Cargando. Por favor, espere

S TJUE 28/4/2022

Tribunal de Justicia de la Unión Europea, Sala Tercera, Sentencia de 28 Abr. 2022, C-319/2020

Ponente: Rossi, Lucia Serena.

Nº de Recurso: C-319/2020

Diario La Ley, Nº 10070, Sección La Sentencia del día, 17 de Mayo de 2022, Wolters Kluwer

LA LEY 52471/2022

ECLI: EU:C:2022:322

Las asociaciones de consumidores pueden entablar acciones contra las infracciones en materia de protección de datos personales

Cabecera

PROTECCIÓN DE DATOS PERSONALES. Litigio contra Meta Platforms (anteriormente Facebook) por infracción de la normativa sobre protección de datos personales. CUESTIONES PREJUDICIALES. El art. 80.2 del Reglamento 2016/679/UE, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, debe interpretarse en el sentido de que no se opone a una normativa nacional que permite a una asociación de consumidores ejercitar acciones judiciales contra el presunto infractor de la normativa en materia de protección de datos personales, invocando el incumplimiento de la prohibición de prácticas comerciales desleales, de una ley de protección de los consumidores o de la prohibición del uso de cláusulas nulas.

Resumen de antecedentes y Sentido del fallo

El TJUE resuelve la cuestión prejudicial planteada respecto a la interpretación del art. 80.2 del Reglamento 2016/679/UE, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Texto

En el asunto C-319/20,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE (LA LEY 6/1957), por el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania), mediante resolución de 28 de mayo de 2020, recibida en el Tribunal de Justicia el 15 de julio de 2020, en el procedimiento entre

Meta Platforms Ireland Limited, anteriormente Facebook Ireland Limited,

y

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.,

EL TRIBUNAL DE JUSTICIA (Sala Tercera),

integrado por la Sra. A. Prechal, Presidenta de la Sala Segunda, en funciones de Presidenta de la Sala Tercera, y los Sres. J. Passer y F. Biltgen, la Sra. L. S. Rossi (Ponente) y el Sr. N. Wahl, Jueces;

Abogado General: Sr. J. Richard de la Tour;

Secretaria: Sra. M. Krausenböck, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 23 de septiembre de 2021;

consideradas las observaciones presentadas:

- en nombre de Meta Platforms Ireland Limited, por los Sres. H.-G. Kamann, M. Braun y H. Frey, Rechtsanwälte, y por la Sra. V. Wettner, Rechtsanwältin;

- en nombre del Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e. V., por el Sr. P. Wassermann, Rechtsanwalt;

- En nombre del Gobierno alemán, por los Sres. D. Klebs y J. Möller, en calidad de agentes;

- en nombre del Gobierno austriaco, por los Sres. A. Posch y G. Kunnert y la Sra. J. Schmoll, en calidad de agentes;

- en nombre del Gobierno portugués, por el Sr. L. Inez Fernandes y las Sras. C. Vieira Guerra, P. Barros da Costa y L. Medeiros, en calidad de agentes;

- en nombre de la Comisión Europea, inicialmente por los Sres. F. Erlbacher, H. Kranenborg y D. Nardi y, posteriormente, por los Sres. F. Erlbacher y H. Kranenborg, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 2 de diciembre de 2021;

dicta la siguiente

Sentencia

1.

La petición de decisión prejudicial tiene por objeto la interpretación del artículo 80, apartados 1 y 2, y del artículo 84, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento general de protección de datos (LA LEY 6637/2016)) (DO 2016, L 119, p. 1; en lo sucesivo, «Reglamento General de Protección de Datos»).

2. Esta petición se ha presentado en el contexto de un litigio entre Meta Platforms Ireland Limited, anteriormente Facebook Ireland Limited, con domicilio social en Irlanda, y el Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e. V. (Federación alemana de Organizaciones y Asociaciones de Consumidores, Alemania; en lo sucesivo, «Federación») en relación con una infracción por parte de Meta Platforms Ireland de la normativa alemana sobre protección de datos personales que constituye, a la vez, una práctica comercial desleal, una infracción de la legislación en materia de protección de los consumidores y un incumplimiento de la prohibición del uso de condiciones generales nulas.

Marco jurídico

Derecho de la Unión

Reglamento General de Protección de Datos (LA LEY 6637/2016)

3. Los considerandos 9, 10, 13 y 142 del Reglamento General de Protección de Datos (LA LEY 6637/2016) enuncian:

«(9) Aunque los objetivos y principios de la Directiva [95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (LA LEY 5793/1995), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31)] siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la Unión se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las actividades en línea. Las diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular del derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden impedir la libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión, falsear la competencia e impedir que las autoridades cumplan las funciones que les incumben en virtud del Derecho de la Unión. Esta diferencia en los niveles de protección se debe a la existencia de divergencias en la ejecución y aplicación de la Directiva [95/46 (LA LEY 5793/1995)].

(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]

[…]

(13) Para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos, incluidas las microempresas y las pequeñas y medianas empresas, y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros. […]

[…]

(142) El interesado que considere vulnerados los derechos reconocidos por el presente Reglamento debe tener derecho a conferir mandato a una entidad, organización o asociación sin ánimo de lucro que esté constituida con arreglo al Derecho de un Estado miembro, tenga objetivos estatutarios que sean de interés público y actúe en el ámbito de la protección de los datos personales, para que presente en su nombre una reclamación ante la autoridad de control, ejerza el derecho a la tutela judicial en nombre de los interesados o, si así lo establece el Derecho del Estado miembro, ejerza el derecho a recibir una indemnización en nombre de estos. Un Estado miembro puede reconocer a tal entidad, organización o asociación el derecho a presentar en él una reclamación con independencia del mandato de un interesado y el derecho a la tutela judicial efectiva, cuando existan motivos para creer que se han vulnerado los derechos de un interesado como consecuencia de un tratamiento de datos personales que sea contrario al presente Reglamento. Esa entidad, organización o asociación no puede estar autorizada a reclamar una indemnización en nombre de un interesado al margen del mandato de este último.»

4. El artículo 1 de este Reglamento, titulado «Objeto», dispone en su apartado 1:

«El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.»

