La introducción del Reglamento general de protección de datos (GDPR) ha cambiado el mundo legal en Internet. Representa el establecimiento de una estrategia común dentro de la Unión Europea para supervisar las actividades de Internet y regular el mercado digital. Las instituciones europeas, a través del RGPD, han llevado al partido a optar por una estrategia financiera: el artículo 83 del RGPD establece que las autoridades nacionales de supervisión pueden imponer multas administrativas siempre que sean “ efectivas, proporcionadas y disuasorias ”. Uno de los objetivos del RGPD era luchar contra el poder de GAFAM. Estos grandes grupos acumulan datos sobre los usuarios que alimentan algoritmos para predecir comportamientos, incluso para orientarlos. La recopilación y uso de datos les otorga una ventaja competitiva considerable y es uno de los elementos que ha permitido el desarrollo de estos gigantes. En consecuencia, la regulación de la circulación de datos personales constituye un peligro gigantesco para estas firmas, cuyo principal capital son los datos personales que han logrado monetizar.
Protección de datos en Francia
Pero hemos visto que la entrada en vigor del RGPD no impidió que GAFAM siguiera explotando los datos de los usuarios de forma a veces abusiva. En varias ocasiones, GAFA ha sido sancionada por incumplimiento de las obligaciones impuestas por la normativa europea de protección de datos. Y podemos ver que esta no es la primera vez que los GAFAM se consideran a sí mismos por encima de la ley. En diciembre de 2020, Amazon y Google fueron condenados por incumplimiento de la legislación sobre trazadores publicitarios por la Comisión Nacional Francesa de Informática y Libertades (CNIL), también llamadas “cookies”, al pago de una multa de 35 millones de euros. La autoridad francesa señaló que las cookies se colocaban en los ordenadores de los usuarios de Internet sin su consentimiento previo cuando iban a una de estas dos plataformas.
Más recientemente, el 16 de julio de 2021, la Comisión Nacional de Protección de Datos de Luxemburgo (CNPD) multó a la empresa Amazon Europa por la cantidad de 746 millones de euros.
Amazon es criticado en particular por su análisis de comportamiento y tratamientos de orientación publicitaria que se basan en el contrato de Amazon y no en el consentimiento o el interés legítimo: “ Ahora, sométase a este análisis de comportamiento y esta orientación publicitaria no es el objetivo de los usuarios de Amazon. perseguir utilizando sus servicios. ”. En consecuencia, LQDN acusa a Amazon de su falta de base legal en lo que respecta a sus análisis de comportamiento y tratamientos de focalización publicitaria que no pueden basarse ni “ en la necesidad de formalizar un contrato con los usuarios “, ni en un interés legítimo porque el análisis de un comportamiento solo puede realizarse con el consentimiento previo del interesado.
Normas europeas de protección de datos
De acuerdo con los procedimientos de cooperación establecidos por la GDPR, fue la CNPD la competente para pronunciarse sobre el caso de Amazon. El artículo 55 del RGPD establece que: “ Cada autoridad de control es competente para ejercer las misiones y poderes que le corresponden de conformidad con este Reglamento en el territorio del Estado miembro al que pertenece. ” . Dado que Amazon Europe tiene su sede en Luxemburgo, la tramitación de la reclamación es competencia de la autoridad supervisora de Luxemburgo. Además, de acuerdo con el artículo 61 del RGPD que establece que “ Las autoridades supervisoras se comunican información útil entre sí y se brindan asistencia mutua para implementar y aplicar este reglamento de manera coherente, y poner en marcha medidas para cooperar eficazmente. ”, la CNIL cooperó con la CNPD para verificar y analizar las pruebas obtenidas, para luego, en una segunda parte, examinar el proyecto de decisión en el marco del procedimiento de ventanilla única.
La ley luxemburguesa establece que la publicidad solo se realiza una vez que se han agotado los recursos, por lo que la decisión no se ha hecho pública por el momento. Pero de conformidad con el artículo 77 de la GDPR, LQDN, ya que el denunciante fue informado de la decisión de las autoridades con respecto a su denuncia. De esta decisión se desprende que el sistema de análisis de comportamiento y orientación publicitaria se lleva a cabo sin el consentimiento de los usuarios y viola las normas europeas de protección de datos.
