Archivo por meses: marzo 2023

El Reglamento de 2004, sobre control de concentraciones, no se opone a que una concentración de empresas de dimensión no comunitaria pueda ser considerada por una autoridad de competencia de un Estado miembro como constitutiva de un abuso de posición dominante prohibido por el artículo 102 TFUE.

Posted on por

Así lo ha declarado la Sentencia del Tribunal de Justicia (Sala Segunda), de 16 de marzo de 2023 en el asunto C-449/21, Towercast.

Foto by M.A. Díaz

Foto by M.A. Díaz

Veamos los hechos que dieron lugar a la cuestión prejudicial planteada y a la Sentencia del Tribunal de Justicia:

    • A partir de 2005 se desplegó en Francia la plataforma de Televisión Digital Terrestre (TDT). El principal operador de la red de TDT es la sociedad TDF, que hasta entonces venía disfrutando de un monopolio estatal sobre el mercado francés de la teledifusión por vía hertziana.
    • Al liberalizarse el espacio audiovisual francés permitió el acceso al mercado de la difusión de otros operadores competidores de TDF, como Towercast e Itas. En 2016, TDF adquirió el control exclusivo de Itas mediante una operación de adquisición que quedaba por debajo de los umbrales fijados en el Reglamento comunitario de concentraciones  y en el Código de Comercio francés, razón por la cual no fue objeto de notificación ni de un control previo de la concentración. Por lo demás, dicha operación tampoco se sujetó al procedimiento de remisión del expediente a la Comisión previsto en el artículo 22 del Reglamento.
    • En opinión de Towercast la toma de control de Itas por TDF infringe la prohibición de abuso de posición dominante impuesta por el Derecho primario de la Unión (artículo 102 TFUE). Y ello porque, según Towercast, TDF obstaculiza la competencia en los mercados mayoristas, de producción y de distribución, de difusión de los servicios de TDT, habida cuenta que su posición ya de por sí dominante en esos mercados ha quedado significativamente reforzada.
    • La Autoridad de Competencia francesa desestimó la denuncia presentada por Towercast, de modo que ésta recurrió ante la cour d’appel de Paris (el Tribunal de Apelación de París) (Francia).
    •  El Tribunal de Apelación de París decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:

«Debe interpretarse el artículo 21, apartado 1, del Reglamento [n.º 139/2004] en el sentido de que se opone a que una operación de concentración carente de dimensión comunitaria a efectos del artículo 1 del [Reglamento citado], que no alcanza los umbrales de control ex ante obligatorio establecidos por el Derecho nacional y que no ha dado lugar a un procedimiento de remisión a la Comisión Europea con arreglo al artículo 22 de dicho Reglamento, sea considerada por una autoridad nacional de competencia como constitutiva de un abuso de posición dominante prohibido por el artículo 102 TFUE, a la luz de la estructura de la competencia en un mercado de dimensión nacional?»

   Este órgano jurisdiccional lo que, en definitiva, plantea al Tribunal de Justicia es si una autoridad nacional de competencia puede examinar ulteriormente, a la vista de la prohibición de abuso de posición dominante establecida por el Derecho de la Unión, una operación de concentración llevada a cabo por una empresa que goza de posición dominante, cuando tal concentración se sitúa por debajo de los umbrales de volumen de negocios fijados en el Reglamento (CE) núm. 139/2004 del Consejo, de 20 de enero de 2004, sobre el control de las concentraciones entre empresas («Reglamento comunitario de concentraciones») (DO 2004, L 24, p. 1) y en la normativa nacional sobre control de concentraciones y, por tanto, no haya sido objeto de un control previo en este sentido.

Foto by M.A. Díaz

Foto by M.A. Díaz

 

En su Sentencia, el Tribunal de Justicia reconoce que una operación de concentración de dimensión no comunitaria puede ser objeto de control por las autoridades nacionales de defensa de la competencia y por los tribunales nacionales en virtud del efecto directo de la prohibición de abuso de posición dominante contemplada por el Derecho de la Unión, basándose en sus propias normas de procedimiento.