5. A tenor del artículo 4, punto 1, del Reglamento General de Protección de Datos (LA LEY 6637/2016):

«A efectos del presente Reglamento se entenderá por:

1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

6. El capítulo III del Reglamento General de Protección de Datos (LA LEY 6637/2016), que comprende los artículos 12 a 23, lleva por título «Derechos del interesado».

7. El artículo 12 de este Reglamento, titulado «Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado», establece en su apartado 1:

«El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.»

8. El artículo 13 del Reglamento General de Protección de Datos (LA LEY 6637/2016), titulado «Información que deberá facilitarse cuando los datos personales se obtengan del interesado», establece en su apartado 1, letras c) y e):

«Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

[…]

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

[…]

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso; […]».

9. El capítulo VIII de dicho Reglamento, que comprende los artículos 77 a 84, lleva por título «Recursos, responsabilidad y sanciones».

10. El artículo 77 del Reglamento General de Protección de Datos (LA LEY 6637/2016), titulado «Derecho a presentar una reclamación ante una autoridad de control», dispone en su apartado 1:

«Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.»

11. El artículo 78 del Reglamento General de Protección de Datos (LA LEY 6637/2016), titulado «Derecho a la tutela judicial efectiva contra una autoridad de control», establece en su apartado 1:

«Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.»

12. El artículo 79 del Reglamento General de Protección de Datos (LA LEY 6637/2016), titulado «Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento», establece en su apartado 1:

«Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.»

13. El artículo 80 del Reglamento General de Protección de Datos (LA LEY 6637/2016), titulado «Representación de los interesados», tiene el siguiente tenor:

«1. El interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación, y ejerza en su nombre los derechos contemplados en los artículos 77, 78 y 79, y el derecho a ser indemnizado mencionado en el artículo 82 si así lo establece el Derecho del Estado miembro.

2. Cualquier Estado miembro podrá disponer que cualquier entidad, organización o asociación mencionada en el apartado 1 del presente artículo tenga, con independencia del mandato del interesado, derecho a presentar en ese Estado miembro una reclamación ante la autoridad de control que sea competente en virtud del artículo 77 y a ejercer los derechos contemplados en los artículos 78 y 79, si considera que los derechos del interesado con arreglo al presente Reglamento han sido vulnerados como consecuencia de un tratamiento.»

14. El artículo 82 de este Reglamento, titulado «Derecho a indemnización y responsabilidad», dispone en su apartado 1:

«Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.»

15. El artículo 84 del Reglamento General de Protección de Datos (LA LEY 6637/2016), titulado «Sanciones», establece en su apartado 1:

«Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.»

Directiva 2005/29/CE (LA LEY 6058/2005)

16. El objetivo de la Directiva 2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005 (LA LEY 6058/2005), relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior, que modifica la Directiva 84/450/CEE (LA LEY 2032/1984) del Consejo, las Directivas 97/7/CE (LA LEY 5365/1997), 98/27/CE (LA LEY 5631/1998) y 2002/65/CE (LA LEY 11326/2002) del Parlamento Europeo y del Consejo y el Reglamento (CE) n.º 2006/2004 (LA LEY 9510/2004) del Parlamento Europeo y del Consejo («Directiva sobre las prácticas comerciales desleales») (DO 2005, L 149, p. 22) es, según su artículo 1, contribuir al buen funcionamiento del mercado interior y alcanzar un elevado nivel de protección de los consumidores mediante la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros sobre las prácticas comerciales desleales que perjudican a los intereses económicos de los consumidores.

17. A tenor del artículo 5 de la Directiva 2005/29 (LA LEY 6058/2005), titulado «Prohibición de las prácticas comerciales desleales»:

«1. Se prohibirán las prácticas comerciales desleales.

2. Una práctica comercial será desleal si:

a) es contraria a los requisitos de la diligencia profesional,

y

b) distorsiona o puede distorsionar de manera sustancial, con respecto al producto de que se trate, el comportamiento económico del consumidor medio al que afecta o al que se dirige la práctica, o del miembro medio del grupo, si se trata de una práctica comercial dirigida a un grupo concreto de consumidores.

[…]

5. En el anexo I figura una lista de las prácticas comerciales que se considerarán desleales en cualquier circunstancia. […]»

18. El artículo 11, apartado 1, de esta Directiva, titulado «Ejecución», establece:

«1. Los Estados miembros velarán por que existan medios adecuados y eficaces para luchar contra las prácticas comerciales desleales, con miras al cumplimiento de las disposiciones de la presente Directiva en interés de los consumidores.

Estos medios deberán incluir disposiciones legales en virtud de las cuales las personas o las organizaciones que tengan, con arreglo a la legislación nacional, un interés legítimo en combatir las prácticas comerciales desleales, incluidos los competidores, puedan:

a) proceder judicialmente contra tales prácticas comerciales desleales,

y/o

b) someter las prácticas comerciales desleales a un órgano administrativo competente, bien para que se pronuncie sobre las reclamaciones, bien para que entable las acciones judiciales pertinentes.

Corresponderá a cada Estado miembro decidir cuál de esos procedimientos se adoptará y si conviene que el tribunal o el órgano administrativo esté facultado para exigir el recurso previo a otras vías establecidas para la solución de reclamaciones, incluidas las mencionadas en el artículo 10. Estos procedimientos estarán disponibles con independencia de que los consumidores afectados se hallen en el territorio del Estado miembro en que se encuentre el comerciante o en otro Estado miembro.

[…]»

19. El anexo I de la Directiva 2005/29 (LA LEY 6058/2005), que contiene la lista de las prácticas comerciales desleales en cualquier circunstancia, dispone en su punto 26:

«Realizar proposiciones no solicitadas y persistentes por teléfono, fax, correo electrónico u otros medios a distancia, salvo en las circunstancias y en la medida en que esté justificado, con arreglo a la legislación nacional, para hacer cumplir una obligación contractual. Este supuesto se entenderá sin perjuicio de [la Directiva] 95/46/CE […].»