Amazon comentó sobre la sanción en la revista Bloomberg diciendo que “ No ha habido violación de datos y ningún dato del cliente ha sido expuesto a un tercero” . El grupo Amazon planea apelar esta decisión.
La autoridad de Luxemburgo retuvo en su decisión la violación de numerosas disposiciones del GDPR. Inicialmente, Amazon violó el artículo 6.1 del GDPR [1] en el sentido de que sus tratamientos de orientación publicitaria no se basan en el consentimiento del interesado ni en un interés legítimo. . El interés legítimo es una de las bases legales previstas por el RGPD en la que puede basarse el tratamiento de datos personales. Esto supone que los intereses perseguidos por el organismo que procesa los datos, ya sea por ejemplo comercial o de seguridad de los bienes, no crean un desequilibrio en detrimento de los derechos e intereses de las personas cuyos datos se procesan. Esto significó que Amazon tuvo que sopesar los derechos e intereses involucrados, es decir, el interés que perseguía en la recuperación de datos y la protección de los datos personales de los usuarios. Sin embargo, de la decisión de la CNPD se desprende que Amazon no tenía ningún interés legítimo en su actividad comercial en la recopilación de datos de sus usuarios. Entonces, ¿cuáles son las condiciones para que el tratamiento de datos personales sea lícito?
El TJUE ya ha tenido la oportunidad de pronunciarse sobre esta noción de interés legítimo en un sentencia del 4 de mayo de 2017 donde establece las tres condiciones que deben cumplirse para que el tratamiento de los datos personales sea lícito: “ en primer lugar, la persecución de un interés legítimo por parte del responsable del tratamiento o por el tercero o terceros a quienes se comunican los datos, en segundo lugar, la necesidad del tratamiento de datos de carácter personal para la realización del interés legítimo perseguido ”esto significa que el interés no puede realizarse si no se explotan los datos. “ y, en tercer lugar, la condición de que no prevalezcan los derechos y libertades fundamentales de la persona afectada por la protección de datos. ” Estos derechos y libertades fundamentales se refieren en particular a los derechos protegidos por la Carta de Derechos fundamentales principios de la Unión Europea que garantiza, en particular, el derecho al respeto de la vida privada.
En este caso, la CNPD consideró que Amazon no cumplía con ninguna de estas tres condiciones.
¿Cuál es el propósito de esta obligación de información y transparencia?
Luego, la autoridad supervisora de Luxemburgo se pronunció sobre la obligación de transparencia que incumbe a los controladores de datos. Los artículos 12, 13 y 14 del RGPD requieren información completa y precisa. ¿Cuál es el propósito de esta obligación de información y transparencia? Esta obligación de transparencia permite a las personas cuyos datos se utilizan conocer el motivo de la recogida de datos, comprender el tratamiento que se hará de sus datos y asegurar el control de sus datos para poder ejercer sus derechos con mayor facilidad, por ejemplo. el derecho de supresión consagrado en l ‘sentencia Costeja de 13 de mayo de 2014 en el que los jueces europeos recordaron la obligación del operador de un motor de búsqueda “ de eliminar de la lista de resultados, mostrada tras una búsqueda realizada a partir del nombre de una persona, enlaces a páginas web, publicadas por terceros y que contengan información relativa a esta persona »tan pronto como ésta lo solicite. Este derecho de borrado se incorporó al RGPD en el artículo 17 que la empresa Amazon tiene viole en el sentido de que no permite a estos usuarios conocer toda la información relativa al tratamiento de sus datos personales. Asimismo, esta falta de transparencia impide que los interesados implementen su derecho de oposición (artículo 21 del RGPD) que permite a cualquier persona oponerse al tratamiento de datos personales.
