AD 163/2021
TE LO COMPRO… ¿CON MIS DATOS PERSONALES?
RESUMEN: En los últimos años se ha reflexionado mucho acerca de la posibilidad de obtener productos o servicios facilitando datos de carácter personal en lugar de moneda de curso legal. Sin embargo, no se debe perder de vista que, a través de servicios considerados gratuitos, ya se están obteniendo contraprestaciones en un sinfín de aplicaciones telemáticas y servicios digitales, una vez facilitados datos personales. En este artículo se hace una breve reflexión acerca de la posibilidad de pagar productos o servicios mediante la proporción de datos personales, y especialmente sobre el Decreto Ley 7/2021, de 27 de abril, a través de cuya aplicación los datos personales serán considerados en España como un medio de pago a partir del 1 de enero de 2022.
PALABRAS CLAVE: DATOS PERSONALES, PROTECCIÓN DE DATOS, RGPD, MEDIOS DE PAGO, CONSUMIDORES, USUARIOS, DERECHOS.
ABSTRACT: In recent years, much thought has been given to the possibility of obtaining products or services by providing personal data instead of legal tender. Nevertheless, we should not lose sight of the fact that, through services considered to be free of charge, a counterpart is already being obtained by telematic applications and digital services once personal data have been provided by their owners. This article briefly reflects on the possibility of paying for products or services by providing personal data, and especially on Decree Law 7/2021, of April 27, through whose application personal data will be considered in Spain as a mean of payment from January 1, 2022.
KEY WORDS: PERSONAL DATA, DATA PROTECTION, GDPR, PAYMENT MEANS, CONSUMERS, USERS, RIGHTS.
1.- INTRODUCCIÓN. ¿ES POSIBLE PAGAR CON DATOS PERSONALES?
Hace unos meses, aparecía la noticia de que en España comenzaba a usarse una máquina expendedora cuya peculiaridad radicaba en que los pagos se realizaban facilitando datos de carácter personal y no moneda de curso legal para obtener sus productos. Si bien es cierto que, por el momento, “Data Pro Quo” (así se llama la máquina expendedora) está limitada a ser utilizada en el ámbito privado, concretamente en el Digital Hub de Accenture, en Madrid, y no está orientada al público general, no debemos perder de vista esta nueva posibilidad de transacción, al encontrarnos con la primera máquina expendedora[1] de estas características. Su funcionamiento es sencillo ya que, como en cualquier otra máquina expendedora, se pueden encontrar productos relacionados con alimentación, material de oficina y dispositivos electrónicos. Dependiendo de lo que el usuario quiera obtener, la máquina facilitará un cuestionario, variando el número de preguntas, con formularios divididos en tres categorías (a, b y c). Sencillo, cómodo, fácil… Y, además, no implica un gasto monetario. Todo parece perfecto, a simple vista. Sin embargo, ya hemos visto el valor e interés que tienen los datos personales para las grandes compañías y multinacionales.
Más allá de las medidas técnicas y de seguridad robustas que deberán garantizarse en dispositivos de este tipo, entran en juego aspectos éticos y especialmente relacionados con la sensibilización e información facilitada a los titulares de los datos que decidan utilizarlos para pagar productos o servicios, de tal forma que sean conscientes de las finalidades de tratamiento e implicaciones que conllevará facilitar sus datos personales como medio de pago transaccional a una compañía concreta.
En esta línea, ya en 2017, nos encontramos con un experimento llevado a cabo por la empresa de seguridad Kaspersky Lab, la cual abrió la tienda “The Data Dollar Store”[2] en Londres, durante dos días, con el fin de sensibilizar sobre la privacidad y la importancia de los tratamientos llevados a cabo sobre nuestros datos personales por parte de terceros. El rasgo característico de esta tienda subyacía en el hecho de que sus productos exclusivos no se pagaban en libras, sino con fotos personales, SMSs o mensajes de Whatsapp de los compradores. Si bien, a priori, este medio de pago fue visto como intrusivo por muchas personas, otras accedieron a facilitar los datos de carácter personal solicitados por la tienda con el fin de obtener el producto deseado.
