Privacidad desde el diseño y por defecto en el régimen de conformidad de la contratación de servicios digitales

Abstract

El uso de contenidos y servicios digitales a cambio de datos personales del consumidor es, en la actualidad, una realidad económica innegable que convive con el intercambio de bienes digitales de carácter monetario. Su reconocimiento contractual a nivel europeo en la Directiva 2019/770/UE, de 20 de mayo de 2019, relativa a determinados aspectos relacionados con los contratos de suministro de contenido digital y servicios digitales, ha sido una de las principales innovaciones en el ámbito de la protección de los consumidores en el mercado digital. Con ello, el marco normativo regulador del derecho fundamental a la protección de datos personales, cuya principal referencia es el Reglamento General de Protección de Datos europeo, ha irrumpido en el Derecho contractual. La Directiva europea, cuya implementación en Derecho español se ha llevado a cabo por Real Decreto-ley 7/2021, de 27 de abril, de transposición de varias directivas de la Unión Europea, tiene por objeto la armonización y el establecimiento de normas comunes sobre ciertos aspectos de los contratos celebrados entre empresarios y consumidores para el suministro de contenidos o servicios digitales, en particular, el establecimiento de parámetros para la determinación de la conformidad de los contenidos o servicios digitales con el contrato, la fijación de medidas correctoras que se atribuyen al consumidor en caso de falta de conformidad o incumplimiento del suministro, y la modificación de los contenidos y servicios digitales. El presente trabajo, enmarcado en la difícil conciliación entre dos enfoques regulatorios contrapuestos, centrará su atención en un aspecto concreto, a saber, la incidencia de los riesgos a la privacidad en la falta de conformidad con el contrato de las prestaciones digitales suministradas al consumidor. Nos preguntaremos cómo afecta la implementación práctica de tratamientos de datos personales respetuosos con la privacidad por parte del proveedor, en su condición de responsable del tratamiento, en la evaluación de la conformidad con el contrato de las prestaciones digitales suministradas; una gestión de los riesgos a la privacidad por parte del suministrador que bien puede condensarse en la observancia de uno de los ejes de la normativa europea de protección de datos dirigido a proporcionar garantías necesarias para que los tratamientos de datos realizados por los responsables proporcionen no supongan una injerencia en la esfera privada de la persona: la privacidad desde el diseño y la privacidad por defecto. En otros términos, se busca delimitar si el incumplimiento normativo en protección de datos puede provocar, al margen de los mecanismos de reacción propios de la vulneración del derecho fundamental a la protección de datos, una falta de conformidad activadora de las medidas contractuales correctoras previstas legalmente.

The use of digital contents and services in exchange for personal data of the consumer is nowadays an undeniable economic reality that coexists with the exchange of monetary-based digital goods. Its contractual recognition at European level in Directive 2019/770/EU, of 20 May 2019, on certain aspects related to contracts for the supply of digital content and digital services has been one of the major innovations in the field of consumer protection in the digital market. With this, the regulatory framework regarding the fundamental right to the protection of personal data, whose main reference is the European General Data Protection Regulation, has burst into contract law. The European Directive, whose implementation in Spanish law has been carried out by Royal Decree-Law 7/2021, of April 27, on the transposition of several European Union directives, aims at harmonizing and establishing common rules on certain aspects of contracts concluded between entrepreneurs and consumers for the supply of digital content or services, in particular, the establishment of parameters for determining the conformity of digital content or services with the contract, the establishment of corrective measures to be attributed to the consumer in the event of lack of conformity or non-compliance with the supply, and the modification of digital content and services. The present paper, framed in the difficult conciliation between two conflicting regulatory approaches, will focus its attention on a specific aspect, namely, the impact of privacy risks in the lack of conformity with the contract of digital services supplied to the consumer. We will ask ourselves how the practical implementation of privacy-compliant processing of personal data by the supplier, as data controller, affects the assessment of the conformity with the contract for the supply of digital content and digital services; management of the risks to privacy that may well be condensed in the observance of one of the axes of European data protection law aimed at providing the necessary guarantees so that the processing of data by data controllers does not involve interference in the private sphere of the individual persons: privacy by design and by default. In other words, the aim is to determine whether non-compliance with data protection regulations can lead, apart from the reaction mechanisms inherent to the violation of the fundamental right to data protection, to a lack of conformity that triggers the contractual remedies.