Directiva 2009/22/CE (LA LEY 7639/2009)

20. A tenor del artículo 1 de la Directiva 2009/22/CE del Parlamento Europeo y del Consejo, de 23 de abril de 2009 (LA LEY 7639/2009), relativa a las acciones de cesación en materia de protección de los intereses de los consumidores (DO 2009, L 110, p. 30), titulado «Ámbito de aplicación»:

«1. La presente Directiva tiene por objeto aproximar las disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas a las acciones de cesación a las que se refiere el artículo 2, destinadas a la protección de los intereses colectivos de los consumidores que se contemplan en las Directivas que aparecen enumeradas en el anexo I, con el fin de garantizar el buen funcionamiento del mercado interior.

2. A efectos de la presente Directiva, se entenderá por infracción cualquier acto contrario a las Directivas que figuran en el anexo I, tal y como estén transpuestas en el ordenamiento jurídico interno de los Estados miembros, que atente contra los intereses colectivos a que se refiere el apartado 1.»

21. El artículo 7 de la Directiva 2009/22 (LA LEY 7639/2009), titulado «Disposiciones relativas a una más amplia facultad de actuación», tiene el siguiente tenor:

«La presente Directiva no impedirá el mantenimiento o la adopción por los Estados miembros de disposiciones que tengan por objeto garantizar, a escala nacional, una facultad de actuación más amplia a las entidades habilitadas y a cualquier persona afectada.»

22. El anexo I de la Directiva 2009/22 (LA LEY 7639/2009) contiene la lista de las directivas de la Unión contempladas en su artículo 1. El punto 11 de este anexo menciona la Directiva 2005/29 (LA LEY 6058/2005).

Directiva (UE) 2020/1828 (LA LEY 23718/2020)

23. Los considerandos 11, 13 y 15 de la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2020 (LA LEY 23718/2020), relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22 (LA LEY 7639/2009) (DO 2020, L 409, p. 1), tienen el siguiente tenor:

«(11) La presente Directiva no debe sustituir los mecanismos procesales nacionales existentes para proteger los intereses colectivos o individuales de los consumidores. Teniendo en cuenta las tradiciones jurídicas de los Estados miembros, debe quedar a criterio de los Estados miembros integrar el mecanismo procesal para las acciones de representación que se exige en la presente Directiva como un elemento de un mecanismo procesal existente para la obtención de medidas colectivas de cesación o resarcitorias, o como un elemento de un nuevo mecanismo procesal para la obtención de esas medidas, o como un mecanismo procesal distinto, siempre que al menos un mecanismo procesal nacional para las acciones de representación cumpla lo dispuesto en la presente Directiva. […] Cuando existan mecanismos procesales a escala nacional además del mecanismo procesal que exige la presente Directiva, la entidad habilitada debe poder elegir qué mecanismo procesal utilizar.

[…]

(13) El ámbito de aplicación de la presente Directiva debe reflejar la evolución reciente en el ámbito de la protección de los consumidores. Dado que los consumidores actúan ahora en un mercado cada vez más globalizado y digitalizado, conseguir un alto nivel de protección para ellos requiere que el alcance de la presente Directiva se extienda, además de a la normativa general de protección de los consumidores, a ámbitos como la protección de datos, los servicios financieros, los viajes y el turismo, la energía y las telecomunicaciones. […]

[…]

(15) La presente Directiva debe entenderse sin perjuicio de los actos legislativos enumerados en el anexo I y, por lo tanto, no debe modificar ni ampliar las definiciones establecidas en dichos actos, ni tampoco sustituir los mecanismos de control del cumplimiento que puedan contener. Por ejemplo, los mecanismos de control del cumplimiento previstos o basados en el [Reglamento General de Protección de Datos (LA LEY 6637/2016)] podrían seguir utilizándose, cuando sean de aplicación, para la protección de los intereses colectivos de los consumidores.»

24. El artículo 2 de esta Directiva, titulado «Ámbito de aplicación», establece lo siguiente en su apartado 1:

«La presente Directiva se aplica a las acciones de representación ejercitadas frente a actos de empresarios que infrinjan las disposiciones del Derecho de la Unión recogidas en el anexo I, incluidas las disposiciones de transposición al Derecho interno de aquellas, que perjudiquen o puedan perjudicar los intereses colectivos de los consumidores. La presente Directiva se entiende sin perjuicio de las disposiciones del Derecho de la Unión recogidas en el anexo I. […]»

25. El artículo 24, apartado 1, de dicha Directiva, titulado «Transposición», dispone:

«Los Estados miembros adoptarán y publicarán, a más tardar el 25 de diciembre de 2022, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Informarán de ello inmediatamente a la Comisión.

Aplicarán dichas disposiciones a partir del 25 de junio de 2023.

[…]».

26. El anexo I de la Directiva 2020/1828 (LA LEY 23718/2020), que contiene la lista de las disposiciones del Derecho de la Unión a las que se hace referencia en su artículo 2, apartado 1, cita, en su punto 56, el Reglamento General de Protección de Datos (LA LEY 6637/2016).

Derecho alemán

Ley relativa a las Acciones de Cesación

27. A tenor del artículo 2 de la Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz - UKlaG) [Ley sobre las acciones de cesación referidas a infracciones del Derecho en materia de consumo u otras infracciones, de 26 de noviembre de 2001 (BGBl. 2001 I, p. 3138), en su versión aplicable al procedimiento principal; en lo sucesivo «Ley relativa a las Acciones de Cesación»]:

«(1) Quien infrinja las normas cuya finalidad sea proteger a los consumidores (leyes sobre protección de los consumidores), excepto al aplicar o recomendar condiciones generales, podrá ser objeto de una acción de cesación y de prohibición en aras de la protección de los consumidores. […]

(2) A efectos de la presente disposición, se considerarán leyes sobre protección de los consumidores, en particular:

[…]

11. las disposiciones que regulan la licitud:

a) de la recogida de datos personales de un consumidor por parte de una empresa, o

b) del tratamiento o uso de datos personales relativos a un consumidor recabados por una empresa,

si los datos se recogen, tratan o utilizan con fines publicitarios, de estudios de mercado y opinión, de explotación de una entidad de información crediticia, de elaboración de perfiles de personalidad y de uso, de tráfico de datos de contacto y de otros tipos de datos o con fines comerciales similares.»