2.- PAGO CON DATOS DE CARÁCTER PERSONAL Y SU PROTECCIÓN
Tanto en el caso de la máquina expendedora “Data Pro Quo” como en el experimento social “The Data Dollar Store”, se pone de relieve la necesidad de ser conscientes del valor de nuestros datos personales, de tal modo que, con carácter previo a facilitarlos a terceros, deberíamos ser conocedores de la finalidad para la cual serán tratados, a quién podrán ser cedidos, incluyendo transferencias internacionales, las medidas de seguridad aplicadas sobre los mismos y muchas otras cuestiones que pueden derivar en una intromisión absoluta en nuestra privacidad. Estos dos casos son sólo un par de ejemplos de cómo la recolección de los datos personales sigue evolucionando. Diariamente, todos facilitamos datos de carácter personal, en mayor o menor medida, en redes sociales, plataformas de streaming, marketplaces, juegos online, comercios electrónicos y similares, sin que en muchos casos quede muy claro cuál será el ciclo de vida que seguirán nuestros datos personales y si llegaremos a perder el control sobre ellos. En todos estos casos en los que no existe un pago en moneda de curso legal, aunque pueda parecer que nos estamos beneficiando de un servicio gratuito tal y como en muchos casos nos inducen a creer, el pago para utilizar o disfrutar de los servicios tecnológicos facilitados por estas multinacionales, pasa por facilitarles nuestros datos personales (que tienen mucho más valor de lo que se puede creer, aunque estemos ante bienes intangibles).
3.- NOVEDADES NORMATIVAS
Afianzando todo lo anteriormente expuesto, es remarcable que, a partir del 1 de enero de 2022, los datos de carácter personal serán considerados medios de pago en España, al entrar en vigor lo dispuesto en el artículo decimosexto del Decreto Ley 7/2021, de 27 de abril[3], que prevé las modificaciones necesarias para llevar a cabo la correcta transposición de dos Directivas de la Unión Europea que afectan al texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado mediante Real Decreto Legislativo 1/2007, de 16 de noviembre. De este modo, se verán afectadas todas aquellas plataformas orientadas al suministro de contenidos o servicios digitales, plataformas de correo o mensajería electrónicos y juegos online, entre otros.
Por ponernos en contexto, el origen de este Decreto Ley se encuentra en la transposición al ordenamiento jurídico estatal de las siguientes Directivas de la Unión Europea:
- Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales (Directiva (UE) 2019/770 o Directiva de servicios digitales).
- Directiva (UE) 2019/771 del Parlamento Europeo y del Consejo de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de compraventa de bienes, por la que se modifican el Reglamento (CE) número 2017/2394 y la Directiva 2009/22/CE y se deroga la Directiva 1999/44/CE (Directiva (UE) 2019/771 o Directiva sobre compraventa de bienes).
Entre las principales novedades, se encuentra la consideración de los datos personales como medio de pago para este tipo de servicios, aunque se trate de contenidos o servicios freemium o comúnmente calificados como “gratuitos”, estableciéndose una relación contractual entre el consumidor que facilita sus datos personales (reconociendo que estos tienen un valor económico) y la compañía que provee el servicio digital, disponiendo por tanto el consumidor de derechos y gozando de una protección similar a la del usuario que paga un dinero fiduciario por el mismo servicio.
En este sentido, es interesante analizar la previsión del artículo 3.1. de la Directiva (UE) 2019/770 que se aplica «a todo contrato en virtud del cual el empresario suministra o se compromete a suministrar contenidos o servicios digitales al consumidor y este paga o se compromete a pagar un precio”. En el siguiente párrafo, la misma disposición especifica que “también se aplicará cuando el empresario suministre o se comprometa a suministrar contenidos o servicios digitales al consumidor y este facilite o se comprometa a facilitar datos personales al empresario, salvo cuando los datos personales facilitados por el consumidor sean tratados exclusivamente por el empresario con el fin de suministrar los contenidos o servicios digitales con arreglo a la presente Directiva o para permitir que el empresario cumpla los requisitos legales a los que está sujeto, y el empresario no trate esos datos para ningún otro fin”. Por tanto, la Directiva se aplica a los contratos de contenido o servicios digitales previo pago de un precio en efectivo, pero también cuando el servicio o contenido se proporciona a cambio del suministro de datos personales.
