El Reglamento (UE) 2016/679 general de protección de datos (RGPD) atribuye
una renovada importancia a la aplicación privada del derecho a la protección de
datos personales, que complementa su tradicional aplicación jurídico-pública
mediante la actividad de las autoridades de control independientes. Se trata de
un ámbito en el que la tutela en materia de protección de datos se encuentra en
ocasiones íntimamente vinculada a otros sectores del ordenamiento, como la
competencia desleal –basta pensar en que prevalerse en el mercado de una ventaja competitiva adquirida mediante la
infracción de normas sobre protección de datos personales puede considerarse
desleal- o la protección de los consumidores, habida cuenta de que ciertas
infracciones del RGPD, en particular, en materia de información de los
interesados, pueden constituir también infracciones de normas de protección de
los consumidores. Desde esta perspectiva, y en relación con la importancia, para una eficaz tutela privada en materia de protección de datos, del ejercicio
de acciones de representación en defensa de los intereses de los consumidores, reviste interés la reciente sentencia del Tribunal de
Justicia en el asunto Meta Platforms
Ireland, C-319/20, EU:C:2022:322.
Junto a la posibilidad de presentar reclamaciones
ante las mencionadas autoridades de control (art. 77) y recursos –en vía administrativa y
contencioso-administrativa- frente a sus resoluciones (art. 78), vías que dan lugar a la imposición de sanciones
administrativas –típicamente multas- al responsable o encargado, el RGPD contempla
el ejercicio por los interesados de acciones civiles contra un responsable o
encargado del tratamiento por infracción de las normas del RGPD, incluyendo
ciertos fueros que tratan de facilitar el acceso a la justicia en situaciones
transfronterizas (art. 79). La importancia de la tutela privada se refleja también
en la previsión del derecho de los interesados a ser indemnizados por el
responsable o el encargado del tratamiento (art. 82). Como aportación frente al
régimen anterior, el RGPD contempla expresamente la representación de los interesados y la tutela colectiva en su
artículo 80.
Su apartado primero establece el derecho de
todo interesados a dar mandato a ciertas entidades para que le representen
ejerciendo en su nombre los derechos contemplados en los artículos 77, 78 y 79,
y el derecho a ser indemnizado si así lo establece el Derecho del Estado
miembro. Como requisitos que deben reunir esas entidades impone el que no
tengan ánimo de lucro, hayan sido correctamente constituidas con arreglo al
Derecho de un Estado miembro, tengan objetivos estatutarios de interés público
y que actúe en el ámbito de la protección de los derechos de los interesados en
materia de protección de sus datos personales. Por su parte, el apartado
segundo del artículo 80 contempla la facultad de todo Estado miembro para
disponer que cualquier entidad que cumpla esos mismos requisitos, tenga, con
independencia del mandato del interesado, derecho a presentar en ese Estado
miembro una reclamación ante la autoridad de control y a ejercer los derechos
de los artículos 78 y 79, “si considera que los derechos del interesado con
arreglo al presente Reglamento han sido vulnerados como consecuencia de un
tratamiento”.
El litigio
principal en el asunto Meta Platforms Ireland va referido a la
acción de cesación ejercitada por una Federación de asociaciones de
consumidores alemanas frente a Meta al considerar que en el espacio «App-Zentrum»
de Facebook la información facilitada vulnera los requisitos legales para la
obtención del consentimiento del usuario en materia de protección de datos y constituye una condición general de la
contratación indebidamente desfavorable para el usuario. Al ejercitarse la
acción por la entidad demandante desvinculada de toda vulneración concreta de
los derechos a la protección de los datos personales de un interesado y sin que
mediara mandato de ningún interesado, con base en lo previsto en la legislación
alemana sobre acciones de cesación que permite a las entidades con legitimación
solicitar el cese de las infracciones en materia de protección de los
consumidores y del uso de condiciones generales nulas, resultaba dudoso para el
Bundesgerichthof la compatibilidad
con lo dispuesto en el artículo 80.2 RGPD.
En concreto, el Tribunal Supremo alemán
solicita aclaración sobre si ese precepto se opone a que los Estados miembros puedan
conceder legitimación activa a ese tipo de entidades para actuar contra el
infractor de la legislación de protección de datos “con independencia de la
vulneración de derechos concretos de interesados individuales y sin que medie
mandato de un interesado, presentando una demanda ante los tribunales de lo
civil en la que se invoque el incumplimiento de la prohibición de prácticas
comerciales desleales, una infracción de la legislación de protección de los
consumidores o el incumplimiento de la prohibición de uso de condiciones
generales de contratación inválidas” (apdo. 47 de la sentencia).
En la medida en que en el marco previo al RGPD, que carecía de una norma como la del artículo 80.2, el TJUE había respondido a una cuestión similar, admitiendo tal posibilidad por parte de los Estados miembros (STJUE de sentencia de 29 de julio de 2019, Fashion ID, C‑40/17, EU:C:2019:629), no sorprende que el Tribunal –en línea con la posición manifestada por el Abogado General Richard de la Tour en sus conclusiones- considere que la introducción en el RGPD de ese precepto no es fundamento para establecer un criterio más restrictivo, que menoscabaría las posibilidades de tutela colectiva privada frente a infracciones de la legislación sobre protección de datos personales, que ciertos ordenamientos nacionales atribuyen.
Para alcanzar ese resultado, el Tribunal
parte de la peculiaridad como reglamento del RGPD, en el sentido de que la
utilización de ese tipo de instrumento va unida en este caso de la atribución a
los Estados miembros de la posibilidad de establecer normas adicionales, con un
amplio margen de apreciación (apdo. 57), lo que establece que es especialmente
cierto en el caso del artículo 80.2, que es una norma que atribuye una facultad
a los Estados miembros (apdos. 59 y 63) –lo que hace posible la existencia de
divergencias significativas entre los Estados miembros- cuyo alcance, tanto
personal como material, debe ser interpretado en términos amplios.
Con respecto al plano subjetivo, la sentencia
establece que una asociación de defensa
de los intereses de los consumidores como la del litigio principal puede quedar
comprendida en el artículo 80.2, en la medida en el objetivo de interés público
de garantizar los derechos de los consumidores se vincula con la eventual
tutela de la protección de los interesados en su condición de consumidores (apdo.
65), al tiempo que constata la interconexión entre la infracción de las
disposiciones sobre protección de los consumidores y sobre competencia desleal
con la infracción de las normas sobre protección de los datos personales de los
consumidores concernidos (apdos. 66 y 78).
El objetivo de garantizar una elevada
protección en materia de protección de datos resulta determinante de la
interpretación amplia en la sentencia del ámbito material del artículo 80.2 RGPD
y, en concreto, de su requisito de que la entidad que ejercita la acción
representativa considere “que los derechos del interesado con arreglo al (RGPD)
han sido vulnerados como consecuencia de un tratamiento”, de modo que el
Tribunal establece que para reconocer la legitimación activa de la entidad en
cuestión resulta suficiente “alegar que el tratamiento de datos de que se trate
puede afectar a los derechos que dicho Reglamento confiere a personas físicas
identificadas o identificables, sin que sea necesario probar un perjuicio real
sufrido por el interesado, en una situación determinada, por la vulneración de
sus derechos” (apdo. 72).
A esos efectos, la sentencia destaca la
singular trascendencia de las acciones de representación del artículo 80.2 RGPD
como mecanismo para asegurar la eficaz protección de los interesados en materia
de protección de datos personales, lo que resulta determinante de su
interpretación amplia del alcance de la facultad que otorga a los Estados
miembros. En concreto, afirma que el ejercicio de tales acciones de
representación es típicamente más eficaz que el ejercicio de acciones
individuales por los afectados por una concreta vulneración, pues permitir
evitar un gran número de vulneraciones de los derechos de los interesados por
el tratamiento de sus datos personales (apdo. 75). Una interpretación
restrictiva del artículo 80.2 que subordinara las acciones de representación que
las legislaciones de los Estados miembros pueden prever a la vulneración de los
derechos de una persona afectada individualmente por esa vulneración,
resultaría incompatible con la función preventiva de ciertas acciones que
pueden ser ejercitadas por entidades en defensa de los consumidores (apdo. 76).
En conclusión, el artículo 80.2 RGPD no es
obstáculo para que los Estados miembros atribuyan legitimación a asociaciones
de defensa de los consumidores para ejercitar acciones por infracción de sus
derechos bajo el RGPD en normas relativas a la protección de los consumidores o
en materia de competencia desleal. Lo habitual que resulta que ciertas
infracciones de las normas sobre protección de datos constituyan también
infracciones en materia de protección de consumidores o de prácticas
comerciales desleales atribuye especial importancia a esa constatación (apdos.
78 y 79). El Tribunal de Justicia destaca que la Directiva 2020/1828 relativa a
las acciones de representación para la protección de los intereses colectivos
de los consumidores (no aplicable al litigio principal y cuyo plazo de
transposición finaliza el 25 de
diciembre de 2022), que extiende su aplicación a acciones por infracción del
RGPD corrobora esa constatación, pues no excluye que existan mecanismos
procesales adicionales en los Estados miembros y salvaguarda la posibilidad de
utilizar los previstos en el artículo 80.2 RGPD para proteger los intereses
colectivos de los consumidores (sobre estas cuestiones, con ulteriores
referencias, vid. J.I. PAREDES PÉREZ,
“Acciones colectivas de cesación en interés general de los consumidores y
protección de datos personales. Un estudio desde la perspectiva de la
competencia judicial internacional”, en E. Rodríguez Pineau y E. Torralba
Mendiola (dirs.), La protección de las
transmisiones de datos transfronterizas, Navarra, Aranzadi, 2021, pp.
351-410, pp. 369-370).
