Entre las
innovaciones más significativas en lo relativo a la tutela privada -es decir,
mediante el ejercicio de acciones civiles- en materia de datos personales
introducidas por el RGPD, se encuentra su artículo 80 acerca de las acciones de
representación. Cabe recordar que su apartado primero establece el derecho de
todo interesado a dar mandato a ciertas entidades para que le representen
ejerciendo en su nombre los derechos contemplados en los artículos 77
(reclamaciones ante las autoridades de control), 78 (recursos en vía
contencioso-administrativa) y 79 (acciones civiles frente al responsable o
encargado del tratamiento, incluyendo las indemnizatorias derivadas del art. 82
si así lo establece el Derecho del
Estado miembro). Como requisitos que deben reunir esas entidades, impone el que
no tengan ánimo de lucro, hayan sido correctamente constituidas con arreglo al
Derecho de un Estado miembro, tengan objetivos estatutarios de interés público
y actúen en el ámbito de la protección de los derechos de los interesados en
materia de protección de sus datos personales. Por su parte, el apartado
segundo del artículo 80 contempla la facultad de todo Estado miembro para
disponer que cualquier entidad que cumpla esos mismos requisitos, tenga, con
independencia del mandato del interesado, derecho a presentar en ese Estado una
reclamación ante la autoridad de control y a ejercer los derechos de los
artículos 78 y 79, si considera que los derechos del interesado con arreglo al RGPD
“han sido vulnerados como consecuencia de un tratamiento”. En el contexto de la
litigación en Alemania derivada del ejercicio de acciones de representación de
cesación frente a Meta Platforms Ireland por las carencias de la información
sobre datos personales de ciertos servicios de la red social Facebook, la sentencia del pasado jueves del Tribunal de Justicia en el asunto Meta Platforms Ireland (Action
représentative), C-757/22, EU:C:2024:598,
presenta especial interés en relación con la interpretación del artículo 80.2
RGPD. La sentencia avala una interpretación que, para favorecer la tutela del
derecho a la protección de datos, facilita la apreciación de que concurren los
requisitos exigidos para que puedan ejercitarse acciones de representación con
independencia del mandato del interesado. En concreto, la aportación de la
nueva sentencia va referida a cómo debe entenderse la exigencia de que se trate
de situaciones en las que los derechos que el RGPD atribuye a los interesados
hayan sido vulnerados “como consecuencia de un tratamiento”.
La nueva sentencia se
enmarca en el mismo litigio que se encontraba en el origen de la sentencia de
28 de abril de 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322,
reseñada aquí, y relativa también a la interpretación del
artículo 80.2 RGPD. En consecuencia, el litigio principal va referido a la
acción de cesación ejercitada por una Federación de asociaciones de
consumidores alemana frente a Meta, al considerar que en el espacio
«App-Zentrum» de Facebook la información facilitada vulnera los requisitos
legales para la obtención del consentimiento del usuario en materia de
protección de datos y constituye una condición general de la contratación
indebidamente desfavorable para el usuario. Con base en la eventual infracción
de las normas del RGPD, en la demanda se invocaba la realización de actos de
competencia desleal por infracción de normas, así como la infracción de la
legislación de protección de los consumidores y el incumplimiento de la
prohibición de uso de condiciones generales de contratación inválidas. Mediante
la acción de representación de cesación ejercitada se pretende que se prohíba a
Meta Platforms Ireland presentar en su Centro de Aplicaciones ciertas aplicaciones
de juegos.