Es muy importante recordar que el punto preciso relativo al pago en datos personales dio lugar, desde la propuesta inicial del texto, a un acalorado debate y un posterior pronunciamiento expreso por parte del Supervisor Europeo de Protección de Datos a través del Dictamen 4/2017[4] de 14 de marzo, posicionándose en contra de la idea de que los datos personales pudiesen ser considerados una contrapartida no pecuniaria de contenidos o servicios digitales, oponiéndose a que fuesen considerados una mera mercancía. No sólo por la idea de monetizar y relegar un derecho fundamental a una simple transacción comercial, sino por la inconsistencia que dicha consideración tendría con las previsiones contenidas en el RGPD. Si bien es cierto que desde la versión del borrador de 2015 se produjeron modificaciones en el texto, no parece que, a efectos prácticos, se produjesen cambios sustanciales en la redacción definitiva en el sentido señalado por el Supervisor Europeo de Protección de Datos. Permanecerá el problema, por tanto, relativo a cómo conjugar el contenido de la Directiva con las previsiones específicas del GDPR, si bien sus artículos 3.7 y 3.8 son claros:
“3.7. En caso de conflicto de cualquiera de las disposiciones de la presente Directiva con una disposición de otro acto de la Unión que regule un sector u objeto específicos, la disposición de ese otro acto de la Unión prevalecerá sobre la presente Directiva”.
“3.8. El Derecho de la Unión en materia de protección de datos personales se aplicará a cualesquiera datos personales tratados en relación con los contratos contemplados en el apartado 1. En particular, la presente Directiva se entenderá sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE. En caso de conflicto entre las disposiciones de la presente Directiva y el Derecho de la Unión en materia de protección de datos personales, prevalecerá el segundo”.
4.- CONCLUSIONES
Más allá de todas las implicaciones éticas o las reflexiones impresas por el Supervisor Europeo de Protección de Datos, y partiendo que de que nos encontramos ante un necesario avance en la consideración de los usuarios que están facilitando sus datos personales en el ámbito digital sin que medie un precio dentro del ámbito de los consumidores, con la protección legal que eso implica, surgen dudas acerca de la compatibilidad o conciliación entre el enfoque mercantilista del consumidor de la Directiva (UE) 2019/770 y la aplicación de los preceptos y garantías recogidas en el RGPD, conciliando el objeto contractual objeto de la transacción económica regulado por la Directiva y la base de licitud del tratamiento llevado a cabo por el prestador del servicio, conforme a lo dispuesto en la normativa en protección de datos, así como los derechos garantizados por la normativa en protección de datos a los titulares de los mismos. El legislador europeo parece asumir que puedan surgir controversias entre el régimen contractual y el régimen de protección de datos, lo cual puede derivar en una inseguridad jurídica e incluso en la potencial afectación de las condiciones de validez del contrato en sí. En pocas semanas comenzaremos a ver la aplicación práctica del Decreto Ley 7/2021 y los posibles conflictos originados de la misma.
Sonia Vázquez Cobreros
3 de noviembre de 2021
[1] Ha sido impulsada y desarrollada por Shackleton en colaboración con Accenture Interactive, el Taller Kenai y Evoca Group.
[2]https://www.youtube.com/watch?v=dqcHcnpNHIM
[3]https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-6872
[4]https://edps.europa.eu/sites/edp/files/publication/17-03-14_opinion_digital_content_en.pdf
SONIA VÁZQUEZ COBREROS
Abogada en protección de datos, privacidad, IT.
Abogada licenciada por la Universidad de Oviedo y colegiada en el ICAM. Master en Privacidad y Protección de Datos por la UNED, Master en Propiedad Intelectual por la Universidad Carlos III de Madrid y Master en International Business por la Universidad de Barcelona. Ha desarrollado su carrera asesorando a empresas nacionales e internacionales en materia de nuevas tecnologías, privacidad y protección de datos, internet, ciberseguridad y telecomunicaciones.
