Carpeta de justicia

LawAndTrends



Miguel Recio

La cada vez más próxima, pero todavía futura, Ley de Mercados Digitales (en inglés, Digital Markets Act o, por sus siglas, DMA), es una de las normas con las que la Unión Europea quiere regular a las grandes plataformas digitales (a las que se califica como las “guardianas de acceso”). Entre otras obligaciones, con esta Ley se busca imponer a estos guardianes de acceso la relativa a permitir a terceros el acceso continuo y en tiempo real de datos personales proporcionados por los usuarios o generados cuando hacen uso de los servicios básicos de la plataforma. Lo anterior plantea fricciones, e incluso contradicciones, con el Reglamento General de Protección de Datos (RGPD) que son relevantes y que requieren de atención, por lo que a continuación se ofrecen algunas claves.

Una cuestión esencial para entender la compleja relación entre la Ley de Mercados Digitales (en su redacción actual, teniendo en cuenta las enmiendas que fueron aprobadas por el Parlamento Europeo el 15 de diciembre de 2021), y el RGPD es que la primera impone a los guardianes de acceso la obligación de permitir el acceso a los datos personales que traten para prestar los servicios básicos de plataforma tanto a usuarios profesionales o a terceros autorizados por estos como a terceros proveedores de motores de búsqueda en línea.

En concreto, el artículo 6.1.i) de la propuesta de Ley de Mercados Digitales que elaboró la Comisión Europea, indica que los guardianes de acceso deberán permitir el acceso a los datos personales “y su utilización únicamente cuando estén directamente relacionados con el uso que el usuario final haya hecho con respecto a los productos o servicios ofrecidos por el usuario profesional de que se trate a través del servicio de plataforma básico pertinente, y si el usuario final opta por tal intercambio prestando su consentimiento en el sentido del Reglamento (UE) 2016/679” (énfasis añadido). Esto implica que el legislador europeo impone el consentimiento como base de legitimación del tratamiento cuando en el marco del RGPD “la obtención del consentimiento válido va siempre precedida de la determinación de un fin específico, explícito y legítimo para la actividad de tratamiento prevista” (Comité Europeo de Protección de Datos, Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, versión 1.1, adoptadas el 4 de mayo de 2020, apartado 56, pág. 13).

Es decir, incluso cuando queda claro en el RGPD que el consentimiento, para ser válido, requiere de información sobre una finalidad del tratamiento específica, explícita y legítima, el legislador europeo parece omitirlo e impone que en este caso concreto la base de legitimación sea el consentimiento, lo que además plantea cuestiones complejas tanto para el guardián de acceso como para los usuarios profesionales y otros terceros autorizados por usuarios profesionales. ¿Qué ocurre si se revoca el consentimiento previamente dado? ¿Qué ocurre si el consentimiento no es suficiente para la finalidad o finalidades del tratamiento por el usuario profesional o un tercero autorizado por aquél?

Otra clave para aplicar e interpretar las futuras normas sobre Mercados y Servicios Digitales, así como sobre inteligencia artificial, es la del propio concepto de datos personales. Por ejemplo, en el caso de la propuesta de Ley de Mercados Digitales, el Supervisor Europeo de Protección de Datos resaltó en su Dictamen 2/2021 sobre la Propuesta de Ley de Mercados Digitales, de 10 de febrero de 2021, que la redacción dada al artículo 6.1.i) podía generar confusión y dar lugar a inconsistencias con el RGPD ya que oponía “datos agregados y no agregados” a “datos personales” y podría haber situaciones en las que los primeros incluyen a los segundos. Incluso cabría considerar otros textos, como la propuesta de Ley de Inteligencia Artificial, en la que se usa el término “datos sintéticos”, junto a los datos agregados y a los anonimizados, pero sin definir qué se entiende o considera como tales.

Y otra cuestión notable es que la relación entre el RGPD y la propuesta de Ley de Mercados Digitales tiene que ser la de complementariedad e integración, en el sentido de clarificar cuestiones que pueden no estar del todo claras si se tiene en cuenta el tiempo transcurrido desde el inicio de la aplicación del primero. Por el contrario, la Ley de Mercados Digitales no debería ser utilizada en ningún caso para imponer obligaciones a los diversos actores digitales que pueden entrar en contradicción con las disposiciones del RGPD.

En definitiva, el futuro de la Ley de Mercados Digitales requiere que el legislador europeo tenga una visión amplia, no centrada o limitada a un área específica ni sobre la base de la imposición de obligaciones sobre las que no se han analizado todas las posibles implicaciones. Por el contrario, se trata de que el legislador europeo facilite elementos para una estrategia europea adecuada para el desarrollo de la economía digital. Y esto da lugar a que los actores que traten o puedan tratar datos personales tengan que analizar también qué significa la aplicación de la Ley de Mercados Digitales en su actividad.




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad