Carlos B Fernández. El Tribunal de Justicia de la Unión Europea (TJUE), ha interpretado por primera vez el contenido del artículo artículo 80.2 del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016), declarando que una asociación de defensa de los consumidores está legitimada para ejercer la acción de representación prevista en el artículo 80.2 del Reglamento, dirigida al cese de un tratamiento contrario a las disposiciones del mismo, sin necesidad de un mandato específico para ello. Para el ejercicio de dicha acción basta la simple alegación de que el tratamiento de datos de que se trate puede afectar a los derechos que dicho Reglamento confiere a unas personas físicas identificadas o identificables y sin que sea necesario acreditar el perjuicio real sufrido por el interesado.
Por otra parte, dicho artículo no se opone a que la acción ejercida por una asociación de defensa de los intereses de los consumidores se base en el incumplimiento de la prohibición de prácticas comerciales desleales, de una ley en materia de protección de los consumidores o de la prohibición del uso de condiciones generales nulas, pues tal acción es posible toda vez que el tratamiento de datos de que se trate pueda afectar a los derechos que el RGPD confiere a personas físicas identificadas o identificables.
Así lo ha declarado el TJUE, en su sentencia de fecha 28 de abril de 2022, dictada en el asunto C 701/20 (Facebook Ireland (ahora Meta) vs Federación alemana de Organizaciones y Asociaciones de Consumidores).
Se trata de una sentencia esperada con gran interés por la comunidad de profesionales de la privacidad, pues es la primera ocasión en que el Tribunal de Justicia se ha pronunciado sobre el alcance de la posibilidad de que asociaciones de consumidores puedan ejercer acciones colectivas en defensa de los derechos e intereses de sus asociados en materia de protección de datos, que era una de las más relevantes novedades introducidas por el RGPD.
En lo esencial, esta sentencia confirma la posición del Abogado General Jean Richard de la Tourera, reflejada en sus conclusiones de 2 de diciembre de 2021 en el asunto entonces identificado como C-319/20.
Los hechos
Meta Platforms Ireland (antes Facebook Ireland), gestiona la oferta de servicios de la red social en línea Facebook y es la responsable del tratamiento de los datos personales de los usuarios de esta red en la Unión. Facebook contiene un espacio denominado «App-Zentrum» (Centro de Aplicaciones) en el se pone a disposición de sus usuarios, en particular, juegos gratuitos suministrados por terceros. Al consultar algunos de estos juegos, el usuario es advertido de que el uso de la aplicación en cuestión permite a la sociedad que facilita los juegos obtener determinados datos personales y la autoriza a realizar publicaciones en su nombre. El uso de esta aplicación, conlleva la aceptación de sus condiciones generales y su política en materia de protección de datos. Asimismo, en el caso del juego «Scrabble», se informa al usuario de que se autoriza a la aplicación a publicar actualizaciones de estado, fotografías y otros datos en su nombre.
La Federación alemana de Organizaciones y Asociaciones de Consumidores estimó que las advertencias mostradas en los juegos del Centro de Aplicaciones a que se ha hecho referencia eran desleales. Por lo tanto, como entidad legitimada para solicitar el cese de las infracciones de la legislación en materia de protección de los consumidores, en virtud de su legislación nacional, que incluye también las normas que definen la licitud de la recogida, del tratamiento o del uso de datos personales de un consumidor por una empresa o un empresario, la Federación ejercitó una acción de cesación contra Meta Platforms Ireland. Esta acción se ejercitó desvinculada de una vulneración concreta del derecho a la protección de los datos personales de un interesado y sin un mandato de este.
La resolución que estimó dicha acción fue recurrida en apelación por Meta Platforms Ireland, que, tras ver desestimado dicho recurso, recurrió en casación ante el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania), el cual, al albergar dudas sobre la admisibilidad de la acción de la Federación y, en particular, en lo que respecta a su legitimación para ejercitar acciones contra Meta Platforms Ireland, acudió ante el Tribunal de Justicia.
Sobre la finalidad del artículo 80 del RGPD (LA LEY 6637/2016)
En su sentencia (apartados 57 a 60, 63 a 79 y 83), el Tribunal de Justicia señala en primer lugar que, si bien el RGPD aspira a garantizar una armonización de las legislaciones nacionales en materia de protección de datos personales, el artículo 80, apartado 2, de dicho Reglamento forma parte de aquellas disposiciones que dejan un margen de apreciación a los Estados miembros, en lo que respecta a su aplicación.
