Asunto C‑701/20
Meta platforms Ireland Limited, anteriormente Facebook Ireland Limited
contra
Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V
(Petición de decisión prejudicial planteada por el Bundesgerichtshof)
Sentencia del Tribunal de Justicia (Sala Tercera) de 28 de abril de 2022
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 80 — Representación de los interesados por una asociación sin ánimo de lucro — Acción de representación entablada por una asociación de defensa de los intereses de los consumidores sin mandato y con independencia de la vulneración de derechos concretos de un interesado — Acción basada en la prohibición de prácticas comerciales desleales, la infracción de una ley en materia de protección de los consumidores o la prohibición del uso de condiciones generales nulas»
Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento 2016/679 — Representación de los interesados — Legitimación activa — Asociación de defensa de los intereses de los consumidores — Acción de representación entablada por esta asociación sin mandato y con independencia de la vulneración de derechos concretos de un interesado — Acción basada en la infracción de normas relativas a la protección de los consumidores o a la lucha contra las prácticas comerciales desleales — Procedencia — Requisito
[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, art. 80, ap. 2]
(véanse los apartados 57 a 60, 63 a 79 y 83 y el fallo)
Resumen
Meta Platforms Ireland gestiona la oferta de servicios de la red social en línea Facebook y es la responsable del tratamiento de los datos personales de los usuarios de esta red en la Unión. La plataforma de Internet Facebook contiene un espacio denominado «App-Zentrum» (Centro de Aplicaciones) en el que Facebook Ireland pone a disposición de sus usuarios, en particular, juegos gratuitos suministrados por terceros. Al consultar algunos de estos juegos, el usuario es advertido de que el uso de la aplicación en cuestión permite a la sociedad que facilita los juegos obtener determinados datos personales y la autoriza a realizar publicaciones en su nombre. El uso de esta aplicación, conlleva la aceptación de sus condiciones generales y su política en materia de protección de datos. Asimismo, en el caso del juego «Scrabble», se informa al usuario de que se autoriza a la aplicación a publicar actualizaciones de estado, fotografías y otros datos en su nombre.
La Federación alemana de Organizaciones y Asociaciones de Consumidores (1) estimó que las advertencias mostradas en los juegos del Centro de Aplicaciones a que se ha hecho referencia eran desleales. Por lo tanto, como entidad legitimada para solicitar el cese de las infracciones de la legislación en materia de protección de los consumidores, (2) la Federación ejercitó una acción de cesación contra Meta Platforms Ireland. Esta acción se ejercitó desvinculada de una vulneración concreta del derecho a la protección de los datos personales de un interesado y sin un mandato de este. La resolución que estimó dicha acción fue recurrida en apelación por Meta Platforms Ireland, que, tras ver desestimado dicho recurso, recurrió en casación ante el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania). Al albergar dudas sobre la admisibilidad de la acción de la Federación y, en particular, en lo que respecta a su legitimación para ejercitar acciones contra Meta Platforms Ireland, dicho órgano jurisdiccional acudió ante el Tribunal de Justicia.
En su sentencia, el Tribunal de Justicia declara que el artículo 80, apartado 2, del Reglamento General de Protección de Datos no se opone a que una asociación de defensa de los intereses de los consumidores pueda ejercitar acciones judiciales contra el presunto infractor de una normativa en materia de protección de los consumidores, invocando el incumplimiento de la prohibición de prácticas comerciales desleales, de una ley en materia de protección de los consumidores o de la prohibición del uso de condiciones generales nulas. Tal acción es posible toda vez que el tratamiento de datos de que se trate pueda afectar a los derechos que el Reglamento General de Protección de Datos confiere a personas físicas identificadas o identificables.
Apreciación del Tribunal de Justicia
Antes de nada, el Tribunal de Justicia señala que si bien el Reglamento General de Protección de Datos (3) aspira a garantizar una armonización de las legislaciones nacionales en materia de protección de datos personales, el artículo 80, apartado 2, de dicho Reglamento forma parte de aquellas disposiciones que dejan un margen de apreciación en lo que respecta a su aplicación. Así, para que pueda ejercitarse la acción de representación sin mandato prevista en el artículo 80, apartado 2, de dicho Reglamento, los Estados miembros deben hacer uso de la facultad que les otorga esta disposición de prever en su Derecho nacional esta forma de representación de los interesados. No obstante, al ejercer esta facultad, los Estados miembros deben hacer uso de su margen de apreciación respetando las condiciones y los límites establecidos por el Reglamento General de Protección de Datos y legislar de tal modo que el contenido y los objetivos de dicho Reglamento no resulten menoscabados.
A continuación, el Tribunal de Justicia subraya que, al ofrecer a los Estados miembros la posibilidad de contemplar el mecanismo de la acción de representación contra el presunto infractor de una normativa en materia de protección de datos personales, el artículo 80, apartado 2, del Reglamento General de Protección de Datos establece una serie de requisitos que deben cumplirse. Así, en primer término, se reconoce la legitimación activa de una entidad, organización o asociación que cumpla los criterios enumerados en el Reglamento General de Protección de Datos. (4) Puede quedar incluida en este concepto una asociación de defensa de los intereses de los consumidores como la Federación, que persigue un objetivo de interés público consistente en la protección de los derechos y las libertades de los interesados en su condición de consumidores, en tanto en cuanto la consecución de tal objetivo puede estar vinculada a la protección de los datos personales de estos. En segundo término, el ejercicio de dicha acción de representación presupone que la entidad en cuestión, con independencia de un mandato conferido a tal fin, considera que los derechos que el Reglamento General de Protección de Datos confiere a un interesado han sido vulnerados como consecuencia del tratamiento de sus datos personales.
Así pues, por un lado, el ejercicio de una acción de representación (5) no exige la identificación individual previa por la entidad en cuestión de la persona concretamente afectada por un tratamiento de datos supuestamente contrario a las disposiciones del Reglamento General de Protección de Datos. A tal efecto, la designación de una categoría o grupo de interesados por dicho tratamiento también puede ser suficiente. (6)
Por otro lado, el ejercicio de dicha acción no exige una vulneración concreta de los derechos que el Reglamento General de Protección de Datos confiere a una persona. En efecto, para reconocer la legitimación activa de una entidad basta con alegar que el tratamiento de datos de que se trate puede afectar a los derechos que dicho Reglamento confiere a las personas físicas identificadas o identificables, sin que sea necesario acreditar el perjuicio real sufrido por el interesado, en una situación determinada, por la lesión de sus derechos. Así pues, a la luz del objetivo perseguido por el Reglamento General de Protección de Datos, el hecho de facultar a asociaciones de defensa de los intereses de los consumidores, como la Federación, para ejercitar, mediante el mecanismo de la acción de representación, acciones dirigidas al cese de tratamientos contrarios a las disposiciones de dicho Reglamento, con independencia de la vulneración de los derechos de una persona afectada de forma individual y concreta por dicha vulneración, indiscutiblemente contribuye a reforzar los derechos de los interesados y a asegurarles un nivel elevado de protección.
Por último, el Tribunal de Justicia precisa que la infracción de una norma en materia de protección de datos personales puede constituir simultáneamente una infracción de las normas relativas a la protección de los consumidores o a las prácticas comerciales desleales. En efecto, el Reglamento General de Protección de Datos permite a los Estados miembros facultar a las asociaciones de defensa de los intereses de los consumidores para ejercitar acciones contra las vulneraciones de los derechos contemplados en dicho Reglamento mediante normas que tengan por objeto proteger a los consumidores o luchar contra prácticas comerciales desleales.