Acciones de representación frente a infracciones en materia de datos personales

 

           Entre las innovaciones más significativas en lo relativo a la tutela privada -es decir, mediante el ejercicio de acciones civiles- en materia de datos personales introducidas por el RGPD, se encuentra su artículo 80 acerca de las acciones de representación. Cabe recordar que su apartado primero establece el derecho de todo interesado a dar mandato a ciertas entidades para que le representen ejerciendo en su nombre los derechos contemplados en los artículos 77 (reclamaciones ante las autoridades de control), 78 (recursos en vía contencioso-administrativa) y 79 (acciones civiles frente al responsable o encargado del tratamiento, incluyendo las indemnizatorias derivadas del art. 82 si así lo establece el Derecho del Estado miembro). Como requisitos que deben reunir esas entidades, impone el que no tengan ánimo de lucro, hayan sido correctamente constituidas con arreglo al Derecho de un Estado miembro, tengan objetivos estatutarios de interés público y actúen en el ámbito de la protección de los derechos de los interesados en materia de protección de sus datos personales. Por su parte, el apartado segundo del artículo 80 contempla la facultad de todo Estado miembro para disponer que cualquier entidad que cumpla esos mismos requisitos, tenga, con independencia del mandato del interesado, derecho a presentar en ese Estado una reclamación ante la autoridad de control y a ejercer los derechos de los artículos 78 y 79, si considera que los derechos del interesado con arreglo al RGPD “han sido vulnerados como consecuencia de un tratamiento”. En el contexto de la litigación en Alemania derivada del ejercicio de acciones de representación de cesación frente a Meta Platforms Ireland por las carencias de la información sobre datos personales de ciertos servicios de la red social Facebook, la sentencia del pasado jueves del Tribunal de Justicia en el asunto Meta Platforms Ireland (Action représentative), C-757/22, EU:C:2024:598, presenta especial interés en relación con la interpretación del artículo 80.2 RGPD. La sentencia avala una interpretación que, para favorecer la tutela del derecho a la protección de datos, facilita la apreciación de que concurren los requisitos exigidos para que puedan ejercitarse acciones de representación con independencia del mandato del interesado. En concreto, la aportación de la nueva sentencia va referida a cómo debe entenderse la exigencia de que se trate de situaciones en las que los derechos que el RGPD atribuye a los interesados hayan sido vulnerados “como consecuencia de un tratamiento”.

Pertenencia a una “unidad económica” y emplazamiento de la sociedad extranjera demandada

 

      Continuando con la jurisprudencia del Tribunal de Justicia relativa a la litigación transfronteriza generada por el cártel de los camiones, cabe hacer referencia a su sentencia de hoy en el asunto C-632/22, Volvo (Assignation au siège d’une filiale de la défenderesse), EU:C:2024:601. De hecho, como la sentencia reseñada en la entrada previa, la pronunciada hoy aborda los limites a una pretendida extensión del concepto de “unidad económica” en el marco del Derecho de la competencia más allá del marco en el que fue desarrollado, relativo a la imputación de responsabilidad a la “empresa” -en el sentido del art. 101 TFUE- participante en un cártel (vid. STJUE de 6 de octubre de 2021, Sumal, C‑882/19, EU:C:2021:800). En concreto, la nueva sentencia confirma que ese concepto no permite que el emplazamiento de la sociedad matriz, demandada por los daños causados por el cártel y domiciliada en otro Estado miembro, pueda practicarse en el domicilio de su sociedad filial en el foro, aunque la sociedad matriz y la filial formen parte de una misma una unidad económica, constituyan una empresa autora de la infracción a los efectos del artículo 101 TFUE y sean, por lo tanto, responsables solidariamente. La personalidad jurídica independiente de cada una de esas sociedades resulta determinante a este respecto. Además, la nueva sentencia incluye precisiones relevantes en relación con la notificación de demandas en el extranjero y la salvaguarda del derecho a la tutela judicial efectiva de los demandantes, que resultan relevantes al hilo de las reticencias formuladas al respecto en esta (y en otras) materia(s) por la Sala Primera de nuestro TS.

Concepto de “unidad económica” de la empresa demandante y competencia judicial en materia de daños concurrenciales

 

       El asunto MOL, C‑425/22, tiene su origen en la demanda interpuesta ante los tribunales de Hungría por una sociedad domiciliada en ese país y se enmarca en la litigación transfronteriza generada por el conocido cártel de los camiones. La demandante controla un grupo de empresas establecidas en Hungría, Croacia, Italia, Austria, y Eslovaquia. Esas sociedades compraron indirectamente a la demandada setenta y un camiones en varios Estados miembros. La demanda se dirige frente a una empresa participante, junto con otros quince fabricantes de camiones, en el cártel de coordinación de precios, cuya existencia fue declarada por una Decisión de la Comisión, que estableció que la infracción abarcó todo el Espacio Económico Europeo. En su sentencia (EU:C:2024:578) de ayer en ese asunto el Tribunal de Justicia descarta que el concepto de “unidad económica”, desarrollado en su jurisprudencia para describir el término “empresa” empleado en los artículos 101 TFUE y 102 TFUE, pueda ser invocado con éxito por la demandante para atribuir competencia, en el marco del artículo 7.2 Reglamento 1215/2012 (Reglamento Bruselas Ibis o RBIbis), a los tribunales del lugar de su domicilio en una demanda por los daños consistentes en el exceso de precio pagado por las sociedades por ella controladas en sus compras de camiones de la demandada durante el período de la infracción.

Límites a la licitud de los modelos de consentimiento o pago en materia de datos personales (Segunda parte)

 

El Reglamento (UE) 2022/1925 de Mercados Digitales (RMD) complementa el marco derivado del RGPD con respecto a las actividades de los “guardianes de acceso”. Cabe recordar que esa categoría va referida a las empresas prestadoras de servicios básicos de plataforma, designada como tales por la Comisión por cumplir con los requisitos establecidos en el artículo 3 RMD.  El RMD es de aplicación “sin perjuicio” del RGPD (considerando 12 RMD) y establece que los intereses de protección de datos de los usuarios finales son pertinentes al evaluar los efectos negativos de la recopilación y acumulación de grandes cantidades de datos de tales usuarios por parte de los guardianes de acceso (cdo. 72), incorpora en su artículo 5 ciertas restricciones específicas aplicable a los guardianes de acceso relevantes en relación con las prácticas de “consentimiento o pago”. En este contexto, el anuncio ayer por parte de la Comisión de sus conclusiones provisionales de que el modelo publicitario de «pagar o consentir» introducido por Meta en noviembre de 2023 -cabe entender que como reacción a la STJUE Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2023:537, reseñada aquí- vulnera lo dispuesto en el artículo 5.2 del RMD, debe ponerse en relación con el reciente Dictamen del Comité Europeo de Protección de Datos sobre de modelos de “consentimiento o pago” desplegados por las grandes plataformas en línea, objeto de esta otra entrada.

Bloqueo de sitios web y límites al control de los contenidos ilícitos en línea

 

La reciente sentencia del TEDH en el asunto RFE/RL Inc. y otros c. Azerbaiyán (Nos. 56138/18 y otros 3) aborda una cuestión de la máxima actualidad, como son los límites a las medidas de bloqueo de sitios web que difunden contenidos supuestamente ilícitos y su interacción con el derecho fundamental a la libertad de expresión e información del artículo 10 del Convenio Europeo de Derechos Humanos (CEDH). No cabe perder de vista que el bloqueo al acceso es una medida esencial a disposición de los Estados -también los democráticos- para restringir la difusión de contenidos en su territorio desde el extranjero, en un entorno tecnológico en el que el alcance potencialmente global de Internet contrasta con la fragmentación política y jurídica del mundo en Estados. En todo caso, la sentencia va referida a la situación en un Estado no miembro de la UE y con un marco normativo no armonizado con el español, A diferencia del marco normativo de la UE, en el que, sin perjuicio del sometimiento de los contenidos en línea al conjunto del ordenamiento jurídico, las normas específicas sobre responsabilidad en relación con la difusión de contenidos en línea han estado típicamente destinadas a regular la posición de los prestadores de servicios intermediarios -como refleja en la actualidad el Reglamento (UE) 2022/2065 de Servicios Digitales y previamente la Directiva 2000/31-, las medidas adoptadas por las autoridades (y tribunales) de Azerbaiyán cuestionadas en estos asuntos derivan de un marco normativo específico para las actividades en línea referido al control tanto de los proveedores de contenidos como de servicios de alojamiento. De hecho, los sitios web bloqueados eran básicamente los de ciertos medios de prensa en relación con sus propios contenidos. 