28. El Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania) señala que, en virtud del artículo 3, apartado 1, primera frase, punto 1, de la Ley relativa a las Acciones de Cesación, las entidades que tienen legitimación activa, en el sentido del artículo 4 de esta Ley, pueden, por un lado, solicitar, con arreglo al artículo 1 de dicha Ley, el cese del uso de condiciones generales nulas en virtud del artículo 307 del Bürgerliches Gesetzbuch (Código Civil) y, por otro lado, solicitar el cese de las infracciones de la legislación en materia de protección de los consumidores, en el sentido del artículo 2, apartado 2, de la misma Ley.

Ley contra la Competencia Desleal

29. El artículo 3, apartado 1, de la Gesetz gegen den unlauteren Wettbewerb (Ley contra la Competencia Desleal), de 3 de julio de 2004 (BGB1. 2004 I, p. 1414) en su versión aplicable al procedimiento principal, establece lo siguiente:

«Quedan prohibidas las prácticas comerciales desleales.»

30. El artículo 3a de la Ley contra la Competencia Desleal tiene el siguiente tenor:

«Actúa de forma desleal quien infringe una disposición legal destinada, entre otros extremos, a regular el comportamiento en el mercado en interés de los operadores económicos, siempre que dicha infracción pueda afectar sensiblemente a los intereses de los consumidores, de los demás operadores económicos o de los competidores.»

31. El artículo 8 de la Ley contra la Competencia Desleal dispone:

«(1) Podrá ejercitarse una acción de cesación y, en caso de riesgo de reiteración, una acción de prohibición contra quien realice una práctica comercial ilícita con arreglo a los artículos 3 o 7. […]

[…]

(3) Las acciones a las que hace referencia el apartado 1 podrán ser ejercitadas:

[…]

3. Por las entidades habilitadas que demuestren estar incluidas en la lista de entidades habilitadas de conformidad con el artículo 4 de la [Ley relativa a las Acciones de Cesación] […]»

Ley de Servicios de Comunicación Electrónicos

32. El Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal) señala que el artículo 13, apartado 1, de la Telemediengesetz (Ley de Servicios de Comunicación Electrónicos), de 26 de febrero de 2007 (BGBl. 2007 I, p. 179), era aplicable hasta la entrada en vigor del Reglamento General de Protección de Datos (LA LEY 6637/2016). Desde esa fecha, esta disposición fue sustituida por los artículos 12 a (LA LEY 6637/2016) 14 del Reglamento General de Protección de Datos (LA LEY 6637/2016).

33. A tenor del artículo 13, apartado 1, primera frase, de la Ley de Servicios de Comunicación Electrónicos:

«Al inicio de la operación de uso, el prestador de servicios informará al usuario sobre el carácter, el alcance y los fines de la recogida y utilización de los datos personales y sobre el tratamiento de sus datos en países no comprendidos en el ámbito de aplicación de la Directiva [95/46 (LA LEY 5793/1995)], en una forma que sea generalmente comprensible, a no ser que ya se le haya informado de ello.»

Litigio principal y cuestión prejudicial

34.

Meta Platforms Ireland, que gestiona la oferta de servicios de la red social en línea Facebook en la Unión, es la responsable del tratamiento de los datos personales de los usuarios de esta red social en la Unión. Facebook Germany GmbH, con domicilio social en Alemania, promueve bajo la dirección www.facebook.de la venta de espacios publicitarios. La plataforma de Internet Facebook contiene, en particular, en la dirección de Internet www.facebook.de, un espacio denominado «App-Zentrum» (Centro de Aplicaciones) en el que Meta Platforms Ireland pone a disposición de los usuarios juegos gratuitos suministrados por terceros. Al consultar en el Centro de Aplicaciones algunos de estos juegos, se muestra al usuario la advertencia de que la utilización de la aplicación en cuestión permite a la sociedad que facilita los juegos obtener determinados datos personales y la autoriza a realizar publicaciones, en nombre del usuario, de cierta información, como su puntuación. Este uso conlleva la aceptación por parte del usuario de las condiciones generales de la aplicación y de su política de protección de datos. Asimismo, en el caso concreto de uno de los juegos, aparece la indicación de que se autoriza a la aplicación a publicar actualizaciones de estado, fotografías y otros datos en nombre del usuario.

35.

La Federación, entidad legitimada para ejercitar acciones en virtud del artículo 4 de la Ley relativa a las Acciones de Cesación, considera que las advertencias que se muestran en los juegos del Centro de Aplicaciones mencionados son desleales, en particular, por incumplir los requisitos legales para la obtención de un consentimiento válido del usuario con arreglo a la normativa en materia de protección de datos. Asimismo, esta entidad considera que la advertencia según la cual se autoriza a la aplicación a publicar en nombre del usuario determinados datos personales constituye una condición general de la contratación que perjudica indebidamente al usuario.

36. En este contexto, la Federación ejercitó ante el Landgericht Berlin (Tribunal Regional de lo Civil y Penal de Berlín, Alemania) una acción de cesación contra Meta Platforms Ireland al amparo del artículo 3a de la Ley contra la Competencia Desleal, del artículo 2, apartado 2, primera frase, punto 11, de la Ley relativa a las Acciones de Cesación y del Código Civil. Esta acción se ejercitó desvinculada de cualquier vulneración concreta del derecho a la protección de los datos de un interesado y sin que mediara mandato de tal persona.

37. El Landgericht Berlin (Tribunal Regional de lo Civil y Penal de Berlín) condenó a Meta Platforms Ireland conforme a las pretensiones de la Federación. El recurso de apelación interpuesto por Meta Platforms Ireland ante el Kammergericht Berlin (Tribunal Superior Regional de lo Civil y Penal de Berlín, Alemania) fue desestimado. A continuación, Meta Platforms Ireland interpuso ante el órgano jurisdiccional remitente un recurso de casación contra la resolución desestimatoria del órgano jurisdiccional de apelación.

38. El órgano jurisdiccional remitente considera fundada la acción de la Federación, por estimar que Meta Platforms Ireland infringió el artículo 3a de la Ley contra la Competencia Desleal, así como el artículo 2, apartado 2, primera frase, punto 11, de la Ley relativa a las Acciones de Cesación y empleó una condición general de la contratación nula, en el sentido del artículo 1 de la Ley relativa a las Acciones de Cesación.

