-anuncios no constituye una alternativa realista a la versión gratis-con-anuncios.
Como ha demostrado Pinar Akman, “A Web of Paradoxes: Empirical Evidence on Online Platform Users” 2021 sobre el comportamiento y las preferencias de los usuarios de este tipo de plataformas y redes sociales.
La razón es que, o bien los usuarios no están dispuestos a pagar por seguir disfrutando de unos servicios que hasta ahora habían sido ofertados gratuitamente o bien porque el precio de suscripción es excesivo o bien porque es sencillamente implanteable no aceptar los TyC de redes sociales como Facebook o Instagram y salirse de la aplicación (con la consiguiente pérdida de contactos y seguidores, desconexión de amigos, familiares, etc.).
Sólo en el escenario -poco probable- de que apareciera en el mercado un nuevo competidor, capaz de ofertar un servicio igualmente atractivo, a un coste asequible, que rápidamente consiguiera un volumen de usuarios similar al que hoy tienen Instagram o Facebook, y sin switching costs apreciables, su propuesta de ‘pay-or-consent’ cumpliría con los estándares de la normativa comunitaria.
Queda, por tanto, en manos de la Comisión Europea y las respectivas autoridades de protección de datos de los Estados miembros de la UE evaluar si la disposición a pagar de los consumidores y las alternativas existentes en el mercado permiten afirmar que el usuario dispone de una genuina libertad de elección frente a Meta y, por tanto, que el consentimiento que presta es válido.
Lo que no estaba nada claro -hasta el pasado 23 de abril, por lo menos- es qué normativa era de aplicación. Ya hemos visto que la acusación inicial del BkartA contra Facebook, en Alemania, fue de abuso de posición dominante, por infracción de la norma interna equivalente al art. 102 TFUE, la GWB. Pero es que no había pasado ni siquiera un año de la Sentencia del TJUE, el 1 de julio de 2024, cuando la Comisión Europea incoó un expediente a Meta por entender que sus políticas de ‘pay-or-consent’ infringían el art. 5(2) de la DMA.
En particular, la CE consideraba que el modelo de Meta:
(i) No permite a los usuarios optar por un servicio que utiliza menos de sus datos personales, pero es equivalente al servicio basado en “anuncios personalizados;
(ii) No permite a los usuarios ejercer su derecho a consentir libremente la combinación de sus datos personales. Así, para garantizar el cumplimiento de la DMA, los usuarios que no den su consentimiento deberían tener acceso a un servicio equivalente que utilice menos datos personales, en este caso para la personalización de la publicidad.
En este contexto de hipertrofia regulatoria digital, el 17 de abril de 2024, el equivalente europeo de la AEPD española, el European Data Protection Board (EDPB) había emitido un dictamen (disponible aquí) sobre esta política del ‘pay-or-consent’ (que, naturalmente, ya se ha generalizado al conjunto de servicios on-line que ofrecen las grandes plataformas digitales en todo el ámbito de la UE), diciendo básicamente que no cumple con las exigencias del RGPD.
Pues bien, como hemos visto, casi un año exacto después de este pronunciamiento de la EDPB, la Comisión Europea ha impuesto las dos primeras sanciones en la historia por incumplimiento de la DMA, y una de ellas es de 200 millones de euros a Meta, por su política de ‘pay-or-consent’. En concreto, se señala en la Nota de Prensa (la Decisión todavía no está publicada) que
“este modelo no es conforme con la DMA, ya que no daba a los usuarios la opción específica requerida de optar por un servicio que utiliza menos datos personales pero que es equivalente al servicio de «anuncios personalizados». El modelo de Meta tampoco permitía a los usuarios ejercer su derecho a consentir libremente la combinación de sus datos personales”.
Como acertadamente han apuntado ya algunos autores, en el escenario -bastante probable- de que escale el conflicto entre Meta y los reguladores europeos y este asunto acabe dirimiéndose en Luxemburgo, el TJUE tendrá que fundamentar su teoría del daño en gran parte recurriendo a la moderna teoría economía del comportamiento (behavioural economics), además de utilizar los argumentos propios del derecho de competencia y de protección de datos. Y esto supone, sin duda, todo un desafío en la aplicación de la normativa vigente a estos nuevos fenómenos empresariales de ecosistema digital.
Habrá que revisar todos estos razonamientos y aserciones cuando sepamos qué proporción de usuarios han aceptado la propuesta de pago de Meta. Sin embargo, una cosa parece clara: en lo que hace años S. Zubbof calificara como “economía de la vigilancia”, ante las tremendas posibilidades que los algoritmos y la IA ofrecen de una publicidad comportamental, y visto, como ha demostrado el exponencial crecimiento de Tik Tok, que la competencia en estos mercados se ha convertido en una carrera por generar adicción a las aplicaciones hay que estar extremadamente vigilantes y atentos a las prácticas de los gigantes digitales.
