Con sentencia de 28 de abril de 2022 dictada en el asunto C-319/201 (Meta Platforms Ireland Limited v Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV), el Tribunal de Justicia de la Unión Europea (CGEU) dictaminó que los consumidores pueden emprender acciones legales contra sujeto por supuestas lesiones del RGPD (Reglamento General de Protección de Datos UE N° 2016/679), con independencia de la vulneración real del derecho de protección de datos de un interesado y en ausencia de mandato, conferido al efecto por el perjudicado fiesta.
La Unión Federal de Asociaciones Centrales y de Consumidores de Alemania había presentado una medida cautelar contra Meta Platforms Ireland (anteriormente Facebook), acusándola de la violación de la legislación vigente en materia de protección de datos personales, competencia desleal y protección al consumidor.
Al acceder a ciertos juegos proporcionados por Meta en el espacio virtual denominado "App-Zentrum", se informa al usuario que el uso de la aplicación le permite a Meta obtener una cierta cantidad de datos personales y acepta las condiciones generales de la aplicación y política en materia de protección de datos, se autorizó la publicación, en nombre del propio usuario, de los suyos propios estado, sus fotos, su nombre y una serie de otros datos personales.
la unión federal, a pesar de no haber recibido mandato alguno por parte de los usuarios del redes sociales, propuso una medida cautelar contra Meta ante la Landgericht Berlín (Tribunal del Land de Berlín) alegando que las notificaciones proporcionadas por Meta se caracterizaron por ser abusivas, debido al incumplimiento de los requisitos para la obtención del consentimiento válido del usuario, según la legislación vigente en materia de protección de datos.
Después de dos grados de juicio a favor de la asociación de consumidores, el Tribunal Supremo alemán, Bundesgerichtshof, ha planteado el problema relativo a la capacidad de la asociación de consumidores para emprender un juicio en ausencia de un mandato específico de un usuario, habiendo entrado en vigor el RGPD y él También cuestionó la legitimidad de la protección preventiva.
dicho reglamento, en efecto, prevé una disciplina específica en materia de representación por parte de organizaciones o asociaciones sin ánimo de lucro, previendo que el órgano de representación debe, con carácter general, haber recibido un mandato idóneo y que cada Estado miembro podrá, en todo caso, admitir la legitimación para actuar de una entidad que tenga objetivos legales de interés público y que opere en el ámbito de la protección de datos personales, aunque no haya recibido un mandato específico, siempre que, tras el tratamiento de datos personales, se consideren vulnerados los derechos de el interesado
Según el tribunal alemana, la redacción de la ley parecía referirse a la vulneración de los derechos del interesado como consecuencia directa del tratamiento de datos personales. En consecuencia, no hubiera sido posible la tutela preventiva respecto de la violación efectiva de los datos personales de una persona física.
si no estás seguro la Audiencia Nacional decidió suspender el procedimiento y someter al Tribunal de Justicia de las Comunidades Europeas la cuestión prejudicial relativa a la posibilidad o no de que una asociación de defensa de los consumidores entable acciones judiciales contra el autor de actos, aunque solo sean potencialmente perjudiciales para la protección de datos personales, operando así de antemano, respecto de la violación concreta de los datos personales de una persona física y por lo tanto, aun en ausencia de mandato específico.
el tribunal europeo, señaló que si bien el RGPD fue introducido por el legislador europeo, reemplazando la regulación anterior, también con el propósito específico de ofrecer una disciplina común a todos los Estados miembros en materia de protección de datos personales, también otorga márgenes de discrecionalidad a los Estados miembros.
por lo tanto, según el Tribunal, un órgano de representación puede actuar para proteger la correcta aplicación de las normas sobre datos personales sin haber recibido previamente un mandato específico, solo si así lo prevé el derecho interno del Estado miembro individual, por una ley nacional de armonización legislativa.
El TJUE también destacó que una asociación de protección al consumidor, como la Unión Federal, cae dentro de la noción de "organismo con derecho a actuar" de conformidad con el RGPD, ya que persigue el objetivo de interés público de garantizar los derechos de los consumidores y cumple con los criterios mencionados en Artículo 80 (1) del RGPD2.