39. No obstante, dicho órgano jurisdiccional alberga dudas acerca de la admisibilidad de la acción de la Federación. Considera que no puede descartarse que la Federación, que tenía legitimación activa en la fecha en la que interpuso su recurso, en virtud del artículo 8, apartado 3, de la Ley contra la Competencia Desleal y del artículo 3, apartado 1, primera frase, punto 1, de la Ley relativa a las Acciones de Cesación, haya perdido su legitimación durante el procedimiento, tras la entrada en vigor del Reglamento General de Protección de Datos (LA LEY 6637/2016) y, en particular, de sus artículos 80, apartados 1 y 2, y 84, apartado 1. De ser así, el órgano jurisdiccional remitente debería estimar el recurso de casación interpuesto por Meta Platforms Ireland y desestimar la acción de la Federación, dado que, según las disposiciones procesales aplicables en Derecho alemán, la legitimación activa debe perdurar hasta el final de la última instancia.

40. Según el órgano jurisdiccional remitente, la respuesta a esta cuestión no resulta claramente del tenor literal, de la lógica interna y del objetivo de las disposiciones del Reglamento General de Protección de Datos (LA LEY 6637/2016).

41. En relación con el tenor literal de las disposiciones del Reglamento General de Protección de Datos (LA LEY 6637/2016), el órgano jurisdiccional remitente señala que la existencia de la legitimación activa de las entidades, organizaciones o asociaciones sin ánimo de lucro que hayan sido correctamente constituidas con arreglo al Derecho de un Estado miembro, en virtud del artículo 80, apartado 1, del Reglamento General de Protección de Datos (LA LEY 6637/2016), presupone que el interesado haya dado mandato a una entidad, organización o asociación para que ejerza en su nombre los derechos contemplados en los artículos 77 a 79 de dicho Reglamento y el derecho a ser indemnizado mencionado en el artículo 82 del mismo Reglamento si así lo establece el Derecho del Estado miembro.

42. Pues bien, el órgano jurisdiccional remitente subraya que la legitimación activa prevista en el artículo 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal no contempla tal recurso por mandato y en nombre de un interesado para hacer valer sus derechos personales. En su opinión, por el contrario, confiere a una asociación, en virtud de un derecho que le es propio y que se deriva de los artículos 3, apartado 1, y 3a de la Ley contra la Competencia Desleal, una legitimación activa objetiva para ejercitar acciones contra las infracciones de las disposiciones del Reglamento General de Protección de Datos (LA LEY 6637/2016), con independencia de la vulneración de derechos concretos de los interesados y del mandato conferido por estos.

43. Además, el órgano jurisdiccional remitente señala que el artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016) no prevé la legitimación activa de una asociación para ejercitar, en cuanto derecho objetivo, el derecho a la protección de datos personales, puesto que esta disposición presupone que un interesado haya visto efectivamente vulnerados los derechos previstos en dicho Reglamento como consecuencia de un tratamiento de datos específico.

44. Por otra parte, el órgano jurisdiccional remitente señala que la legitimación activa de una asociación, como la prevista en el artículo 8, apartado 3, de la Ley contra la Competencia Desleal, no puede resultar del artículo 84, apartado 1, del Reglamento General de Protección de Datos (LA LEY 6637/2016), a tenor del cual los Estados miembros deben establecer las normas en materia de otras sanciones aplicables a las infracciones del Reglamento y adoptar todas las medidas necesarias para garantizar su observancia. El órgano jurisdiccional remitente entiende que no puede considerarse que la legitimación activa de una asociación, como la contemplada en el artículo 8, apartado 3, de la Ley contra la Competencia Desleal, constituya una «sanción» en el sentido de esta disposición del Reglamento General de Protección de Datos (LA LEY 6637/2016).

45. En lo que respecta a la lógica interna de las disposiciones del Reglamento General de Protección de Datos (LA LEY 6637/2016), el órgano jurisdiccional remitente considera que puede deducirse del hecho de que este Reglamento haya armonizado, en particular, las facultades de las autoridades de control que incumbe principalmente a estas autoridades verificar la aplicación de las disposiciones de dicho Reglamento. Sin embargo, entiende que la precisión «sin perjuicio de cualquier otro recurso», a que aluden los artículos 77, apartado 1 (LA LEY 6637/2016), 78, apartados 1 y 2, y 79, apartado 1, del Reglamento General de Protección de Datos (LA LEY 6637/2016), puede refutar la tesis de que dicho Reglamento regula de manera exhaustiva el control de su aplicación.

46. En lo referente al objetivo del Reglamento General de Protección de Datos (LA LEY 6637/2016), el órgano jurisdiccional remitente señala que su eficacia permite abogar por la existencia de una legitimación activa de las asociaciones en virtud del Derecho de la competencia, de conformidad con el artículo 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal, con independencia de la vulneración de derechos concretos de los interesados, en la medida en que esto implicaría que continuase existiendo una posibilidad adicional de controlar la aplicación del Derecho, con el fin de garantizar el nivel más elevado posible de protección de los datos personales, con arreglo al considerando 10 de este Reglamento. No obstante, podría considerarse que admitir la legitimación activa de las asociaciones en virtud del Derecho de la competencia es contrario al objetivo de armonización perseguido por el Reglamento General de Protección de Datos (LA LEY 6637/2016).

47. A la vista de las consideraciones anteriores, el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:

«¿Se oponen las disposiciones del capítulo VIII, en particular los artículos 80, apartados 1 y 2, y 84, apartado 1, del [Reglamento General de Protección de Datos (LA LEY 6637/2016)], a una normativa nacional que (junto a las facultades de intervención de las autoridades de control competentes para la supervisión y ejecución del Reglamento, y a la tutela judicial en favor de los interesados), en caso de infracción del [Reglamento General de Protección de Datos (LA LEY 6637/2016)] concede, por un lado, a los competidores y, por otro, a las asociaciones, instituciones y cámaras autorizadas por la legislación nacional la facultad de actuar contra el infractor con independencia de la vulneración de derechos concretos de interesados individuales y sin que medie mandato de un interesado, presentando una demanda ante los tribunales de lo civil en la que se invoque el incumplimiento de la prohibición de prácticas comerciales desleales, una infracción de la legislación de protección de los consumidores o el incumplimiento de la prohibición de uso de condiciones generales de contratación inválidas?»

