Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@hotmail.com

RESUMEN

Durante su última sesión plenaria, el Comité Europeo de Protección de Datos (CEPD) adoptó un Dictamen sobre determinadas obligaciones derivadas de la confianza en el encargado(s) y sub-encargado(s), unas Directrices sobre el interés legítimo, una Declaración sobre el establecimiento de normas procesales adicionales para la aplicación del RGPD y el programa de trabajo del CEPD 2024-2025.

Precisamente, este artículo se refiere acerca de estas Directrices sobre el interés legítimo, la necesidad de los responsables de contar con una base jurídica para el tratamiento de datos personales de forma lícita. El interés legítimo es una de las seis bases jurídicas posibles.

Estas Directrices analizan los criterios establecidos en el art. 6(1)(f) del RGPD que los responsables del tratamiento deben cumplir para el tratamiento de datos personales de forma lícita sobre la base del interés legítimo. El Comité tuvo en cuenta la reciente sentencia del TJUE sobre esta materia (C-621/22, 4 de octubre de 2024).

Para poder basarse en el interés legítimo, el responsable del tratamiento debe cumplir tres condiciones acumulativas:

1. La persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero;
2. La necesidad de tratar datos personales a los efectos de perseguir el interés legítimo;
3. Los intereses o las libertades y derechos fundamentales de las personas físicas no prevalecen sobre los intereses legítimos del responsable del tratamiento o de un tercero (ejercicio de ponderación).

Las Directrices estarán sujetas a consulta pública hasta el 20 de noviembre de 2024.

El presente artículo en inglés ha sido publicado en su sitio web y traducido por el suscrito al castellano; incluye el enlace https://www.edpb.europa.eu/news/news/2024/edpb-adopts-opinion-processors-guidelines-legitimate-interest-statement-draft_en Se adjunta además, el Resumen Ejecutivo y la Introducción a las Directrices.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com

____________________________________________________________

El CEPD adopta un dictamen sobre los encargados del tratamiento, directrices sobre el interés legítimo, una declaración sobre el proyecto de reglamento para la aplicación del RGPD y un programa de trabajo para 2024-2025

El 08 de octubre, el CEPD adoptó un dictamen sobre determinadas obligaciones derivadas de la dependencia de los encargados y sub-encargados del tratamiento de datos a raíz de una solicitud presentada al Comité en virtud del artículo 64(2) del RGPD por la Autoridad de Protección de Datos de Dinamarca (APD). El artículo 64(2) del RGPD establece que cualquier APD puede solicitar al Comité que emita un dictamen sobre cuestiones de aplicación general o que produzcan efectos en más de un Estado miembro.

El dictamen se refiere a situaciones en las que los responsables del tratamiento dependen de uno o varios encargados y sub-encargados del tratamiento. En particular, aborda ocho cuestiones sobre la interpretación de determinadas obligaciones de los responsables del tratamiento que dependen de encargados y sub-encargados del tratamiento, así como sobre la redacción de los contratos entre responsables y encargados del tratamiento, que se derivan en particular del artículo 28 del RGPD.

El dictamen explica que los responsables del tratamiento deben tener a su disposición en todo momento la información sobre la identidad (es decir, nombre, dirección, persona de contacto) de todos los encargados, sub-encargados, etc., para poder cumplir mejor con sus obligaciones en virtud del artículo 28 del RGPD. Además, la obligación del responsable de verificar si los (sub)encargados presentan «garantías suficientes» debe aplicarse independientemente del riesgo para los derechos y libertades de los interesados, aunque el alcance de dicha verificación puede variar, en particular en función de los riesgos asociados al tratamiento.

El dictamen también señala que, si bien el encargado inicial del tratamiento debe asegurarse de proponer sub-encargados del tratamiento con garantías suficientes, la decisión y la responsabilidad última sobre la contratación de un sub-encargado del tratamiento específico recaen en el responsable del tratamiento.

El CEPD considera que, en virtud del RGPD, el responsable del tratamiento no tiene la obligación de solicitar sistemáticamente los contratos de sub-encargado del tratamiento para comprobar si las obligaciones en materia de protección de datos se han transmitido a lo largo de la cadena de tratamiento. El responsable del tratamiento debe evaluar si es necesario solicitar una copia de dichos contratos o revisarlos para poder demostrar el cumplimiento del RGPD.