En este sentido, sin duda que la regulación existente, como el RGPD o la DMA, o el Reglamento sobre la IA, va a jugar un papel crucial. Pero se precisa un poco más de coordinación entre la aplicación de estas normas. Y hace falta también un esfuerzo institucional de cooperación entre las respectivas autoridades -nacionales y europeas- encargadas de su enforcement. Y, sobre todo, una firme voluntad política de aplicar esta normativa, salvaguardando los valores y principios europeos y protegiendo a los consumidores pero también los derechos de las empresas y el desarrollo de los mercados digitales en la UE.
Conclusión: hay que aclarar la interacción entre el RGPD, el art. 102 TFUE y la DMA
Las prácticas comerciales que llevan a cabo las plataformas digitales exigen una reformulación de las teorías de daño tradicionales, reformulación que se ve dificultada por la proliferación normativa basada, a menudo, en principios contradictorios entre sí.
Desde el punto de vista del abuso de posición dominante, no queda claro si las prácticas de ‘pay-or-consent’ deben preocuparnos por su posible carácter explotativo o por su potencial exclusionario. ¿Explota Meta a sus usuarios a través de sus políticas sobre tratamiento de datos o se trata más bien de una conducta excluyente con efecto de cierre de mercado?
Otro tanto ocurre con los precios dinámicos en la venta de entradas por parte de la plataforma digital Ticketmaster para los conciertos del famoso grupo de música Oasis en su Reunion Tour de 2024. Esto ha llevado a la autoridad británica de competencia, la CMA (Competition and Markets Authority) a abrir un expediente a dicha empresa por un abuso de dominio, sancionado por el Capítulo II de la UK Competition Act (el equivalente al art. 102 TFUE o la Sección 2ª de la Sherman Act). Idéntica investigación estaba ya llevando a cabo desde hacía unos pocos meses antes el Departamento de Justicia norteamericano, con la diferencia de que este expediente pivota en torno a un abuso de exclusión, mientras que el seguido por la CMA gira sobre un abuso de explotación, incidiendo continuamente sobre el posible daño a los consumidores.
Pese a que, como han apuntado algunos autores, el debate sobre la interacción entre el Derecho de la Competencia y de Protección de Datos ha sido ampliamente ignorado en el proceso de elaboración de la DMA, por lo menos la somera referencia que se hace en el Considerando nº 36 nos aporta un atisbo de orientación:
“El tratamiento, a efectos de la prestación de servicios de publicidad en línea, de datos personales de terceros que utilicen servicios básicos de plataforma proporciona a los guardianes de acceso (gatekeepers) ventajas potenciales en términos de acumulación de datos, lo que crea obstáculos a la entrada al mercado. Esto se debe a que los guardianes de acceso tratan datos personales de un número considerablemente mayor de terceros que otras empresas”.
Además, como ha puesto de manifiesto la doctrina que más a fondo ha analizado este conflicto, y el caso Facebook/Bundeskartellamt, el artículo 5(2) de la DMA, que prohíbe a los gatekeepers, la realización de prácticas específicas que puedan acumular cantidades excesivas de datos personales de los usuarios, a menos que se les haya presentado una opción específica y hayan dado su consentimiento, alinea explícitamente el concepto de consentimiento con el del RGPD, aun cuando, a juzgar por su Considerando nº 36, la teoría del daño que subyace en esta prohibición es el de foreclosure (propio de los abusos de exclusión) y no el daño a consumidores (propio de los abusos de explotación).
De ahí que, habida cuenta del carácter per se de la prohibición del art. 5(2) DMA, y lo expedito de su aplicación una vez Meta ha sido designado gatekeeper, y las redes sociales un Servicio Básico de Plataforma, cuesta pensar que la Comisión Europea va a ir por la engorrosa vía antitrust (definir mercado, justificar dominio, acreditar efectos, etc.) para intervenir en el futuro en casos similares de recopilación excesiva de datos por parte de grandes plataformas digitales. A la vista está la decisión del pasado 23 de abril de 2025 de sancionar a Meta por infracción de este precepto.