   El Tribunal de Justicia subraya, en este sentido, que, no obstante el principio de aplicación exclusiva del Reglamento a las operaciones de concentración, es el Derecho en materia de procedimiento de los Estados miembros el que se aplica a las concentraciones de dimensión no comunitaria.

    A este propósito, el Tribunal pone de relieve que el sistema de «ventanilla única» previsto por el Reglamento constituye un instrumento procedimental específico, encaminado a ser aplicado con carácter exclusivo a las concentraciones de empresas que impliquen modificaciones estructurales importantes cuyo efecto en el mercado alcance más allá de las fronteras nacionales de un Estado miembro. Con todo, añade, de ello no se desprende que el legislador de la Unión haya querido dejar sin objeto el control realizado a escala nacional de una operación de concentración basada en la prohibición de abuso de posición dominante impuesta por el Derecho primario.

    Así las cosas, manifiesta el Tribunal de Justicia que el control previo de las operaciones de dimensión comunitaria establecido por el Reglamento no excluye un control ulterior de las operaciones de concentración que no alcancen dicho umbral, toda vez que determinadas concentraciones que pueden quedar libres de un control previo, sin embargo pueden ser objeto de un control posterior.

   Precisamente, conforme a la Sentencia, habrá de tenerse en cuenta que al realizar el control ulterior basado en la prohibición del abuso de posición dominante, la autoridad nacional que conoce del asunto habrá de comprobar si el adquirente, con posición dominante en un mercado determinado y que ha adquirido el control de otra empresa en dicho mercado, ha obstaculizado sustancialmente la competencia en ese mercado, a resultas de ese comportamiento

  Considerado lo anterior, el Tribunal de Justicia declara:

“El artículo 21, apartado 1, del Reglamento (CE) n.º 139/2004 del Consejo, de 20 de enero de 2004, sobre el control de las concentraciones entre empresas, debe interpretarse en el sentido de que

no se opone a que una operación de concentración de empresas carente de dimensión comunitaria a efectos del artículo 1 de dicho Reglamento, que no alcanza los umbrales de control ex ante obligatorio previstos por el Derecho nacional y que no ha dado lugar a un procedimiento de remisión a la Comisión con arreglo al artículo 22 de dicho Reglamento, sea considerada por una autoridad de competencia de un Estado miembro como constitutiva de un abuso de posición dominante prohibido por el artículo 102 TFUE, a la luz de la estructura de la competencia en un mercado de dimensión nacional”.

La Sentencia completa puede verse aquí.

Geolocalización y protección de datos

Posted on por

Como es sabido, los datos de ubicación, pueden servir para inferir y conocer diversa información personal que puede ser utilizada con distintos objetivos, entre otros con motivo de establecer perfiles publicitarios

En EEUU se han ido conociendo reclamaciones frente a grandes compañías de servicios digitales, con base en prácticas de geolocalización irrespetuosas con el ordenamiento.

