Las asociaciones de consumidores pueden demandar a infractores de protección de datos en la UE
Publicado el 24th mayo 2022
La sentencia del Tribunal de Justicia de la Unión Europea muestra una vez más el elevado nivel de protección del consumidor por parte de las instituciones europeas y tendrá un alto impacto en las empresas que operan en el sector B2C (business-to-consumer).
El Tribunal de Justicia de la Unión Europea ("TJUE") ha clarificado en su sentencia de 28 de abril que el Reglamento General de Protección de Datos ("RGPD") no se opone a que una normativa nacional permita a las asociaciones de consumidores ejercitar acciones contra infractores de la normativa de protección de datos personales. Estas acciones pueden ejercitarse sin un mandato conferido a tal fin e independientemente de la vulneración concreta del derecho de los interesados.
El litigio que da origen a esta decisión del Tribunal de Justicia de la Unión Europea se produce en Alemania en 2014, cuando una asociación para la defensa de los consumidores interpone una acción de cesación contra una plataforma de redes sociales ante el Tribunal Regional de lo Civil y Penal. La asociación consideró que no era válido el método empleado por la plataforma para obtener el consentimiento de los usuarios que acceden a juegos gratuitos suministrados por terceros a través del centro de aplicaciones de la plataforma y que, por lo tanto, ésta infringía la normativa en materia de protección de datos, la legislación de competencia desleal, las normas de protección de los consumidores y la prohibición de uso de condiciones generales de contratación nulas, de conformidad con la legislación alemana.
Cuestión prejudicial sobre la legitimación
Tras la desestimación del recurso de apelación, la plataforma interpuso un recurso de casación ante el Tribunal Supremo de lo Civil y Penal de Alemania, quien dudó de la legitimación de la asociación para interponer esta acción contra la plataforma y decidió plantear la cuestión prejudicial ante el TJUE de si la legitimación de la asociación, en virtud de la legislación alemana, para interponer acciones judiciales contra la plataforma, sin mandato conferido a tal fin y con independencia de la vulneración de derechos concretos del interesado, es contraria a lo dispuesto en el artículo 80 y 84 del RGPD.
Para responder a esta cuestión, el TJUE recordó que aunque el RGPD tiene, con carácter general, efecto directo en los ordenamientos jurídicos de los Estados miembros, algunas disposiciones requieren para su ejecución la adopción de medidas de aplicación en la legislación de dichos estados. Éste es el caso del artículo 80.2 sobre el que el TJUE centró el análisis de la cuestión prejudicial y que faculta a los Estados miembros a reconocer en su Derecho nacional la posibilidad de ejercitar acciones de representación sin mandato en materia de protección de datos, siempre que se cumplan con una serie de requisitos relacionados con el ámbito de aplicación personal y material por parte de las entidades que las ejerzan. En lo que a esto respecta, en la sentencia del caso Fashion ID, la cual analizamos en nuestro artículo "Sentencia C-40/17 del TJUE: ¿qué implicaciones tiene el botón "me gusta" en materia de protección de datos? ", el TJUE dictaminó que la normativa alemana – también objeto de este litigio – que faculta a las asociaciones de defensa de los consumidores a ejercitar acciones judiciales contra los infractores de la normativa de protección de datos no era contraria a la Directiva 95/46 (sustituida por el RGPD).
En cuanto al ámbito de aplicación personal, el TJUE consideró cumplidos los requisitos del artículo 80.1 del RGPD en cuanto que la asociación persigue un objetivo de interés público consistente en garantizar los derechos y libertades de los interesados como consumidores y que la consecución de dicho objetivo puede estar vinculada a la protección de los datos personales.
Por lo que respecta al ámbito de aplicación material, el TJUE interpretó el artículo 80.2 del RGPD en el sentido de que para interponer estas acciones de representación no es necesario (i) que la entidad que representa a los interesados identifique previamente y de forma individual a la persona que tiene específicamente la condición de interesado afectado por el tratamiento de datos contrario a las disposiciones del RGPD, siendo suficiente designar a una categoría o grupo de interesados, ni (ii) alegar una vulneración concreta de los derechos conferidos por la normativa de protección de datos ni la existencia de un perjuicio real sufrido por el interesado como consecuencia de la vulneración de sus derechos.
En base a todo lo expuesto, este Tribunal concluyó que el artículo 80.2 del RGPD no es contrario a normativas nacionales que permiten a asociaciones de defensa de los consumidores el ejercicio de acciones judiciales sin que el individuo afectado haya conferido expresamente un mandato a la asociación a tal fin y con independencia de que se hayan vulnerado derechos concretos de los interesados, siendo posible invocar el incumplimiento de normativas conexas a la protección de datos personales como lo son la legislación de protección de los consumidores, de prácticas comerciales desleales o la prohibición de uso de condiciones generales nulas en la medida en que se traten datos personales de los individuos afectados de manera contraria al RGPD.
Comentario de Osborne Clarke
Esta decisión muestra una vez más el elevado nivel de protección del consumidor por parte de las instituciones europeas y tendrá un impacto particular en las empresas que operan en el sector B2C (business-to-consumer), ya que el cumplimiento del RGPD estará en el ojo de mira de las asociaciones de protección de los consumidores quienes, sin lugar a dudas, perseguirán proactivamente las infracciones de esta normativa sin mediar mandato especifico a tal efecto.