En este caso, es cierto que el legislador alemán no había adoptado ninguna disposición particular al respecto tras la entrada en vigor del RGPD, pero en ese ordenamiento ya existía la legitimación de los órganos de representación para la protección de los consumidores, al haber sido impuesta por un anterior ley
sobre luego, a la legitimidad de la tutela anticipatoria a falta de mandato específico, el TJUE resuelve la cuestión de forma afirmativa, dictaminando que, para reconocer la legitimidad de un órgano representativo, como una asociación de consumidores, no es necesario que la violación de los datos personales de una persona física ya se haya materializado, bastando que el tratamiento de los datos impugnados sea apto para lesionar los derechos de los interesados.
el tribunal europeo abre, por tanto, a acciones cautelares colectivas también en materia de protección de datos personales, de acuerdo con el objetivo del Reglamento europeo, que consiste en garantizar un alto nivel de protección en el ámbito de la política de privacidad, sin embargo, sin olvidar la necesidad de una ley nacional que implemente el artículo 80 del RGPD.
"El RGPD no se opone a la legislación nacional, que permite a una asociación para la protección de los intereses de los consumidores emprender acciones legales, en ausencia de un mandato que se le haya otorgado a tal efecto e independientemente de la violación de derechos específicos de los interesados, contra el presunto autor de un acto lesivo a la protección de datos personales, alegando la violación de la prohibición de prácticas comerciales desleales, la violación de una ley de protección al consumidor o la violación de la prohibición de uso de las condiciones generales nulas, si el tratamiento de los datos en cuestión sea susceptible de perjudicar los derechos que la citada normativa reconoce a las personas físicas identificadas o identificables"
La corte de Viena, con sentencia del 26/5/2021, estableció la legitimidad de las acciones iniciadas por un instituto de protección al consumidor de Austria, por violación del RGPD, aplicando directamente el artículo 80, párrafo 2 del RGPD, independientemente de una norma de armonización legislativa nacional.
Los jueces austriacos han considerado que ya existe una legitimidad de las asociaciones de consumidores para materias distintas política de privacidad y la prórroga se consideró automática, sobre la base del considerando 42 del RGPD, que hace referencia explícita a la directiva sobre cláusulas abusivas en los contratos de consumo (93/13/CEE) 3.
En otras palabras, el Tribunal de Viena ha inferido de las normas del Derecho de la Unión directamente aplicables la legitimidad activa de las asociaciones comerciales para actuar en una medida cautelar.
En el ordenamiento jurídico italiano el código del consumidor (Decreto Legislativo 206/2005) 4 y el Código de Procedimiento Civil (artículos 840-bis y siguientes, sobre la acción colectiva) ya prevén la legitimación de las asociaciones de consumidores, también para promover acciones cautelares, de conformidad con el artículo 80, apartado 2, del RGPD.
La decision del TJUE ciertamente ha contribuido a innovar el alcance del art. 80 del RGPD, ampliando el ámbito de aplicación a la protección de datos personales.
Un indudable paso adelante para proteger la privacidad del ciudadano individual.
Elena Bosani
Imagen de portada por Chappatte
(1) CURIA - Lista de resultados (europa.eu)
(2) Art. 80 RGPD - Reglamento General de Protección de Datos (UE/2016/679) Representación de los interesados
1. El interesado tiene derecho a otorgar un mandato a un organismo, organización o asociación sin ánimo de lucro, debidamente constituida con arreglo a la legislación de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en lo que respecta a la protección de datos personales, a presentar una reclamación en su nombre y a ejercer en su nombre los derechos a que se refieren los artículos 77, 78 y 79, así como, si así lo prevén Estados miembros, el derecho a obtener la compensación a que se refiere el artículo 82.
2. Los Estados miembros podrán disponer que un organismo, organización o asociación a que se refiere el apartado 1 del presente artículo, independientemente del mandato otorgado por el interesado, tenga derecho a presentar una reclamación ante la autoridad de control competente de ese Estado miembro. y ejercer los derechos a que se refieren los artículos 78 y 79, si considera que con motivo del tratamiento se han vulnerado los derechos de los que goza un interesado en virtud de este reglamento.
(3) Proteger a los consumidores de cláusulas contractuales abusivas (europa.eu)
(4) Decreto Legislativo 206/05 (cámara.es)
Abogado en Milán y Frankfurt am Main. Experta en derecho de familia, juvenil y penal, ahora está matriculada en un máster universitario en derecho alimentario