Además, cuando se produzcan transferencias de datos personales fuera del Espacio Económico Europeo entre dos (sub)encargados del tratamiento, el encargado del tratamiento en su calidad de exportador de datos deberá preparar la documentación pertinente, como la relativa al motivo de la transferencia utilizado, la evaluación del impacto de la transferencia y las posibles medidas complementarias. Sin embargo, dado que el responsable del tratamiento sigue estando sujeto a las obligaciones derivadas del art. 28(1) del RGPD sobre «garantías suficientes», además de las establecidas en el art. 44 para garantizar que el nivel de protección no se vea socavado por las transferencias de datos personales, deberá evaluar esta documentación y poder mostrarla a la Autoridad de Protección de Datos competente.

A continuación, el Comité adoptó las Directrices sobre el tratamiento de datos personales basadas en el interés legítimo .

Los responsables del tratamiento de datos necesitan una base jurídica para procesar datos personales de forma lícita. El interés legítimo es una de las seis bases jurídicas posibles.

Estas Directrices analizan los criterios establecidos en el art. 6(1)(f) del RGPD que los responsables del tratamiento deben cumplir para tratar datos personales de forma lícita sobre la base del interés legítimo. También tienen en cuenta la reciente sentencia del TJUE sobre esta materia (C-621/22, 4 de octubre de 2024).

Para poder basarse en el interés legítimo, el responsable del tratamiento debe cumplir tres condiciones acumulativas:

1. La persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero;
2. La necesidad de tratar datos personales a los efectos de perseguir el interés legítimo;
3. Los intereses o las libertades y derechos fundamentales de las personas físicas no prevalecen sobre los intereses legítimos del responsable del tratamiento o de un tercero (ejercicio de ponderación).

En primer lugar, sólo pueden considerarse legítimos los intereses legítimos que estén claramente expresados ​​y sean reales y actuales. Por ejemplo, dichos intereses legítimos podrían existir en una situación en la que el interesado sea cliente o esté al servicio del responsable del tratamiento.

En segundo lugar, si existen alternativas razonables, igualmente eficaces, pero menos intrusivas, para lograr los intereses perseguidos, el tratamiento puede no considerarse necesario. La necesidad de un tratamiento también debe examinarse a la luz del principio de minimización de datos.

En tercer lugar, el responsable del tratamiento debe garantizar que su interés legítimo no prevalezca sobre los intereses de la persona y sus derechos y libertades fundamentales. En este ejercicio de ponderación, el responsable del tratamiento debe tener en cuenta los intereses de la persona, el impacto del tratamiento y sus expectativas razonables, así como la existencia de garantías adicionales que puedan limitar el impacto en la persona.

Además, estas Directrices explican cómo debe llevarse a cabo esta evaluación en la práctica, incluso en una serie de contextos específicos, como la prevención del fraude, el marketing directo y la seguridad de la información. El documento también explica la relación entre esta base jurídica y una serie de derechos de los interesados ​​en virtud del RGPD.

Las Directrices estarán sujetas a consulta pública hasta el 20 de noviembre de 2024.

A continuación, el Comité adoptó una Declaración a raíz de las modificaciones introducidas por el Parlamento Europeo y el Consejo a la propuesta de la Comisión Europea de Reglamento por el que se establecen normas de procedimiento adicionales relativas a la aplicación del RGPD.

La Declaración acoge con satisfacción en general las modificaciones introducidas por el Parlamento Europeo y el Consejo, y recomienda abordar más a fondo elementos específicos para que el nuevo reglamento logre los objetivos de agilizar la cooperación entre autoridades y mejorar la aplicación del RGPD.

La Declaración formula recomendaciones prácticas que pueden utilizarse en el contexto de los próximos diálogos tripartitos. En particular, el CEPD reitera la necesidad de una base jurídica y un procedimiento armonizado para las soluciones amistosas y formula recomendaciones con vistas a garantizar que se alcance un consenso sobre el resumen de las cuestiones clave de la manera más eficiente. El Comité acoge también con satisfacción la inclusión de plazos adicionales, aunque recuerda que deben ser realistas, e insta a los colegisladores a eliminar las disposiciones relacionadas con las objeciones pertinentes y motivadas y la «exposición de motivos» en el procedimiento de resolución de litigios.

Si bien la Declaración acoge favorablemente el objetivo de lograr una mayor transparencia, la introducción de un expediente conjunto, como propone el Parlamento Europeo, exigiría cambios complejos en los sistemas de gestión y comunicación de documentos utilizados a nivel europeo y nacional. Deberían evaluarse cuidadosamente las soluciones técnicas para su aplicación y deberían aclararse más las modalidades para conceder acceso a dicho expediente.

El CEPD acoge con satisfacción la enmienda del Consejo que permite a la autoridad de protección de datos principal optar por no participar en la denominada cooperación reforzada en casos simples y directos, pero destaca la necesidad de aclarar más el alcance de esta exclusión.

La presidenta del CEPD, Anu Talus, afirmó: “El proyecto de reglamento tiene el potencial de agilizar en gran medida la aplicación del RGPD al aumentar la eficiencia de la tramitación de los casos. Es necesaria una mayor armonización a nivel de la UE para maximizar la plena eficacia de los mecanismos de cooperación y coherencia del RGPD”.

Durante su última sesión plenaria, el Comité adoptó su programa de trabajo para 2024-2025 . Este es el primero de los dos programas de trabajo que implementarán la estrategia del CEPD para 2024-2027 adoptada en abril de 2024. Se basa en las prioridades establecidas en la estrategia del CEPD y también tiene en cuenta las necesidades identificadas como más importantes para las partes interesadas.

Por último, los miembros del CEPD acordaron otorgar el estatus de observador de las actividades del CEPD a la Agencia de Información y Privacidad de Kosovo (DPA de Kosovo), de conformidad con el artículo 8 del Reglamento interno del CEPD .

RESUMEN EJECUTIVO

Directrices sobre el tratamiento de datos personales basadas en el interés legítimo .

Estas directrices analizan los criterios establecidos en el artículo 6(1)(f) del RGPD que los responsables del tratamiento deben cumplir para realizar de forma lícita el tratamiento de datos personales que sea «necesario a los efectos de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero».

El artículo 6(1)(f) del RGPD es una de las seis bases jurídicas para el tratamiento lícito de datos personales previstas en el RGPD. El artículo 6(1)(f) del RGPD no debe considerarse un «último recurso» para situaciones excepcionales o inesperadas en las que se considere que otras bases jurídicas no son aplicables, ni debe elegirse automáticamente ni extenderse indebidamente su uso sobre la base de la percepción de que el artículo 6(1)(f) del RGPD es menos restrictivo que otras bases jurídicas.

Para que el tratamiento se base en el artículo 6(1)(f) del RGPD, deben cumplirse tres condiciones acumulativas:

• En primer lugar, la búsqueda de un interés legítimo por parte del responsable del tratamiento o de un tercero;
• En segundo lugar, la necesidad de procesar datos personales para los fines de los intereses legítimos perseguidos; y
• En tercer lugar, los intereses o las libertades y derechos fundamentales de los interesados ​​en cuestión no tienen prevalencia sobre los intereses legítimos del responsable del tratamiento o de un tercero.

Para determinar si un determinado tratamiento de datos personales puede basarse en el artículo 6(1)(f) del RGPD, los responsables del tratamiento deben evaluar y documentar cuidadosamente si se cumplen estas tres condiciones acumulativas. Esta evaluación debe realizarse antes de llevar a cabo las operaciones de tratamiento pertinentes.

Con respecto a la condición relacionada con la búsqueda de un interés legítimo, no todos los intereses del responsable del tratamiento o de un tercero pueden considerarse legítimos; solo aquellos intereses que sean lícitos, estén articulados con precisión y presentes pueden invocarse válidamente para basarse en el artículo 6(1)(f) del RGPD como base jurídica. También es responsabilidad del responsable del tratamiento informar al interesado de los intereses legítimos perseguidos cuando ese tratamiento se basa en el artículo 6(1)(f) del RGPD.