Dos nuevas sentencias sobre indemnización por daños derivados de infracciones del RGPD

 

          Continuando con su jurisprudencia de los últimos meses relativa a la interpretación del artículo 82 del RGPD (al respecto puede verse esta reseña, con referencia a otras previas), el Tribunal de Justicia ha adoptado hoy dos nuevas sentencias sobre el derecho a indemnización en materia de protección de datos personales. Se trata de las sentencias en los asuntos acumulados C-182/22 y C-189/22, Scalable Capital, EU:C:2024:531; y en el asunto C-590/22, PS (Adresse erronée), EU:C:2024:536. Los litigios principales de la primera de esas sentencias van referidos a un “robo” de datos de los demandantes como consecuencia de que los sistemas de la sociedad que gestiona una aplicación de negociación de valores (trading app) en la que tenían cuentas fueron pirateados. Aunque no consta un uso fraudulento de tales datos, los demandantes reclaman la indemnización de los daños y perjuicios inmateriales que afirman haber sufrido como consecuencia del “robo” de sus datos personales. Por su parte, el litigio principal en el origen de la segunda de las sentencias va referido a una situación en la que el envío postal con documentos relativos a la declaración de la renta con datos personales de los demandantes se realizó a una dirección postal incorrecta, en la que fue abierto, al parecer por error, por sus ocupantes, en circunstancias en las que los demandantes alegan que temen que sus datos personales lleguen a personas no autorizadas como consecuencia de la infracción del RGPD por la asesoría fiscal remitente del envío. Los demandantes en este caso valoran en 15.000 euros los daños y perjuicios inmateriales que consideran haber sufrido.

 

Contratos en línea y obligaciones de pago condicionales

 

Conforme a lo dispuesto en el artículo 8.2 de la Directiva 2011/83 sobre los derechos de los consumidores -incorporado en el artículo 98.2 TRLGDCU-, presupuesto para que un consumidor quede obligado por un contrato celebrado por medios electrónicos que implique para él obligaciones de pago es que, al efectuar el pedido, el consumidor confirme expresamente que es consciente de que implica una obligación de pago. Si la realización del pedido se hace activando un botón o una función similar, deberán etiquetarse por el comerciante “de manera que sea fácilmente legible únicamente con la expresión «pedido con obligación de pago» o una formulación correspondiente no ambigua que indique que la realización del pedido implica la obligación de pagar al comerciante”. En su reciente sentencia en el asunto Conny, C-400/22, EU:C:2024:436, el Tribunal de Justicia aborda la aplicación de esta obligación a la celebración de contratos en línea en las situaciones en las que el consumidor solo está obligado a pagar al comerciante la remuneración cuando se cumpla una condición posterior. Además, el litigio principal presenta la particularidad de que no es el consumidor quien pretende hacer valer la ineficacia del contrato por él celebrado. Por el contrario, quien invoca el incumplimiento de la obligación establecida en el artículo 8.2 de la Directiva 2011/83 (en España, art. 98.2 TRLGDCU), es un tercero ajeno al contrato de consumo, en concreto, el demandado por la empresa cesionaria de un crédito del consumidor. Ese demandado tiene interés en hacer valer la ineficacia del contrato celebrado por el consumidor, en virtud del cual éste cedió a la demandante el crédito en el que se funda la demanda.