Finalmente, la LQDN, como denunciante, comentó esta decisión y considera que, “ en cambio, esta histórica sanción hace aún más flagrante la renuncia generalizada de la autoridad irlandesa de protección de datos que, en tres años, no ha podido para cerrar cualquiera de las otras cuatro quejas que habíamos presentado contra Facebook, Apple, Microsoft y Google. ”De hecho, cuando LQDN presentó una queja contra Amazon en 2018, se presentaron otras 4 quejas al mismo tiempo contra Facebook , Apple, Microsoft y Google. La asociación consideró que las causas de la falta de procesamiento contra GAFAM fueron principalmente políticas: “ GAFAM son los socios leales de los estados para mantener el orden en Internet “. Por lo tanto, mantenerlos por encima de la ley permite a los estados garantizar que continúen administrando la censura y la vigilancia masiva. Sin embargo, esta decisión de Luxemburgo ofrece la esperanza de que surja una supervisión más amplia de los GAFAM y, en particular, su sumisión a las normas del RGPD. Como afirma la CNIL, “ esta decisión de la CNPD es, no obstante, de una escala sin precedentes y marca un punto de inflexión en la aplicación del RGPD y la protección de los derechos de los ciudadanos europeos. ”.
¿Cómo garantizar el cumplimiento de las reglas de competencia en este contexto?
Sin embargo, las violaciones de la ley por parte de Amazon parecen ir en aumento. La Comisión Europea también ha abierto una investigación sobre el uso de datos no públicos de terceros vendedores en el mercado de Amazon. Para entender este problema, tenemos que volver a cómo funciona Amazon. Tiene una función doble: permite a los vendedores independientes tener un mercado donde pueden vender sus productos y vende productos como minorista en el mismo mercado. Entonces, Amazon compite con otros vendedores en su mercado. ¿Cómo garantizar el cumplimiento de las normas de competencia en este contexto? Este es el problema que surge porque, como proveedor de servicios de mercado, Amazon tiene acceso a los datos comerciales no públicos de terceros vendedores. Por ejemplo, tiene acceso a los recibos de los vendedores, la cantidad de productos vendidos, etc. La Comisión acusa a Amazon de utilizar sistemáticamente esta información en beneficio de su propia actividad minorista, que compite directamente con la de estos terceros vendedores. Las conclusiones preliminares de esta investigación mostraron que “ los empleados de la actividad minorista de Amazon disponen de volúmenes considerables de datos no públicos de los vendedores “, señaló la Comisión en su comunicado de prensa.
Esta situación permitiría a la empresa aprovechar su posición dominante en la prestación de servicios de mercado en Francia y Alemania utilizando estos datos para adaptar sus decisiones comerciales, por ejemplo, Amazon enfoca sus ofertas en productos que venden en el mercado. Mejor en diferentes categorías y ajusta sus ofertas basándose en datos no públicos de vendedores competidores. De confirmarse estas prácticas, violan el artículo 102 del Tratado de Funcionamiento de la UE que establece que “Es incompatible con el mercado interior y está prohibido, en la medida en que el comercio entre Estados miembros pueda verse afectado, el hecho de que una o más empresas explotan abusivamente una posición dominante en el mercado interior o en una parte sustancial del mismo. “Este artículo prohíbe el abuso de una posición dominante en el mercado de la Unión Europea, que repercuta en la competencia.
Finalmente, vemos que las autoridades nacionales finalmente quieren actuar para limitar el abuso de su posición por parte de la GAFAM y los abusos que podrían resultar de ella. El GDPR ha traído un avance significativo en la protección de los datos de los usuarios, ahora es necesario asegurar que sus disposiciones sean respetadas por ty establecer un trato igualitario entre todos los actores.
Eternoscorp queda a su disposición tanto en caso de sanción por infracción de las normas de protección de datos como en una situación en la que no se hayan respetado sus derechos como usuario.
[1] “ El procesamiento solo es legal si, y en la medida en que, se cumpla al menos una de las siguientes condiciones: </ em>
- a) el interesado ha dado su consentimiento para el procesamiento de sus datos personales para uno o más propósitos específicos;
- b) el procesamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la ejecución de medidas precontractuales tomadas a solicitud de este último; </ li >
- c) el procesamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el controlador;
- d) el procesamiento es necesario para proteger los intereses vitales del interesado o de otra persona física;
- e) el tratamiento es necesario para el desempeño de una tarea de interés público o que entra dentro del ejercicio de la autoridad oficial conferida al responsable del tratamiento; </ li>
- f) el tratamiento es necesario para los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, a menos que prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de los datos personales, en en particular cuando el interesado es un niño. “
| 
Besoin de conseils en lien avec ce sujet ?
Faites appel à nos experts !
Que pensez-vous de cette analyse ?
Réagissez !