Sobre la cuestión prejudicial

48. Con carácter preliminar, es preciso señalar que, como resulta, en particular, de los apartados 36 y 41 a 44 de la presente sentencia, el litigio principal se sustancia entre una asociación de defensa de los intereses de los consumidores, como la Federación, y Meta Platforms Ireland, y tiene por objeto determinar si tal asociación puede ejercitar acciones contra dicha sociedad sin un mandato conferido a tal fin y con independencia de la vulneración de derechos concretos de los interesados.

49. En estas circunstancias, como señaló con acierto la Comisión en sus observaciones escritas, la respuesta a la cuestión prejudicial depende únicamente de la interpretación del artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016), ya que las disposiciones de los artículos 80, apartado 1, y 84 de dicho Reglamento no son pertinentes en el caso de autos. En efecto, por un lado, la aplicación del artículo 80, apartado 1, del Reglamento General de Protección de Datos (LA LEY 6637/2016), presupone que el interesado ha dado mandato a la entidad, organización o asociación sin ánimo de lucro a que hace referencia dicha disposición, para que adopte en su nombre las medidas jurídicas contempladas en los artículos 77 a 79 de dicho Reglamento. Pues bien, como consta acreditado esto no sucede en el litigio principal, en tanto en cuanto la Federación actúa con independencia del mandato de un interesado. Por otro lado, es bien sabido que el artículo 84 del Reglamento General de Protección de Datos (LA LEY 6637/2016) hace referencia a las sanciones administrativas y penales aplicables a las infracciones de dicho Reglamento, lo que tampoco se discute en el procedimiento principal.

50. Además, es preciso señalar que el asunto principal no plantea la cuestión de la legitimación activa de un competidor. Por consiguiente, procede responder únicamente a la parte de la cuestión prejudicial que se refiere a la legitimación activa de las asociaciones, entidades y organizaciones habilitadas en virtud del Derecho nacional, mencionadas en el artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016).

51. En consecuencia debe entenderse que la cuestión prejudicial planteada por el órgano jurisdiccional remitente tiene por objeto que se dilucide, en esencia, si el artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016) debe interpretarse en el sentido de que se opone a una normativa nacional que permite a una asociación de defensa de los intereses de los consumidores ejercitar acciones judiciales, sin mandato conferido a tal fin y con independencia de la vulneración de derechos concretos de un interesado, contra el presunto infractor de la normativa en materia de protección de datos personales, invocando el incumplimiento de la prohibición de prácticas comerciales desleales, de una ley en materia de protección de los consumidores o de la prohibición del uso de condiciones generales nulas.

52. Para responder a esta cuestión, procede recordar que, como se desprende de su considerando 10, el Reglamento General de Protección de Datos (LA LEY 6637/2016) tiene por objeto, en particular, garantizar una aplicación coherente y homogénea de las normas de protección de los derechos fundamentales y libertades de las personas físicas en relación con el tratamiento de datos personales en el conjunto de la Unión y eliminar los obstáculos a la circulación de datos personales en el seno de esta.

53. En este contexto, el capítulo VIII de este Reglamento regula, en particular, las vías de recurso que permiten proteger los derechos del interesado cuando los datos personales que le conciernen han sido objeto de un tratamiento supuestamente contrario a las disposiciones de dicho Reglamento. De este modo, la protección de estos derechos puede reclamarse, bien directamente por el interesado, bien por una entidad autorizada, mediando o no mandato a tal efecto, en virtud del artículo 80 del Reglamento General de Protección de Datos (LA LEY 6637/2016).

54. Así, en primer lugar, el interesado tiene derecho a presentar en su propio nombre una reclamación ante una autoridad de control de un Estado miembro o un recurso ante los tribunales civiles nacionales. Más concretamente, tiene derecho a presentar una reclamación ante una autoridad de control, de conformidad con el artículo 77 del Reglamento General de Protección de Datos (LA LEY 6637/2016), derecho a la tutela judicial efectiva contra una autoridad de control, en virtud del artículo 78 de dicho Reglamento, derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento, con arreglo al artículo 79 del mismo Reglamento, y derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos, de conformidad con el artículo 82 del mencionado Reglamento.

55. Además, con arreglo al artículo 80, apartado 1, del Reglamento General de Protección de Datos (LA LEY 6637/2016), el interesado tiene derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro, que reúna determinados requisitos, para que presente en su nombre la reclamación, y ejerza en su nombre los derechos contemplados en los artículos antes mencionados.

56. Por último, de conformidad con el artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016), los Estados miembros pueden disponer que cualquier entidad, organización o asociación, con independencia del mandato del interesado, tenga derecho a presentar en ese Estado miembro una reclamación ante la autoridad de control que sea competente en virtud del artículo 77 de dicho Reglamento y a ejercer los derechos contemplados en los artículos 78 y 79 del mismo Reglamento, si considera que los derechos del interesado con arreglo a este Reglamento han sido vulnerados como consecuencia de un tratamiento de los datos personales que le conciernen.

57. A este respecto, procede señalar que, como se desprende del artículo 1, apartado 1, del Reglamento General de Protección de Datos (LA LEY 6637/2016), interpretado, en particular, a la luz de sus considerandos 9, 10 y 13, este Reglamento aspira a garantizar una armonización de las legislaciones nacionales relativas a la protección de los datos personales, en principio, completa. Sin embargo, las disposiciones del citado Reglamento ofrecen a los Estados miembros la posibilidad de establecer normas nacionales adicionales, que sean más estrictas o prevean alguna excepción, lo que les deja un margen de apreciación en cuanto a la manera de aplicar dichas disposiciones («cláusulas de apertura»).

58. Debe recordarse que, según consolidada jurisprudencia del Tribunal de Justicia, en virtud del artículo 288 TFUE (LA LEY 6/1957) y en razón de la propia índole de los Reglamentos y de su función en el sistema de fuentes del Derecho de la Unión, sus disposiciones tienen, por regla general, efecto directo en los ordenamientos jurídicos nacionales, sin necesidad de que las autoridades nacionales adopten medidas de aplicación. No obstante, algunas de estas disposiciones pueden requerir, para su ejecución, la adopción de medidas de aplicación por los Estados miembros (sentencia de 15 de junio de 2021, Facebook Ireland y otros, C-645/19, EU:C:2021:483 (LA LEY 68118/2021), apartado 110 y jurisprudencia citada).