Invierno. By M.A. Díaz

  • En noviembre 2022, un grupo de 40 Attorney General  (fiscales generales) de Minesota en EEUU  llegó a un acuerdo con Google LLC, a raíz de una sobre la presunta violación por parte de la compañía de las correspondientes normativas estatales de protección del consumidor, en el sentido de inducir a error a los consumidores sobre el registro de sus movimientos o geolocalización. Poco antes, se había alcanzado un acuerdo similar en Arizona. Según ha trascendido, Google habría trasmitido  la errónea impresión de que cuando los usuarios desactivaban los servicios de seguimiento de localización la compañía dejaría de recopilar datos de geolocalización sobre ellos. En realidad, Google seguía acumulando estos datos y luego los ofrecía a terceros que los utilizaban con fines publicitarios. En el acuerdo de Minesota, Google debe abonar 391,5 millones de dólares, así como facilitar a los usuarios información adicional al activar o desactivar un determinado ajuste relacionado con la localización; y tiene que asegurar que la obtención de información clave sobre el seguimiento de la localización sea «insoslayable» para los usuarios , así como proporcionar información detallada sobre los tipos de datos de localización que recopila y utiliza. Más aquí
  • En la UE, dado que los sistemas de geolocalización capturan, almacenan y analizan la información geográfica referenciada de la persona (es decir, un tratamiento de datos personales), resulta de aplicación el art. 4 RGPD con lo que es necesario determinar el fin admisible de este tratamiento y tener en cuenta todos los requisitos del derecho positivo, entre ellos la legitimación. Cuando el dispositivo sea propiedad de una persona física será necesario obtener el consentimiento del interesado (art. 6.1.a RGPD). Cuando el sistema de geolocalización se instale en un dispositivo responsabilidad de una empresa, se podrá legitimar por interés legítimo del responsable (art. 6.1.f RGPD) basado en el art. 20.3 ET y el art. 90 LOPDGDD. Recuérdese que el art. 20.3 del Estatuto de los Trabajadores permite «adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales». Estas medidas, deberán, siempre, respetar el derecho al honor, a la intimidad personal y familiar y a la propia imagen reconocido en el art. 18 de la Constitución Española, en coherencia además con el deber de informar al trabajador (arts 13 y 14 RGPD). Y, el deber de respetar la finalidad, o prohibición del uso de los datos obtenidos para finalidades distintas de las declaradas en la adopción de la medida. La noción de “fines” del art. 5.1.c RGPD, relativo al principio de minimización, excluye todo intento de aprovecharse de los datos de carácter personal recogidos para obtener nuevos datos personales o para un uso divergente de la finalidad originaria para la que fueron recabados. De igual manera se expresa el art. 6 LOPDGDD, correspondiente al consentimiento del interesado para diversas finalidades. Además, los datos de localización se deben conservar exclusivamente durante el tiempo oportuno en función de la finalidad que justifique su tratamiento. sin olvidar que el acceso a los datos de localización deberá restringirse a aquellas personas que, en el ejercicio de sus obligaciones, puedan consultarlas de forma legítima en función de sus finalidades. Por consiguiente, los empresarios deberán adoptar todas las cautelas necesarias para que tales datos se mantengan seguros e impedir el acceso no autorizado a ellos, especialmente mediante la introducción de medidas de verificación e identificación.

 

Además de todo esto, hay que tener en cuenta que los responsables del tratamiento que utilicen sistemas de geolocalización estarán sujetos a obligaciones del GDPR:

  1. El registro de actividades de tratamiento. Cada responsable del tratamiento y, en su caso, su representante, habrán de llevar un registro de las actividades de tratamiento que efectúen bajo su responsabilidad (art. 30 RGPD).
  2. El análisis de riesgos con el fin de establecer las concretas medidas de seguridad y control para garantizar los derechos y libertades de las personas. (art.32 RGPD).
  3. Medidas de seguridad. En este documento se van a recoger las medidas técnicas y organizativas de seguridad que garanticen la protección de los datos personales, y que demuestren la adecuación con el GDPR, teniendo en consideración los derechos e intereses legítimos de las personas físicas propietarias de los datos personales y de cualquier otra persona afectada.
  4. La evaluación de impacto (DPIA) en el caso el tratamiento se realice a gran escala e implique la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público (art. 35.4 RGPD).

 Ver también 

En España, en enero de 2023, Audiencia Nacional anuló una decisión de la AEPD en la que sostuvo que la empresa Virgin telco había actuado conforme a la ley al denegar a sus clientes el acceso a sus datos de geolocalización. El asunto había sido planteado por una ONG especializada: NOYB.

  • Noyb, cuyas siglas proceden de la expresión inglesa None of your business (No es asunto tuyo), es una iniciativa del activista Sr Schrems (conocido por sus litigios en relación con los acuerdos de trasmisión de datos a EEUU). La ONG especializada en protección de datos recurrió una decisión de la AEPD. NOYB sostenía que la información sobre geolocalización es un dato personal y debe facilitarse al amparo del derecho de datos personales.