Cabe recordar que en
su sentencia previa relativa a ese litigio el Tribunal de Justicia estableció
ya que el artículo 80.2 RGPD no
es obstáculo para que los Estados miembros atribuyan legitimación a
asociaciones de defensa de los consumidores para ejercitar acciones por
infracción de sus derechos bajo el RGPD en normas relativas a la protección de
los consumidores o en materia de competencia desleal, poniendo de relieve que
la Directiva 2020/1828 relativa a las acciones de representación para la
protección de los intereses colectivos de los consumidores corrobora ese
criterio. En concreto, la sentencia determinó que el artículo 80.2 RGPD permite
a los Estados miembros reconocer la legitimación activa de esas entidades para
el ejercicio de acciones de representación de cesación en situaciones en las
que se alega que un tratamiento de datos puede afectar a los derechos que el
RGPD confiere a personas físicas identificadas o identificables, “sin que sea
necesario probar un perjuicio real sufrido por el interesado, en una situación
determinada, por la vulneración de sus derechos” (apdo. 72 de la STJUE de 28 de
abril de 2022, Meta Platforms Ireland, C-319/20). Pero, además, estableció
que el ejercicio de una acción de representación presupone que la entidad demandante
alega la existencia de un tratamiento de datos que considera contrario a las
disposiciones del RGPD (apdo. 71 de la mencionada STJUE de 28 de abril de 2022).
La sentencia del pasado jueves se centra en la interpretación del requisito específico de que la acción de
representación se funde, en los términos del artículo 80.2 RGPD, en que los
derechos del interesado con arreglo al RGPD hayan sido vulnerados “como consecuencia
de un tratamiento”. Las dudas al respecto del Tribunal Supremo Federal alemán (Bundesgerichtshof)
se vinculan con si esa exigencia puede cumplirse cuando la infracción del RGPD
que se invoca es relativa a normas que imponen al responsable del tratamiento,
en relación con el principio de transparencia, facilitar cierta información
relativa a los fines del tratamiento de
los datos personales y a los destinatarios de tales datos (arts. 12 y 13 RGPD)
a los interesados a más tardar en el momento de su recogida. La entidad, cuya
legitimación activa para el ejercicio de la acción de representación de
cesación resulta controvertida, se limita a invocar el incumplimiento de una
obligación de información sin cuestionar el posterior tratamiento de datos por el
responsable.
En síntesis, el Tribunal adopta una interpretación
que facilita que pueda entenderse cumplido ese requisito para el ejercicio de
acciones de representación, considerando que la expresión “como consecuencia
del tratamiento” en el marco del artículo 80.2 RGPD en realidad equivale a “con
ocasión de un tratamiento” (apdo. 45 de la nueva sentencia). Basta con que la
entidad que ejercita la acción de representación invoque el incumplimiento por
el responsable de la obligación de información, especificando el tratamiento de
datos que pueda afectar a los derechos que el RGPD confiere a las personas
físicas identificadas o identificables, de modo que no puede ser un tratamiento
meramente hipotético sino que debe existir (apdo. 44 de la sentencia con
remisión al apdo. 48 de las conclusiones del Abogado General).
Parte el Tribunal del objetivo de garantizar
un elevado nivel de protección de datos (apdo. 48), y de la importancia de los
principios de transparencia y lealtad del tratamiento (art. 5.1.a RGPD), así como
de limitación de finalidad (art. 5.1.b), de los que son expresión las obligaciones
de información de los artículos 12 y 13 RGPD (apdos. 50 a 57). Destaca, además,
que los derechos del interesado frente a cuya vulneración el artículo 80.2 RGPD
contempla el eventual ejercicio de acciones de representación incluyen el
derecho a ser informado de conformidad con los artículos 12 y 13, que se
corresponde con la obligación del responsable del tratamiento de facilitar la
información relevante, para satisfacer también los principios de transparencia
y de lealtad del tratamiento y obtener, en su caso, la manifestación de un
consentimiento informado por parte del interesado, que puede ser presupuesto de
la licitud del tratamiento por el responsable (apdos. 58-60).
Por último, precisa el Tribunal que la
función preventiva de la acción de representación de cesación es conforme con
el criterio de que el derecho del interesado a obtener del responsable del
tratamiento la información relativa a los fines del tratamiento y a los
destinatarios de tales datos, en los términos de los artículos 12.1 y 13.1.c) y
e) del RGPD, es un derecho cuya vulneración puede ser fundamento de las acciones
de representación previstas en el artículo 80.2, cuando el Estado miembro haya
hecho uso de la posibilidad que le otorga ese precepto.