59. Este es el caso, en particular, del artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016), que deja a los Estados miembros un margen de apreciación para su aplicación. Así, para que pueda ejercitarse la acción de representación sin mandato en materia de protección de datos personales prevista en dicha disposición, los Estados miembros deben hacer uso de la facultad que esta les ofrece de establecer en su Derecho nacional esta forma de representación de los interesados.

60. No obstante, como observó el Abogado General en los puntos 51 y 52 de sus conclusiones, cuando los Estados miembros ejercen la facultad normativa que les concede tal cláusula de apertura, deben utilizar su margen de apreciación respetando las condiciones y los límites establecidos por las disposiciones del Reglamento General de Protección de Datos (LA LEY 6637/2016) y deben legislar de tal modo que el contenido y los objetivos de dicho Reglamento no resulten menoscabados.

61. En el caso de autos, como confirmó el Gobierno alemán en la vista oral del presente asunto, el legislador alemán no adoptó, tras la entrada en vigor del Reglamento General de Protección de Datos (LA LEY 6637/2016), ninguna disposición particular específicamente destinada a aplicar, en su Derecho nacional, el artículo 80, apartado 2, de dicho Reglamento. En efecto, la normativa nacional controvertida en el litigio principal, adoptada con el fin de garantizar la transposición de la Directiva 2009/22 (LA LEY 7639/2009), ya permite a las asociaciones de defensa de los intereses de los consumidores ejercitar acciones judiciales contra el presunto infractor de la normativa en materia de protección de datos personales. Dicho Gobierno subraya, por otra parte, que, en su sentencia de 29 de julio de 2019, Fashion ID (C-40/17, EU:C:2019:629 (LA LEY 104166/2019)), relativa a la interpretación de las disposiciones de la Directiva 95/46 (LA LEY 5793/1995), el Tribunal de Justicia declaró que estas no se oponen a esa normativa nacional.

62. En estas circunstancias, como señaló el Abogado General en el punto 60 de sus conclusiones, procede, en esencia, comprobar si las normas nacionales controvertidas en el litigio principal se inscriben en el margen de apreciación reconocido a cada Estado miembro en el artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016), e interpretar esta disposición teniendo en cuenta su tenor literal, así como la lógica interna y los objetivos de dicho Reglamento.

63.

A este respecto, procede señalar que el artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016) ofrece a los Estados miembros la posibilidad de contemplar el mecanismo de la acción de representación contra el presunto infractor de la normativa en materia de protección de datos personales, estableciendo al mismo tiempo una serie de requisitos relativos al ámbito de aplicación personal y material que deben cumplirse a tal fin.

64.

Por lo que respecta, en primer lugar, al ámbito de aplicación personal de tal mecanismo, se reconoce legitimación activa a una entidad, organización o asociación que reúna los criterios enumerados en el artículo 80, apartado 1, del Reglamento General de Protección de Datos (LA LEY 6637/2016). En particular, esta disposición hace referencia a «una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales».

65.

Pues bien, procede señalar que una asociación de defensa de los intereses de los consumidores, como la Federación, puede estar comprendida en ese concepto en la medida en que persigue un objetivo de interés público consistente en garantizar los derechos y libertades de los interesados en su condición de consumidores, en tanto en cuanto la consecución de tal objetivo puede estar vinculada a la protección de los datos personales de estos.

66. En efecto, la infracción de las disposiciones que tienen por objeto proteger a los consumidores o luchar contra las prácticas comerciales desleales -infracción que una asociación de defensa de los intereses de los consumidores, como la Federación, persigue evitar y sancionar, en particular, mediante las acciones de cesación previstas por la normativa nacional aplicable-, puede estar, como en el caso de autos, vinculada a la infracción de las normas en materia de protección de los datos personales de dichos consumidores.

67.

Por lo que respecta, en segundo lugar, al ámbito de aplicación material de dicho mecanismo, el ejercicio de la acción de representación prevista en el artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016) por una entidad que reúna los requisitos mencionados en el apartado 1 de ese mismo artículo presupone que dicha entidad, con independencia del mandato del interesado, «considera que los derechos del interesado con arreglo [a este] Reglamento han sido vulnerados como consecuencia de un tratamiento» de sus datos personales.

68.

A este respecto, procede precisar, en primer término, que, a efectos del ejercicio de una acción de representación en el sentido del artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016), no puede exigirse a tal entidad que lleve previamente a cabo la identificación individual de la persona que tenga específicamente la condición de interesado por un tratamiento de datos supuestamente contrario a las disposiciones de dicho Reglamento.

69. En efecto, basta con señalar que el concepto de «interesado», en el sentido del artículo 4, punto 1, de dicho Reglamento, comprende no solo una «persona física identificada», sino también una «persona física identificable», esto es, una persona física «cuya identidad pueda determinarse», directa o indirectamente, mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización o un identificador en línea. En estas circunstancias, la designación de una categoría o grupo de interesados por dicho tratamiento también puede ser suficiente a efectos de la interposición de tal acción de representación.

70.

En segundo término, en virtud del artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016), el ejercicio de una acción de representación tampoco está supeditado a la existencia de una vulneración concreta de los derechos que las normas en materia de protección de datos confieren a una persona.

71. En efecto, como se desprende del propio tenor de esta disposición, reproducido en el apartado 67 de la presente sentencia, el ejercicio de una acción de representación únicamente presupone que la entidad de que se trate «considera» que los derechos de un interesado previstos en dicho Reglamento han sido vulnerados por el tratamiento de sus datos personales y, por tanto, alega la existencia de un tratamiento de datos contrario a las disposiciones de dicho Reglamento.

72.

De ello se deduce que, para reconocer la legitimación activa de tal entidad, en virtud de la citada disposición, basta con alegar que el tratamiento de datos de que se trate puede afectar a los derechos que dicho Reglamento confiere a personas físicas identificadas o identificables, sin que sea necesario probar un perjuicio real sufrido por el interesado, en una situación determinada, por la vulneración de sus derechos.

73. Tal interpretación es conforme con las exigencias derivadas del artículo 16 TFUE (LA LEY 6/1957) y del artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) y, por lo tanto, con el objetivo perseguido por el Reglamento General de Protección de Datos (LA LEY 6637/2016) de garantizar una protección eficaz de las libertades y de los derechos fundamentales de las personas físicas y, en particular, de garantizar un elevado nivel de protección del derecho de toda persona a la protección de los datos de carácter personal que le conciernan (véase, en este sentido, la sentencia de 15 de junio de 2021, Facebook Ireland y otros, C-645/19, EU:C:2021:483 (LA LEY 68118/2021), apartados 44, 45 y 91).

74. Pues bien, el hecho de facultar a asociaciones de defensa de los intereses de los consumidores, como la Federación, para ejercitar, mediante el mecanismo de la acción de representación, acciones de cesación de tratamientos contrarios a las disposiciones de dicho Reglamento, con independencia de la vulneración de los derechos de una persona afectada de forma individual y concreta por dicha vulneración, contribuye indiscutiblemente a reforzar los derechos de los interesados y a asegurarles un nivel elevado de protección.

75.

Además, procede señalar que el ejercicio de tal acción de representación, en la medida en que permite evitar un gran número de vulneraciones de los derechos de los interesados por el tratamiento de sus datos personales, podría resultar más eficaz que la acción que una sola persona afectada de forma individual y concreta por una vulneración de su derecho a la protección de sus datos personales puede ejercitar contra el autor de dicha vulneración.

76. En efecto, como ha observado el Abogado General en el punto 76 de sus conclusiones, la función preventiva de las acciones ejercitadas por asociaciones de defensa de los intereses de los consumidores, como la Federación, no podría garantizarse si la acción de representación prevista en el artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016) solo permitiera invocar la vulneración de los derechos de una persona afectada de forma individual y concreta por dicha vulneración.

77.

En tercer lugar, es preciso comprobar además, como solicita el órgano jurisdiccional remitente, si el artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016) se opone al ejercicio de una acción de representación con independencia de la vulneración concreta del derecho de un interesado y del mandato de este, cuando se ha invocado una infracción de las normas en materia de protección de datos en el marco de una acción dirigida a controlar la aplicación de otras normas jurídicas de protección de los consumidores.

78. A este respecto, procede señalar de entrada que, como se ha indicado, en esencia, en el apartado 66 de la presente sentencia, la infracción de una norma en materia de protección de datos personales puede implicar simultáneamente la infracción de normas en materia de protección de los consumidores o de prácticas comerciales desleales.

79. Por consiguiente, como ha señalado el Abogado General en el punto 72 de sus conclusiones, esta disposición no se opone a que los Estados miembros ejerzan la facultad que esta les ofrece de habilitar a las asociaciones de defensa de los intereses de los consumidores para ejercitar acciones contra las vulneraciones de los derechos establecidos por el Reglamento General de Protección de Datos (LA LEY 6637/2016) mediante, en su caso, normas que tengan por objeto proteger a los consumidores o luchar contra las prácticas comerciales desleales, como las previstas por las Directivas 2005/29 (LA LEY 6058/2005) y 2009/22 (LA LEY 7639/2009).

80. Esta interpretación del artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016) se ve de hecho corroborada por la Directiva 2020/1828 (LA LEY 23718/2020), que deroga y sustituye, a partir del 25 de junio de 2023, a la Directiva 2009/22 (LA LEY 7639/2009). En este contexto, procede señalar que, con arreglo al artículo 2, apartado 1, de la Directiva 2020/1828 (LA LEY 23718/2020), esta se aplica a las acciones de representación ejercitadas frente a infracciones cometidas por profesionales contra las disposiciones del Derecho de la Unión contempladas en el anexo I de esta Directiva, la cual menciona, en su punto 56, el Reglamento General de Protección de Datos (LA LEY 6637/2016).

81. Es cierto que la Directiva 2020/1828 (LA LEY 23718/2020) no es aplicable al litigio principal y su plazo de transposición aún no ha expirado. No obstante, contiene varios elementos que confirman que el artículo 80 del Reglamento General de Protección de Datos (LA LEY 6637/2016) no se opone al ejercicio de acciones de representación complementarias en materia de protección de los consumidores.

82. En efecto, como se desprende del considerando 11 de esta Directiva, si bien sigue siendo posible prever un mecanismo procesal como las acciones de representación complementarias en materia de protección de los consumidores, los mecanismos de aplicación previstos en el Reglamento General de Protección de Datos (LA LEY 6637/2016) o basados en este, como el previsto en el artículo 80 de dicho Reglamento, no pueden ser sustituidos o modificados, como señala el considerando 15 de dicha Directiva, y, por lo tanto, pueden utilizarse para proteger los intereses colectivos de los consumidores.

83. Habida cuenta de todas las consideraciones anteriores, procede responder a la cuestión prejudicial planteada que el artículo 80, apartado 2, del Reglamento General de Protección de Datos (LA LEY 6637/2016) debe interpretarse en el sentido de que no se opone a una normativa nacional que permite a una asociación de defensa de los intereses de los consumidores ejercitar acciones judiciales sin mandato conferido a tal fin y con independencia de la vulneración de derechos concretos de los interesados, contra el presunto infractor de la normativa en materia de protección de datos personales, invocando el incumplimiento de la prohibición de prácticas comerciales desleales, de una ley en materia de protección de los consumidores o de la prohibición del uso de condiciones generales nulas, toda vez que el tratamiento de los datos de que se trate pueda afectar a los derechos que este Reglamento confiere a personas físicas identificadas o identificables.

Costas

84. Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto,

FALLO

el Tribunal de Justicia (Sala Tercera) declara:

«El artículo 80, apartado 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento general de protección de datos (LA LEY 6637/2016)), debe interpretarse en el sentido de que no se opone a una normativa nacional que permite a una asociación de defensa de los intereses de los consumidores ejercitar acciones judiciales sin mandato conferido a tal fin y con independencia de la vulneración de derechos concretos de los interesados, contra el presunto infractor de la normativa en materia de protección de datos personales, invocando el incumplimiento de la prohibición de prácticas comerciales desleales, de una ley en materia de protección de los consumidores o de la prohibición del uso de condiciones generales nulas, toda vez que el tratamiento de los datos de que se trate pueda afectar a los derechos que este Reglamento confiere a personas físicas identificadas o identificables.

(*) Lengua de procedimiento: alemán.

Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll