Edición provisional
CONCLUSIONES DEL ABOGADO GENERAL
SR. JEAN RICHARD DE LA TOUR
presentadas el 25 de enero de 2024 (1)
Asunto C‑757/22
Meta Platforms Ireland Limited
contra
Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V.
[Petición de decisión prejudicial planteada por el Bundesgerichtshof (Tribunal Supremo Federal de lo Civil y Penal, Alemania)]
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 12, apartado 1, frase primera — Transparencia de la información — Artículo 13, apartado 1, letras c) y e) — Obligación de información del responsable del tratamiento — Artículo 80, apartado 2 — Representación de los interesados por una asociación de defensa de los intereses de los consumidores — Acción de representación entablada sin mandato y con independencia de la vulneración de derechos concretos de un interesado — Acción basada en el incumplimiento de la obligación de información del responsable del tratamiento — Concepto de “vulneración de los derechos de un interesado ‘como consecuencia de un tratamiento’”»
I. Antecedentes del asunto, hechos del litigio principal y nueva cuestión prejudicial
1. En el presente asunto, el Bundesgerichtshof (Tribunal Supremo Federal de lo Civil y Penal, Alemania) plantea de nuevo una cuestión prejudicial relativa a la interpretación del artículo 80, apartado 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos). (2)
2. De conformidad con esa disposición, los Estados miembros pueden disponer que cualquier entidad, organización o asociación, con independencia del mandato del interesado, tenga derecho a presentar en ese Estado miembro una reclamación ante la autoridad de control que sea competente en virtud del artículo 77 de dicho Reglamento y a ejercer los derechos contemplados en los artículos 78 y 79 del mismo Reglamento, si considera que los derechos del interesado con arreglo al referido Reglamento han sido vulnerados como consecuencia de un tratamiento de datos personales.
3. La petición de decisión prejudicial se ha presentado en el contexto de un litigio entre Meta Platforms Ireland Limited, anteriormente Facebook Ireland Limited, con domicilio social en Irlanda, y el Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V. (Federación alemana de Organizaciones y Asociaciones de Consumidores, Alemania; en lo sucesivo, «Federación») en relación con la presunta infracción por parte de Meta Platforms Ireland de la normativa alemana sobre protección de datos personales que constituye, a la vez, una práctica comercial desleal, una infracción de la legislación en materia de protección de los consumidores y un incumplimiento de la prohibición del uso de condiciones generales nulas.
4. Se trata del mismo litigio que dio lugar al asunto en el que se dictó la sentencia de 28 de abril de 2022, Meta Platforms Ireland, (3) cuyos hechos pueden resumirse del siguiente modo. (4)
5. Meta Platforms Ireland, que gestiona la oferta de servicios de la red social en línea Facebook en la Unión Europea, es la responsable del tratamiento de los datos personales de los usuarios de esta red social en la Unión. Facebook Germany GmbH, con domicilio social en Alemania, promueve bajo la dirección www.facebook.de la venta de espacios publicitarios. La plataforma de Internet Facebook contiene, en particular en la dirección de Internet www.facebook.de, un espacio denominado «App-Zentrum» (Centro de Aplicaciones) en el que Meta Platforms Ireland pone a disposición de sus usuarios juegos gratuitos suministrados por terceros. Al consultar en el Centro de Aplicaciones algunos de estos juegos, se muestra al usuario una advertencia según la cual la utilización de la aplicación en cuestión permite a la sociedad que facilita los juegos obtener determinados datos personales y la autoriza a realizar publicaciones, en nombre del usuario, de cierta información, como su puntuación. Este uso conlleva la aceptación por el usuario de las condiciones generales de la aplicación y de su política de protección de datos. Asimismo, en el caso concreto de uno de los juegos, aparece la advertencia de que se autoriza a la aplicación a publicar actualizaciones de estado, fotografías y otros datos en nombre del usuario.
6. La Federación, entidad legitimada para ejercitar acciones en virtud del artículo 4 de la Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) [Ley sobre las Acciones de Cesación referidas a Infracciones del Derecho en Materia de Consumo u Otras Infracciones], de 26 de noviembre de 2001, (5) considera que las advertencias que se muestran en los juegos del Centro de Aplicaciones son desleales, en particular, por incumplir los requisitos legales para la obtención de un consentimiento válido del usuario con arreglo a la normativa en materia de protección de datos. Asimismo, esta entidad considera que la advertencia según la cual se autoriza a la aplicación a publicar, en nombre del usuario, determinados datos personales constituye una condición general de la contratación que perjudica indebidamente al usuario.
7. En este contexto, la Federación ejercitó ante el Landgericht Berlin (Tribunal Regional de lo Civil y Penal de Berlín, