Carlos B Fernández. La posibilidad del ejercicio de acciones colectivas en defensa de los derechos y libertades de los interesados en materia de protección de sus datos personales, fue una de las novedades más relevantes del Reglamento General de Protección de Datos (LA LEY 6637/2016). Pero la falta de precedentes normativos y jurisprudenciales, requieren de una interpretación que aclare el alcance preciso de su artículo 80, titulado "Representación de los interesados".
Por ello resultan tan relevantes las conclusiones del Abogado General del TJUE Jean Richard de la Tour en el asunto C 319/20, Facebook Ireland Limited, contra la Federación alemana de Organizaciones y Asociaciones de Consumidores (Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V.), presentadas el 2 de diciembre de 2021.
En ellas, el Abogado General propone al Tribunal que declare que las asociaciones de defensa de los consumidores pueden emprender acciones colectivas en materia de protección de datos personales simultáneamente a las que emprendan en oposición a prácticas comerciales desleales. Y es que el artículo 80.2 del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016), no se opone a que una normativa nacional permita a las asociaciones de defensa de los intereses de los consumidores emprender acciones judiciales contra un presunto infractor de la protección de datos personales, invocando el incumplimiento de la prohibición de las prácticas comerciales desleales, la infracción de la legislación en materia de protección de los consumidores o el incumplimiento de la prohibición de uso de condiciones generales de la contratación nulas, siempre y cuando la acción de representación en cuestión tenga por objeto hacer respetar los derechos que el Reglamento concede directamente a las personas que sean objeto del tratamiento controvertido.
En este asunto se ventila una petición de decisión prejudicial planteada por el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania), mediante la cual se solicita al Tribunal de Justicia que interprete el artículo 80, apartado 2, del Reglamento 2016/679 (LA LEY 6637/2016) con el fin de determinar si esta disposición se opone a que las asociaciones de defensa de los intereses de los consumidores continúen teniendo, tras la entrada en vigor de dicho Reglamento, la legitimación activa que les confiere el Derecho nacional para hacer cesar los comportamientos que constituyan simultáneamente una vulneración de los derechos conferidos por el citado Reglamento y una infracción de normas dirigidas a proteger los derechos de los consumidores y a luchar contra las prácticas comerciales desleales.
En Alemania, la Federación alemana de Organizaciones y Asociaciones de Consumidores está incluida en la lista de entidades con legitimación activa en virtud del artículo 4 de su Ley sobre las acciones de cesación contra quien realice una práctica comercial ilícita. Por su parte, Facebook Ireland explota, bajo la dirección www.facebook.de, la plataforma de Internet Facebook, que permite el intercambio de datos personales y de otra información. El caso planteado se ha suscitado en el marco de un litigio entre la Federación y Facebook Ireland Limited. La Federación acusa a esta sociedad de infringir la normativa alemana sobre protección de datos personales, lo que a su entender constituye, a la vez, una práctica comercial desleal, una infracción de la legislación en materia de protección de los consumidores y un incumplimiento de la prohibición de uso de condiciones generales nulas.
Habida cuenta de que, en la sentencia de 29 de julio de 2019, dictada en el asunto C-40/17 (LA LEY 104166/2019), Fashion ID, el Tribunal de Justicia ya había declarado que tal legitimación activa era compatible con la Directiva 95/46/CE (LA LEY 5793/1995), le corresponde determinar si el Reglamento 2016/679 (LA LEY 6637/2016) ha modificado o no el estado del Derecho a este respecto.
Protección de datos, defensa de los consumidores y defensa de la competencia
Según explica en su pormenorizada propuesta el Abogado General, “en la economía moderna, caracterizada por el auge de la economía digital, el tratamiento de los datos personales puede afectar a las personas no solo en su condición de personas físicas beneficiarias de los derechos conferidos por el Reglamento (UE) 2016/679 (LA LEY 6637/2016), sino también en su condición de consumidores”.
Esta condición, continúa, “tiene como consecuencia que las asociaciones de defensa de los intereses de los consumidores sean cada vez con más frecuencia quienes planteen acciones destinadas a lograr el cese del comportamiento de determinados responsables de tratamientos que vulneran simultáneamente los derechos protegidos por dicho Reglamento y por otras normas que emanan tanto del Derecho de la Unión como del Derecho nacional en materia, en particular, de protección de los derechos de los consumidores y de lucha contra las prácticas comerciales desleales”.
La protección colectiva de los derechos de los interesados en el RGPD
A tenor del artículo 4, punto 1, del Reglamento 2016/679 (LA LEY 6637/2016), un «interesado», en el sentido de este Reglamento, es «una persona física identificada o identificable». Cuando tal persona considere que sus datos personales han sido objeto de un tratamiento contrario a lo dispuesto en este Reglamento, dispone de distintos recursos.
Así, señala el Abogado General, en virtud del artículo 77 de dicho Reglamento, los interesados tienen derecho a presentar una reclamación ante una autoridad de control. Por otra parte, con arreglo al artículo 78 del Reglamento 2016/679 (LA LEY 6637/2016), dichos interesados tienen derecho a la tutela judicial efectiva contra una autoridad de control. Asimismo, el artículo 79, apartado 1, del mismo Reglamento confiere a cada interesado el derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud de dicho Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales efectuado contraviniendo el mismo Reglamento.
Y si bien los propios interesados pueden presentar una reclamación ante una autoridad de control o ejercitar los recursos jurisdiccionales anteriormente descrito, el artículo 80 del RGPD (LA LEY 6637/2016) establece la posibilidad, sujeta a ciertos requisitos, de que estos interesados sean representados por una entidad, organización o asociación sin ánimo de lucro.
Por lo tanto, añade, el artículo 80 del Reglamento 2016/679 (LA LEY 6637/2016) se enmarca en la tendencia consistente en desarrollar las acciones de representación ejercitadas por tales entidades con el fin de defender intereses generales o colectivos como un medio para reforzar el acceso a la justicia de las personas afectadas por la infracción de las normas en cuestión.
En el caso analizado, advierte el Abogado General, habida cuenta de que la acción ejercitada por la Federación no se fundamenta en el mandato de un interesado, la disposición pertinente en el marco del presente procedimiento prejudicial es el artículo 80, apartado 2, del Reglamento 2016/679 (LA LEY 6637/2016).
Características particulares del RGPD en materia de acciones colectivas
El Abogado General comienza destacando a este respecto que, si bien la protección de los datos personales sea, por su propia naturaleza, transversal, la armonización efectuada por el RGPD está limitada a los aspectos específicamente cubiertos por este Reglamento en dicho ámbito. “Fuera de estos, los Estados miembros siguen siendo libres de legislar, siempre y cuando no menoscaben el contenido ni los objetivos de dicho Reglamento”.
En este sentido, el empleo de la palabra «podrán», en el artículo 80, apartado 2, del RGPD constituye un ejemplo de disposición facultativa que ofrece a los Estados miembros un margen de apreciación para su aplicación.
Y si bien no puede considerarse que el dicho apartado 2 haya realizado una armonización plena en relación con las acciones de representación sin mandato en materia de protección de datos personales, cuando aplican esta disposición en su Derecho nacional, los Estados miembros deben respetar las condiciones y los límites con los que el legislador de la Unión ha decidido delimitar el ejercicio de la posibilidad prevista en dicha disposición.
Debe tenerse en cuenta, por otra parte, que, tras la entrada en vigor del RGPD el legislador alemán no ha adoptado ninguna disposición específicamente destinada a aplicar en su Derecho nacional el artículo 80, apartado 2.
Debe evitarse una Interpretación literal estricta del artículo 80, apartado 2, del RGPD (LA LEY 6637/2016)
A tenor del artículo 80, apartado 2, del Reglamento 2016/679 (LA LEY 6637/2016), las acciones de representación previstas en él pueden ser ejercitadas por «cualquier entidad, organización o asociación mencionada en el apartado 1» de dicho artículo. En opinión del Abogado General, la definición de “entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales” contenida en el art. 80.1 del RGPD (LA LEY 6637/2016) no puede limitarse a las entidades que tienen como único y exclusivo objetivo la protección de los datos personales, sino que se extiende a todas aquellas que persiguen un objetivo de interés público relacionado con la protección de datos personales.
Así sucede en el caso de las asociaciones de defensa de los intereses de los consumidores, como la Federación actora, que se encargan de interponer acciones de cesación de comportamientos que, al infringir lo dispuesto en dicho Reglamento, infringen también normas en materia de protección de los consumidores o de lucha contra la competencia desleal.
Según el tenor del citado artículo 80, apartado 2, la acción de representación puede ser ejercitada por una entidad que cumpla los requisitos mencionados en el apartado 1 de este artículo si «considera que los derechos del interesado con arreglo a[ dicho Reglamento] han sido vulnerados como consecuencia de un tratamiento». Sin embargo, en opinión del Abogado General, no parece “que esta última parte de la frase deba interpretarse de forma estricta, en el sentido de que, para estar legitimada para actuar de conformidad con lo previsto en el artículo 80, apartado 2, del Reglamento 2016/679 (LA LEY 6637/2016), una entidad deba identificar previamente a una o varias personas concretamente afectadas por el tratamiento en cuestión”.
De ello se deduce lógicamente que, al amparo de esta disposición, no puede exigirse que una entidad alegue la existencia de casos concretos relativos a personas identificadas de forma individualizada para que pueda estar facultada para actuar de conformidad con lo previsto en la mencionada disposición.
Por ello, el Abogado General considera que “el ejercicio de una acción de representación al amparo del artículo 80, apartado 2, del Reglamento 2016/679 (LA LEY 6637/2016) supone únicamente que se debe alegar la existencia de un tratamiento de datos personales contrario a las disposiciones de dicho Reglamento que protegen derechos individuales, y, por tanto, que pueda afectar a los derechos de personas identificadas o identificables, sin que la legitimación activa de una entidad esté sujeta a la comprobación caso por caso de si se han vulnerado los derechos de una o varias personas”. Esta acción debe basarse en la vulneración de los derechos que dicho Reglamento otorga a las personas físicas a resultas del tratamiento de sus datos personales y no tiene por objeto proteger un Derecho objetivo, sino únicamente los derechos subjetivos que el Reglamento 2016/679 (LA LEY 6637/2016) concede directamente a los interesados.
En otras palabras, la cláusula de apertura que aparece en el artículo 80, apartado 2, de este Reglamento está dirigida a permitir a las entidades autorizadas solicitar a una autoridad de control o a un órgano jurisdiccional que comprueben si los responsables del tratamiento cumplen las normas que protegen a los interesados contenidas en el referido Reglamento.
Desde esta perspectiva, para que una entidad tenga legitimación activa en virtud de esta disposición, basta con que invoque la infracción de las disposiciones del Reglamento 2016/679 (LA LEY 6637/2016) que tienen por objeto proteger los derechos subjetivos de los interesados.
En definitiva, el Abogado General considera que el apartado 2 del citado artículo 80 debe ser objeto de una interpretación que salvaguarde su efecto útil en relación con el apartado 1 de ese artículo, y entenderse en el sentido de que el artículo 80, apartado 2, de dicho Reglamento va más allá de la representación de casos individuales, que constituye el objeto del apartado 1 del mencionado artículo, al abrir la posibilidad de la representación, a iniciativa de las entidades autorizadas y de forma autónoma, de los intereses colectivos de las personas que son objeto de un tratamiento de sus datos personales contrario a lo dispuesto en el Reglamento 2016/679 (LA LEY 6637/2016).
Añade que, una interpretación estricta del artículo 80, apartado 2, del RGPD contrapone de manera errónea la defensa de los intereses colectivos de los consumidores y la protección de los derechos de cada persona que es objeto de un tratamiento que supuestamente infringe dicho Reglamento.
Por todo lo anterio, deduce que el repetido apartado 2 del artículo 80, autoriza a los Estados miembros a establecer la posibilidad de que las entidades habilitadas ejerciten, sin mandato de los interesados, acciones de representación dirigidas a proteger los intereses colectivos de los consumidores, siempre que se alegue la infracción de disposiciones de dicho Reglamento que tengan por objeto conferir derechos subjetivos a los interesados.
Concluye indicando que “Iría en contra del objetivo de garantizar un elevado nivel de protección de los datos personales impedir a los Estados miembros establecer acciones que, a la vez que persiguen un objetivo de protección de los consumidores, contribuyan también a alcanzar el objetivo de protección de los datos personales” y que “Al igual que sucedía en el caso de la Directiva 95/46 (LA LEY 5793/1995), sigue pudiendo afirmarse, tras la entrada en vigor del Reglamento 2016/679 (LA LEY 6637/2016), que el reconocimiento de la legitimación de las asociaciones de defensa de los intereses de los consumidores con el fin de lograr el cese de los tratamientos contrarios a las disposiciones de dicho Reglamento contribuye a reforzar los derechos de los interesados a través de las acciones colectivas.” Y es que, “en la era de la economía digital, los interesados a menudo son consumidores”, “motivo por el cual las normas dirigidas a proteger a los consumidores se emplean a menudo para garantizar la protección de estos frente a un tratamiento de sus datos personales contrario a lo dispuesto en el Reglamento 2016/679”.