Así, para que pueda ejercitarse la acción de representación sin mandato prevista en el artículo 80, apartado 2, de dicho Reglamento, los Estados miembros deben hacer uso de la facultad que les otorga esta disposición de prever en su Derecho nacional esta forma de representación de los interesados.
Pero, advierte, al ejercer esta facultad, los Estados miembros deben respetar las condiciones y los límites establecidos por el Reglamento y legislar de tal modo que el contenido y los objetivos de dicho Reglamento no resulten menoscabados.
Sobre los requisitos de ejercicio de la acción de representación del art. 80.2 del RGPD (LA LEY 6637/2016)
A continuación, el Tribunal de Justicia precisa los requisitos que deben cumplirse por los Estados miembros al regular el mecanismo de la acción de representación contra el presunto infractor de una normativa en materia de protección de datos personales del artículo 80, apartado 2.
a) Legitimación activa
En primer término, el apartado 1 de dicho artículo 80 reconoce la legitimación activa de las entidades, organizaciones o asociaciones «sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales».
A este respecto, el Tribunal considera que puede quedar incluida en este concepto una asociación de defensa de los intereses de los consumidores como la Federación actora, que persigue un objetivo de interés público consistente en la protección de los derechos y las libertades de los interesados en su condición de consumidores, en tanto en cuanto la consecución de tal objetivo puede estar vinculada a la protección de los datos personales de estos.
b) Necesidad de mandato expreso para el ejercicio de la acción
En segundo término, añade que el ejercicio de dicha acción de representación presupone que la entidad en cuestión, con independencia de un mandato conferido a tal fin, considera que los derechos que el RGPD confiere a un interesado han sido vulnerados como consecuencia del tratamiento de sus datos personales.
En consecuencia, el Tribunal declara, por un lado, que el ejercicio de una acción de representación del art. 80.2 no exige la identificación individual previa por la entidad en cuestión de la persona concretamente afectada por un tratamiento de datos supuestamente contrario a las disposiciones del Reglamento General de Protección de Datos (LA LEY 6637/2016).
A tal efecto, la designación de una categoría o grupo de interesados por dicho tratamiento también puede ser suficiente, en particular, se subraya, habida cuenta del alcance del concepto de «interesado» previsto en el artículo 4, apartado 1, del RGPD, que comprende tanto a una «persona física identificada» como a una «persona física identificable».
c) Vulneración de los derechos de una persona concreta
Además, el Tribunal considera también que, el ejercicio de dicha acción de representación no exige una vulneración concreta de los derechos que el RGPD confiere a una persona, pues para reconocer la legitimación activa de una entidad basta con alegar que el tratamiento de datos de que se trate puede afectar a los derechos que dicho Reglamento confiere a las personas físicas identificadas o identificables, sin que sea necesario acreditar el perjuicio real sufrido por el interesado, en una situación determinada, por la lesión de sus derechos.
Así pues, a la luz del objetivo perseguido por el Reglamento General de Protección de Datos (LA LEY 6637/2016), el hecho de facultar a asociaciones de defensa de los intereses de los consumidores, como la Federación, para ejercitar, mediante el mecanismo de la acción de representación, acciones dirigidas al cese de tratamientos contrarios a las disposiciones de dicho Reglamento, con independencia de la vulneración de los derechos de una persona afectada de forma individual y concreta por dicha vulneración, indiscutiblemente contribuye a reforzar los derechos de los interesados y a asegurarles un nivel elevado de protección.
Infracción de la normativa de protección de datos y prácticas comerciales desleales
Por último, el Tribunal de Justicia precisa que la infracción de una norma en materia de protección de datos personales puede constituir simultáneamente una infracción de las normas relativas a la protección de los consumidores o a las prácticas comerciales desleales.
En efecto, declara el Tribunal, el RGPD permite a los Estados miembros facultar a las asociaciones de defensa de los intereses de los consumidores para ejercitar acciones contra las vulneraciones de los derechos contemplados en dicho Reglamento mediante normas que tengan por objeto proteger a los consumidores o luchar contra prácticas comerciales desleales.