Hemos apuntado anteriormente, y así lo expresa, por ejemplo, Akman, que no está bien articulada la relación entre la DMA y la prohibición de abuso de dominio. Hay un buen número de prácticas empresariales en este ámbito que pueden tipificarse perfectamente bajo ambos cuerpos normativos, lo que genera inseguridad jurídica, impredicibilidad cuando no un riesgo de incurrir en ne bis in idem. Ya en el año 2020 la OCDE había publicado un concienzudo informe sobre el abuso de dominio en los mercados digitales, que ponía de manifiesto la necesidad de “repensar” las teorías de daño empleadas hasta ahora para adaptarlas a este nuevo contexto. Esta preocupación es especialmente acuciante respecto a los abusos de explotación.
Añádase el Reglamento de Servicios Digitales (o DSA, por sus siglas en inglés, la Digital Services Act) que prevé, en su art. 26(3) que “los prestadores de plataformas en línea no presentarán a los destinatarios del servicio anuncios basados en la elaboración de perfiles, tal como se define en el artículo 4, punto 4, del Reglamento (UE) 2016/679, utilizando las categorías especiales de datos personales a que se refiere el artículo 9, apartado 1, del Reglamento (UE) 2016/679”. Pues bien, puede perfectamente argumentarse que también esta previsión legal encaja a la perfección con la política de ‘pay-or-consent’ (cuya justificación última es, como hemos señalado, precisamente la publicidad personalizada) de las grandes plataformas digitales, en general, y de Meta en particular, protagonista de la STJUE, el Informe de la EDPB o el expediente por infracción de la DMA. Especial relevancia tiene, de cara a evaluar la legalidad de esta práctica, la óptica de los consumidores y usuarios. Es, por ejemplo, el camino que sigue la ICO (Information Commissioner Office) británica, que en fechas muy recientes ha publicado una guía sobre el impacto de las políticas de ‘pay-or-consent’, en la que se señala (de forma un tanto genérica) que: “En principio, la normativa de protección de datos no prohíbe los modelos de negocio que implican consentimiento o pago. Sin embargo, cualquier organización que se plantee un modelo de este tipo debe asegurarse de que el consentimiento para el tratamiento de datos personales con fines de publicidad personalizada se ha dado libremente y con pleno conocimiento de causa, y de que puede retirarse sin perjuicio alguno”. Otros enfoques sobre estas políticas de ‘pay-or-consent’ inciden más en la articulación entre la DMA y el RGPD a partir del conflicto entre el poder de mercado de las grandes plataformas digitales y la libertad individual de los usuarios (a la hora de manifestar su consentimiento a los TyC) y desde luego nos parecen más acertados que intentar fundamentar el carácter explotativo de este supuesto abuso de dominio sobre los datos en el derecho fundamental a la propiedad privada. En este sentido, evaluar la práctica desde la óptica puramente contractual es evidente que arroja perspectivas que completan necesariamente el resto de enfoques; en particular, este tipo de análisis ius-privatista es muy certero para dilucidar uno de los dos extremos del dilema del ‘pay-or-consent’, y es el relativo al precio del consentimiento (en términos del apartado n. 150 de la STJUE, la “remuneración adecuada”).
Desde luego lo que no puede obviarse es la necesidad, para abordar este conflicto, de una perspectiva conjunta, que al menos integre la normativa de competencia y la de protección de datos. A este respecto, se ha señalado, desde el análisis económico del derecho (law and economics), que como estamos ante una combinación de dos fallos de mercado (desde la perspectiva antitrust, el poder de mercado que permite a Facebook imponer sus cláusulas contractuales, y desde la perspectiva de la protección de datos, la existencia de sesgos y problemas de asimetría de información, conductas irracionales de los usuarios, etc), la solución necesariamente tiene que combinar también ambos enfoques.
En definitiva, tras la STJUE en el caso Meta Platforms, Inc., y como consecuencia de ella la implementación de las políticas de ‘pay-or-consent’ por parte de la gran mayoría de ecosistemas digitales de plataforma, se constata que existe un amplio repertorio de normativa aplicable (art. 102 TFUE, DMA, DSA, RGPD, etc.), y no parece que todavía estén despejadas todas las dudas sobre cuál es el más adecuado. La conclusión a la que podemos llegar en estos momentos (estando todavía pendientes algunas decisiones al respecto de la Comisión Europea y la EDPB, así como de autoridades nacionales que están examinando la práctica en sus respectivas jurisdicciones, además evidentemente del recurso judicial que Meta ya ha anunciado que va a elevar ante TJUE) es que el instrumento más adecuado para regularla no es -como se ha intentado, esforzadamente- la figura del abuso de explotación, contenido en el art. 102 TFUE, sino la prohibición contenida en el art. 5(2) DMA, tal y como se pone de manifiesto en la sanción de 200 millones de euros impuesta a Meta el pasado 23 de abril de 2025.
Imagen: A Chosen Soul en unsplash