En lo que respecta a la condición de que el tratamiento de datos personales sea necesario para los fines de los intereses legítimos perseguidos, debe determinarse si los intereses legítimos perseguidos no pueden lograrse razonablemente con la misma eficacia por otros medios menos restrictivos de los derechos y libertades fundamentales de los interesados, teniendo también en cuenta los principios consagrados en el artículo 5(1) del RGPD. Si existen otros medios, el tratamiento no podrá basarse en el artículo 6(1)(f) del RGPD.

En lo que respecta a la condición de que los intereses o los derechos y libertades fundamentales de la persona interesada por el tratamiento de datos no prevalezcan sobre los intereses legítimos del responsable o de un tercero, esa condición implica una ponderación de los derechos e intereses opuestos en juego que depende en principio de las circunstancias específicas del tratamiento pertinente. El tratamiento solo puede tener lugar si el resultado de este ejercicio de ponderación es que los intereses legítimos perseguidos no se ven anulados por los intereses, derechos y libertades de los interesados.

Una evaluación adecuada en virtud del artículo 6(1)(f) del RGPD no es un ejercicio sencillo. Más bien, la evaluación – y en particular la ponderación de los intereses y derechos opuestos – requiere una consideración completa de una serie de factores, como la naturaleza y la fuente de los intereses legítimos pertinentes, el impacto del procesamiento en el interesado y sus expectativas razonables sobre el procesamiento, y la existencia de salvaguardas adicionales que podrían limitar el impacto indebido en el interesado. Las presentes directrices proporcionan orientación sobre cómo debe llevarse a cabo dicha evaluación en la práctica, incluso en una serie de contextos específicos (por ejemplo, prevención del fraude, marketing directo, seguridad de la información, etc.) en los que puede considerarse esta base legal.

Las directrices también explican la relación que existe entre el artículo 6(1)(f) del RGPD y una serie de derechos de los interesados ​​en virtud del RGPD.

El Comité Europeo de Protección de Datos

Visto el artículo 70, apartado 1, letra e), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, «RGPD»),

Visto el Acuerdo EEE y, en particular, su Anexo XI y su Protocolo 37, modificado por la Decisión del Comité Mixto del EEE n.º 154/2018, de 6 de julio de 2018¹,

Vistos los artículos 12 y 22 de su Reglamento,

HA ADOPTADO LAS SIGUIENTES DIRECTRICES:

1. I.INTRODUCCION
2. De conformidad con el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en adelante, la «Carta»), los datos personales deben tratarse de manera leal para fines específicos y sobre la base de una base legítima establecida por la ley. El artículo 6(1) del RGPD establece que el tratamiento será lícito solo si y en la medida en que se aplique al menos una de las seis bases jurídicas establecidas en el artículo 6(1)(a) a (f) del RGPD. En consecuencia, antes de que un responsable del tratamiento comience a tratar datos personales, debe identificar la base jurídica aplicable y garantizar que se cumplan los requisitos de al menos una de las bases jurídicas del artículo 6(1) del RGPD. En este sentido, conviene recordar que el RGPD no establece ninguna jerarquía entre las distintas bases jurídicas establecidas en el artículo 6(1).2
3. El artículo 6(1)(f) del RGPD establece una base jurídica para el tratamiento de datos personales en la medida en que «el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, salvo que prevalezcan sobre dichos intereses los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño».

3. De conformidad con el principio de responsabilidad y salvo que así lo disponga la ley, la determinación de la base jurídica para un tratamiento específico de datos personales es responsabilidad del responsable del tratamiento. Por tanto, el principal objetivo de estas directrices es ayudar a los responsables del tratamiento a evaluar si el artículo 6(1)(f) del RGPD puede invocarse como base jurídica válida para el tratamiento de datos personales.

4. Además, el Comité Europeo de Protección de Datos (en adelante, el «CEPD») recuerda que la base jurídica para un determinado tratamiento de datos personales debe considerarse en el contexto del RGPD en su conjunto, los objetivos establecidos en el artículo 1 del RGPD y junto con el deber de los responsables del tratamiento de tratar los datos personales de conformidad con los principios de1 protección de datos consagrados en el artículo 5 del RGPD, como el principio de «minimización de datos».3

A este respecto, también debe tenerse en cuenta que, «de conformidad con el artículo 5 del RGPD, recae sobre el responsable del tratamiento la carga de demostrar que los datos se recogen, entre otros, para fines específicos, explícitos y legítimos y que se tratan de manera lícita, leal y transparente en relación con el interesado».4

5.   El artículo 7(f) de la Directiva 95/46/CE incluía una base jurídica análoga a la del artículo 6(1)(f) del RGPD, ya que establece que el tratamiento de datos personales puede considerarse lícito si es necesario para los fines de los intereses legítimos perseguidos por el responsable del tratamiento o por el tercero o terceros a quienes se comunican los datos, excepto cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado. En ese sentido, esta base jurídica no es una novedad introducida por el RGPD. Por lo tanto, las presentes directrices se basan en y actualizan el Dictamen 06/2014 sobre la noción de intereses legítimos del responsable del tratamiento de datos en virtud del artículo 7 de la Directiva 95/46/CE del Grupo de Trabajo del Artículo 29 sobre Protección de Datos (en adelante, «GT29»).5 Sin embargo, es importante destacar que con la adopción del RGPD, el marco jurídico de protección de datos de la UE ha evolucionado. En particular, el RGPD ha reforzado la posición de los interesados, el ejercicio de sus derechos y las obligaciones de los responsables del tratamiento, incluso codificando las recomendaciones y posiciones expresadas por el GT29. Además, cabe señalar que el artículo 6(1)(f) del RGPD ha sido interpretado en varias sentencias del Tribunal de Justicia de la Unión Europea (en adelante, «TJUE») -que se han emitido después de la adopción del Dictamen del GT29 mencionado anteriormente- que deben tenerse en cuenta al evaluar esta base jurídica.
6.   Para que el tratamiento se base en la base jurídica del interés legítimo, deben cumplirse tres condiciones acumulativas:6

– En primer lugar, la búsqueda de un interés legítimo por parte del responsable del tratamiento o de un tercero;- En segundo lugar, la necesidad de tratar datos personales para los fines del interés legítimo perseguido(es decir, el tratamiento de datos personales debe ser «necesario» para esos fines); y- En tercer lugar, los intereses o los derechos y libertades fundamentales de los interesados ​​no prevalezcan sobre los intereses legítimos del responsable del tratamiento o de un tercero.

7. En relación con la tercera condición, el responsable del tratamiento debe sopesar sus intereses legítimos o los de un tercero y los «intereses o derechos y libertades fundamentales de los interesados». Este «ejercicio de ponderación» entre los derechos, libertades e intereses fundamentales en juego debe realizarse para cada tratamiento que se base en el interés legítimo como base jurídica7 y debe realizarse antes de llevar a cabo la operación o las operaciones de tratamiento pertinentes.
8. También debe destacarse que el segundo guión del artículo 6(1) del RGPD establece que la base jurídica del artículo 6(1)(f) no se aplicará al tratamiento realizado por autoridades públicas en el ejercicio de sus funciones.
9. El artículo 6(1)(f) del RGPD no puede considerarse una base jurídica “por defecto”. Por el contrario, antes de basarse en dicha base jurídica, el responsable del tratamiento debe realizar una evaluación cuidadosa del tratamiento previsto y seguir una metodología específica. El carácter abierto del artículo 6(1)(f) del RGPD8 no significa necesariamente que esta base jurídica deba considerarse como una que solo pueda utilizarse como “último recurso” en situaciones excepcionales e imprevistas, o que el artículo 6(1)(f) deba considerarse como una última opción si no se aplican otras bases jurídicas. Tampoco debe considerarse el artículo 6(1)(f) como una opción preferida por los responsables del tratamiento y su uso no debe ampliarse indebidamente para eludir requisitos legales específicos o porque se considere menos restrictivo que las demás bases jurídicas del artículo 6(1) del RGPD. En otras palabras, el artículo 6(1)(f) no debe considerarse una “puerta abierta” para legitimar todas las actividades de tratamiento de datos que no se enmarcan en ninguna de las otras bases jurídicas del artículo 6(1) del RGPD. Más bien, conviene recordar que el artículo 6(1)(f), al igual que cada una de las bases jurídicas establecidas en el artículo 6(1) del RGPD, debe interpretarse de forma restrictiva.9
10. Cabe destacar que, cuando los datos personales se procesan para diferentes fines, el tratamiento para cada uno de esos fines debe estar comprendido en uno de los casos previstos en el artículo 6(1) del RGPD.10 El fin y la base jurídica de dicho tratamiento deben identificarse desde el inicio del tratamiento y deben comunicarse al interesado (véanse los artículos 13(1)(c) y 14(1)(c) del RGPD). Por lo tanto, el tratamiento basado en el artículo 6(1)(f) del RGPD no debe abarcar varios fines sin evaluar la validez de la base jurídica para cada uno de ellos.
11. Estas directrices se entienden sin perjuicio de la Directiva 2002/58/CE («Directiva sobre privacidad electrónica»), que regula el papel del consentimiento como base jurídica en el ámbito de las comunicaciones electrónicas.11

_________________________________

1 Las referencias a «Estados miembros» que se hacen a lo largo de este documento deben entenderse como referencias a «Estados miembros del EEE».

2 Véase, por ejemplo, las conclusiones del abogado general Szpunar en el asunto C-394/23, Mousse (ECLI:EU:C:2024:610), apartados 28 y 29.

3 TJUE, sentencia de 4 de julio de 2023, asunto C-252/21, Meta contra Bundeskartellamt (ECLI:EU:C:2023:537), apartado 109

4 Ibíd., apartado 95. Véase también CEPD, Directrices 2/2019 sobre el tratamiento de datos personales con arreglo al artículo 6(1)(b) del RGPD en el contexto de la prestación de servicios en línea a interesados ​​(versión 2.0, 8 de octubre de 2019), apartados 11 y 12.

⁵ WP29, Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de datos en virtud del artículo 7 de la Directiva 95/46/CE (WP 217, adoptado el 9 de abril de 2014)).

⁶ CJEU, Sentencia de 4 de julio de 2023, asunto C-252/21, Meta v. Bundeskartellamt (ECLI:EU:C:2023:537), para. 106; CJEU,

Sentencia de 11 de diciembre de 2019, Case C-708/18, Asociaiia de Proprietari bloc M5A-ScaraA (ECLI:EU:C:2019:1064),

para. 40.

⁷ CJEU, Sentencia de 4 de mayo de 2017, Case C-13/16, RTgas satiksme (ECLI:EU:C:2017:336), para. 28.

⁸ Véanse las conclusiones del Abogado General Bobek. in Case C-40/17, Fashion ID (EU:C:2018:1039), para. 122

⁹  CJEU, Sentencia de 4 de julio de 2023, asunto C-252/21, Meta contra Bundeskartellamt (ECLI:EU:C:2023:537), apartados 92 y 93 (en la que se indica: «A falta de tal consecuencia, o cuando dicho consentimiento no se haya dado libremente, de forma específica, informada e inequívoca, en el sentido del artículo 4, apartado 11, del RGPD, dicho tratamiento estará justificado, no obstante, si cumple uno de los requisitos de necesidad mencionados en el artículo 6, apartado 1, párrafo primero, letras b) a f), de dicho Reglamento. En este contexto, las justificaciones previstas en esta última disposición, en la medida en que permitan licitar el tratamiento de datos personales realizado sin el consentimiento del interesado, deben interpretarse de manera restrictiva (véase, en este sentido, la sentencia de 24 de febrero de 2022, Valsts ienemumu dienests (Tratamiento de datos personales con fines fiscales), C-175/20, EU:C:2022:124, apartado 73 y jurisprudencia citada)»).

¹⁰   Ibid., para. 90.

¹¹ Véase EDPB, Directrices 01/2020 sobre el tratamiento de datos personales en el contexto de vehículos conectados y aplicaciones relacionadas con la movilidad, apartados 14-15; EDPB, Directrices 8/2020 sobre la segmentación de usuarios de redes sociales, apartados 71-72; EDPB, Dictamen 5/2019 sobre la interacción entre la Directiva sobre privacidad y comunicaciones electrónicas y el RGPD, en particular en lo relativo a la competencia, las tareas y los poderes de las autoridades de protección de datos.

___________________________________________________