Por Lucía do Nascimento.
Abogada Asociada del Área de IT, Privacidad y Protección de Datos en ECIJA.
El pasado 22 de mayo, el Diario Oficial de la Unión Europea publicó la Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo de 20 de mayo de 2019 relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales, (en adelante, “Directiva 2019/770”) la cual viene a establecer un conjunto de normas comunes que regirán los contratos que se vayan a perfeccionar entre empresarios y consumidores para el suministro de contenidos o servicios digitales, cuyo fin no es otro que, alcanzar una armonía cuya base descansa en la consecución de un alto nivel de protección de los consumidores promoviendo, a su vez, la competitividad entre las empresas.
Tanto empresarios como consumidores a la hora de observar los derechos y obligaciones que le son aplicables, deberán moverse a caballo de la antedicha Directiva 2019/770 y la Directiva (UE) 2019/771 del Parlamento Europeo y del Consejo de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de compraventa de bienes, por la que se modifican el Reglamento (CE) n.º 2017/2394 y la Directiva 2009/22/CE y se deroga la Directiva 1999/44/CE. Así las cosas, dentro de esta última Directiva se ofrecen las características que deben recubrir los contratos de compraventa de bienes, incluidos los bienes con elementos digitales, para que las citadas normas europeas le sean de aplicación.
Pues bien, la Directiva 2019/770 no ha obviado las circunstancias que envuelven el mercado digital actual, en tanto en cuanto, no siempre los servicios digitales o contenidos se suministran a cambio de un precio, sino que, en numerosos casos el eje económico fundamental consiste en el recabado de datos de carácter personal. Así pues, dicha Directiva tiene como objetivo velar por el respeto al derecho fundamental a la protección de datos para que, los mismos, no se configuren como mercadería, cuestión que dista mucho de su momentánea configuración.
A su vez, todos los contratos que se celebren entre empresario y consumidor, deberán observar, dentro del marco legal aplicable, lo dispuesto en el Reglamento General de Protección de Datos (en adelante, “RGPD”), así como en la Directiva 2002/58/UE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, debiendo prevalecer, para el caso de que existiera conflicto entre la Directiva 2019/770 y el RGPD, este último. Consecuentemente, cuando en el contrato perfeccionado se haya establecido que la legislación aplicable sea la española, deberemos dirigirnos a la actual Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”).
En esta línea se señala que la norma europea en materia de protección de datos será de aplicación en aquellos supuestos en los que el consumidor facilite datos de carácter personal como consecuencia de la apertura de una cuenta, por ejemplo, en una red social, y que los mismos no sean empleados con carácter exclusivo para el suministro de los contenidos o servicios digitales o que, en su caso, no sean destinados al cumplimiento de las obligaciones legales que le son impuestas. A su vez, será de aplicación en los supuestos en los que el empresario los emplee con fines comerciales, siempre y cuando, la persona física afectada por el tratamiento haya otorgado su consentimiento.
A sensu contrario, no se aplicará dicha Directiva cuando los datos de carácter personal tengan, con carácter exclusivo, proporcionar los contenidos o servicios digitales y/o que los mismos deban ser tratados como consecuencia del cumplimiento de una obligación legal.
Asimismo, escapa de la aplicación de la Directiva 2019/770 el supuesto en el que el consumidor, sin haber suscrito un contrato con el empresario y con el objeto de tener acceso a determinados contenidos o servicios digitales, consienta el envío de publicidad,
No obstante, la norma europea deja a criterio de los Estados miembros la ampliación de la aplicación de la Directiva, por lo que estaremos a expensas de lo que pueda establecer el legislador nacional, el cual tendrá en consideración los criterios establecidos en la LOPDGDD.
Finalmente, especial atención merecen las consecuencias que se derivan del incumplimiento de los derechos, obligaciones y acciones extracontractuales en relación con la plena aplicación del RGPD puesto que, el hecho del incumplimiento de principios básicos tales como, entre otros, la minimización de los datos o la protección desde el diseño y por defecto, atendiendo a las circunstancias concretas, podrán llevar aparejados una falta de conformidad respecto de los contenidos o servicios digitales, atendiendo a los requisitos objetivos y subjetivos que se indican en la Directiva 2019/770, contemplados en los artículos 7 y 8 de la misma y los cuales vienen a ofrecer un conjunto de particularidades que deben revestir los servicios digitales o contenidos, para que estos pueden ser suministrados por los empresarios.
Así las cosas y en virtud de lo dispuesto en el artículo 14 de la Directiva, la falta de conformidad podrá acarrear la resolución del contrato o, en su caso, la aplicación de medidas correctoras, siempre y cuando no devenga imposible o no le resulte al empresario desproporcionado.