Volver a Publicaciones
PUBLICACIÓN
Sobre las acciones colectivas en materia de protección de datos
24 de mayo, 2022
El artículo 80 del Reglamento General de Protección de Datos (RGPD) permite que los Estados miembros habiliten a las asociaciones de defensa de los intereses de los consumidores para ejercitar acciones contra las vulneraciones de los derechos establecidos en el mismo y no exige que necesariamente tales asociaciones se constituyan a los efectos de actuar en materia de protección de datos.
El RGPD regula, junto a la competencia de las autoridades de control en el ámbito regulatorio, la posibilidad de la aplicación privada del derecho a la protección de datos personales mediante el ejercicio de acciones civiles (véanse, al efecto sus artículos 79 y 82). Esta protección se refuerza con la posibilidad de ejercer acciones colectivas recogida en el artículo 80 que establece los requisitos que deben reunir las entidades que representen los intereses de los titulares de los datos.
En el caso se cuestionaba la posibilidad de que una asociación, que no había sido creada en aplicación del RGPD con el objetivo de defender a los interesados en aplicación de sus normas, sino con la finalidad más general de defender los intereses de los consumidores, estuviera legitimada para ejercer la representación en materia de protección de datos. La respuesta del Tribunal de Justicia de la Unión Europea (TJUE) es afirmativa.
El TJUE responde a la petición de decisión prejudicial planteada por el Tribunal Supremo de lo Civil y Penal de Alemania, presentada en el contexto de un litigio entre Meta Platforms Ireland Limited, con domicilio social en Irlanda (Meta), y la Federación Alemana de Organizaciones y Asociaciones de Consumidores de (la Federación). Meta gestiona la oferta de servicios de Facebook en la Unión Europea (UE) y es la responsable del tratamiento de los datos personales de los usuarios de esta red social en la UE. La Federación, entidad legitimada para ejercitar acciones en virtud del artículo 4 de la Ley relativa a las Acciones de Cesación alemana, considera que las advertencias que se muestran en los juegos del Centro de Aplicaciones de Meta, relativas a la protección de datos de los usuarios, son desleales porque incumplen los requisitos legales para la obtención de un consentimiento válido del usuario con arreglo a la normativa en materia de protección de datos. Además, afirma que la advertencia según la cual se autoriza a la aplicación a publicar en nombre del usuario determinados datos personales constituye una condición general de la contratación que perjudica indebidamente al usuario. En este contexto, la Federación ejercitó ante el Tribunal Regional de lo Civil y Penal de Berlín una acción de cesación contra Meta al amparo de la ley alemana de competencia desleal y de la Ley relativa a las Acciones de Cesación y del Código Civil alemanes sin que mediara mandato de ningún interesado concreto. Llegado el asunto a casación, el órgano remitente se cuestiona la legitimación de la Federación.
El TJUE constata que el artículo 80.1 RGPD permite al interesado dar mandato a una entidad, organización o asociación sin ánimo de lucro, que reúna determinados requisitos, para que presente en su nombre la reclamación, y ejerza en su nombre los derechos contemplados en el RGPD. El apartado 2 del mismo artículo 80 permite que los Estados miembros dispongan que cualquier entidad, organización o asociación, con independencia del mandato del interesado, tenga derecho a presentar en ese Estado miembro una reclamación ante la autoridad de control que sea competente en virtud del artículo 77 RGPD y a ejercer los derechos contemplados en sus artículos 78 y 79 si considera que los derechos del interesado han sido vulnerados como consecuencia de un tratamiento de los datos personales que le conciernen.
Ese precepto deja, en consecuencia, un margen de apreciación a los Estados miembros de manera que para que pueda ejercitarse el derecho de representación sin mandato en materia de protección de datos personales, los Estados miembros deben establecer en su Derecho nacional esta forma de representación de los interesados. El legislador alemán no adoptó, tras la entrada en vigor del RGPD, ninguna disposición particular específicamente destinada a aplicar, en su Derecho nacional, el artículo 80.2 RGPD porque la normativa nacional que había adoptado previamente para la transposición de la Directiva 2009/22, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores, ya permite a las asociaciones de defensa de los intereses de los consumidores ejercitar acciones judiciales contra el presunto infractor de la normativa en materia de protección de datos personales.
El TJUE constata que cuando el artículo 80 RGPD regula estas acciones colectivas establece una serie de requisitos relativos al ámbito de aplicación personal y material que la Federación cumple en este caso concreto. En el ámbito personal, debe tratarse de una entidad sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales. La Federación persigue un objetivo de interés público consistente en garantizar los derechos y libertades de los interesados en su condición de consumidores, cuestión que puede estar vinculada a la protección de los datos personales de éstos. La infracción de las disposiciones que tienen por objeto proteger a los consumidores o luchar contra las prácticas comerciales desleales puede estar, como en el caso, vinculada a la infracción de las normas en materia de protección de los datos personales de aquellos.
Además, desde el punto de vista material, el ejercicio de la acción de representación no está supeditado a la existencia de una vulneración concreta de los derechos que las normas en materia de protección de datos confieren a una persona. A efectos del artículo 80.2 RGPD, el ejercicio de una acción de representación únicamente presupone que la entidad de que se trate «considera» que los derechos de un interesado previstos en dicho Reglamento han sido vulnerados por el tratamiento de sus datos personales y, por tanto, alega la existencia de un tratamiento de datos contrario a las disposiciones del RGPD. De ello se deduce que, para reconocer la legitimación activa de tal entidad basta con alegar que el tratamiento de datos de que se trate puede afectar a los derechos que dicho Reglamento confiere a personas físicas identificadas o identificables, sin que sea necesario probar un perjuicio real sufrido por el interesado, en una situación determinada, por la vulneración de sus derechos.
Por último, la infracción de una norma en materia de protección de datos personales puede implicar simultáneamente la infracción de normas en materia de protección de los consumidores o de prácticas comerciales desleales. Por ello, el artículo 80.2 RGPD no se opone a que los Estados miembros ejerzan la facultad de habilitar a las asociaciones de defensa de los intereses de los consumidores para ejercitar acciones contra las vulneraciones de los derechos establecidos por el RGPD mediante, en su caso, normas que tengan por objeto proteger a los consumidores o luchar contra las prácticas comerciales desleales, como las previstas por las Directivas 2005/29 y 2009/22.
(STJUE de 28 de abril de 2022, as. C‑319/20).
El RGPD regula, junto a la competencia de las autoridades de control en el ámbito regulatorio, la posibilidad de la aplicación privada del derecho a la protección de datos personales mediante el ejercicio de acciones civiles (véanse, al efecto sus artículos 79 y 82). Esta protección se refuerza con la posibilidad de ejercer acciones colectivas recogida en el artículo 80 que establece los requisitos que deben reunir las entidades que representen los intereses de los titulares de los datos.
En el caso se cuestionaba la posibilidad de que una asociación, que no había sido creada en aplicación del RGPD con el objetivo de defender a los interesados en aplicación de sus normas, sino con la finalidad más general de defender los intereses de los consumidores, estuviera legitimada para ejercer la representación en materia de protección de datos. La respuesta del Tribunal de Justicia de la Unión Europea (TJUE) es afirmativa.
El TJUE responde a la petición de decisión prejudicial planteada por el Tribunal Supremo de lo Civil y Penal de Alemania, presentada en el contexto de un litigio entre Meta Platforms Ireland Limited, con domicilio social en Irlanda (Meta), y la Federación Alemana de Organizaciones y Asociaciones de Consumidores de (la Federación). Meta gestiona la oferta de servicios de Facebook en la Unión Europea (UE) y es la responsable del tratamiento de los datos personales de los usuarios de esta red social en la UE. La Federación, entidad legitimada para ejercitar acciones en virtud del artículo 4 de la Ley relativa a las Acciones de Cesación alemana, considera que las advertencias que se muestran en los juegos del Centro de Aplicaciones de Meta, relativas a la protección de datos de los usuarios, son desleales porque incumplen los requisitos legales para la obtención de un consentimiento válido del usuario con arreglo a la normativa en materia de protección de datos. Además, afirma que la advertencia según la cual se autoriza a la aplicación a publicar en nombre del usuario determinados datos personales constituye una condición general de la contratación que perjudica indebidamente al usuario. En este contexto, la Federación ejercitó ante el Tribunal Regional de lo Civil y Penal de Berlín una acción de cesación contra Meta al amparo de la ley alemana de competencia desleal y de la Ley relativa a las Acciones de Cesación y del Código Civil alemanes sin que mediara mandato de ningún interesado concreto. Llegado el asunto a casación, el órgano remitente se cuestiona la legitimación de la Federación.
El TJUE constata que el artículo 80.1 RGPD permite al interesado dar mandato a una entidad, organización o asociación sin ánimo de lucro, que reúna determinados requisitos, para que presente en su nombre la reclamación, y ejerza en su nombre los derechos contemplados en el RGPD. El apartado 2 del mismo artículo 80 permite que los Estados miembros dispongan que cualquier entidad, organización o asociación, con independencia del mandato del interesado, tenga derecho a presentar en ese Estado miembro una reclamación ante la autoridad de control que sea competente en virtud del artículo 77 RGPD y a ejercer los derechos contemplados en sus artículos 78 y 79 si considera que los derechos del interesado han sido vulnerados como consecuencia de un tratamiento de los datos personales que le conciernen.
Ese precepto deja, en consecuencia, un margen de apreciación a los Estados miembros de manera que para que pueda ejercitarse el derecho de representación sin mandato en materia de protección de datos personales, los Estados miembros deben establecer en su Derecho nacional esta forma de representación de los interesados. El legislador alemán no adoptó, tras la entrada en vigor del RGPD, ninguna disposición particular específicamente destinada a aplicar, en su Derecho nacional, el artículo 80.2 RGPD porque la normativa nacional que había adoptado previamente para la transposición de la Directiva 2009/22, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores, ya permite a las asociaciones de defensa de los intereses de los consumidores ejercitar acciones judiciales contra el presunto infractor de la normativa en materia de protección de datos personales.
El TJUE constata que cuando el artículo 80 RGPD regula estas acciones colectivas establece una serie de requisitos relativos al ámbito de aplicación personal y material que la Federación cumple en este caso concreto. En el ámbito personal, debe tratarse de una entidad sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales. La Federación persigue un objetivo de interés público consistente en garantizar los derechos y libertades de los interesados en su condición de consumidores, cuestión que puede estar vinculada a la protección de los datos personales de éstos. La infracción de las disposiciones que tienen por objeto proteger a los consumidores o luchar contra las prácticas comerciales desleales puede estar, como en el caso, vinculada a la infracción de las normas en materia de protección de los datos personales de aquellos.
Además, desde el punto de vista material, el ejercicio de la acción de representación no está supeditado a la existencia de una vulneración concreta de los derechos que las normas en materia de protección de datos confieren a una persona. A efectos del artículo 80.2 RGPD, el ejercicio de una acción de representación únicamente presupone que la entidad de que se trate «considera» que los derechos de un interesado previstos en dicho Reglamento han sido vulnerados por el tratamiento de sus datos personales y, por tanto, alega la existencia de un tratamiento de datos contrario a las disposiciones del RGPD. De ello se deduce que, para reconocer la legitimación activa de tal entidad basta con alegar que el tratamiento de datos de que se trate puede afectar a los derechos que dicho Reglamento confiere a personas físicas identificadas o identificables, sin que sea necesario probar un perjuicio real sufrido por el interesado, en una situación determinada, por la vulneración de sus derechos.
Por último, la infracción de una norma en materia de protección de datos personales puede implicar simultáneamente la infracción de normas en materia de protección de los consumidores o de prácticas comerciales desleales. Por ello, el artículo 80.2 RGPD no se opone a que los Estados miembros ejerzan la facultad de habilitar a las asociaciones de defensa de los intereses de los consumidores para ejercitar acciones contra las vulneraciones de los derechos establecidos por el RGPD mediante, en su caso, normas que tengan por objeto proteger a los consumidores o luchar contra las prácticas comerciales desleales, como las previstas por las Directivas 2005/29 y 2009/22.
(STJUE de 28 de abril de 2022, as. C‑319/20).