Un cliente de Virgin telco en España solicitó acceder a sus datos de geolocalización. Le fueron denegados por lo que reclamó ante la AEPD. La agencia dio la razón a la empresa por lo que Noyb recurrió esa decisión en junio de 2022, defendiendo que ya que los proveedores de telecomunicaciones en España están obligados a almacenar datos de geolocalización de sus clientes, en virtud del principio de tutela de datos personales, tales proveedores deben facilitar esa información a los usuarios en caso de ser solicitada. Este planteamiento era distinto al inicial de la AEPD que consideraba que el acceso estaba garantizado sólo para las autoridades en el marco de investigaciones penales. La Audiencia Nacional anuló la decisión inicial de la AEPD. Ver aquí  la web de esta ONG

Sanción belga por conflicto entre DPD y compliance Officer

Posted on por

El 28 de abril de 2020, la Sala de lo Contencioso de la Autoridad de Protección de Datos belga impuso una multa de 50.000 euros a una sociedad por incumplimiento de los requisitos del Reglamento general de protección de datos («RGPD») relativos al nombramiento de un responsable de la protección de datos («DPD»).

Tras la notificación de una violación de datos, la APD belga inició una investigación sobre las prácticas de protección de datos y el programa de privacidad de la empresa y su investigación se centró en tres supuestas infracciones del RGPD,

Canaval_Omaña (León)

  1. el deber de cooperar con la APD;
  2. las obligaciones de rendición de cuentas (evaluaciones de riesgo y violación de datos); y
  3. los requisitos relacionados con el cargo de DPD de la sociedad.

En su decisión, la Sala de lo Contencioso de la APD belga solo confirmó la  infracción de los requisitos del DPD del RGPD (artículo 38, apartado 6, del RGPD), argumentando que, al nombrar al jefe del departamento de Cumplimiento, Gestión de Riesgos y Auditoría a ese DPD, la sociedad había incumplido su obligación de garantizar que su DPD esté libre de cualquier conflicto de intereses.

En particular, la Sala de lo Contencioso de la APD belga indicó en su decisión que:

  • Si el DPO, como Jefe del departamento de Auditoría Interna, tiene poder de decisión con respecto al despido de empleados, no es compatible con la función del DPO.
  • El que los departamentos que dirige la persona que actúa como DPO de la sociedad cumplan una función independiente y consultiva en relación con los demás departamentos de la empresa y, como tales, no tengan poder de decisión con respecto a las actividades de tratamiento de datos de la sociedad, ello no significa necesariamente que las tareas de la persona como Jefe de estos departamentos sean compatibles con sus tareas como DPO de la sociedad.
  • Si en su calidad de responsable de los departamentos de Cumplimiento Normativo, Gestión de Riesgos y Auditoría, la persona designada como DPP de la sociedad determina los fines y los medios del tratamiento de datos personales que tiene lugar en el contexto de estos departamentos, es responsable de las actividades de tratamiento de datos y por tanto infringe el RGPD.

En vista de ello, la Sala de lo Contencioso de la APD belga concluye que combinar la función de jefe de departamento de Cumplimiento Normativo, Gestión de Riesgos y Auditoría la de DPO da lugar a un importante conflicto de intereses. En el caso que nos ocupa, la APD belga sostiene que, debido a la combinación de funciones, existe una falta total de supervisión independiente del DPO en relación con las actividades de tratamiento de datos que tienen lugar en el contexto de los departamentos de Cumplimiento, Gestión de Riesgos y Auditoría. Además, la APD belga indica que, debido a su doble función, el DPO puede no ser capaz de ofrecer suficientes garantías a los empleados afectados en términos de confidencialidad y secreto.

En vista de lo anterior, la Sala de lo Contencioso ordenó modificar la situación e impuso una multa administrativa de 50.000 euros. (recurrible)

Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha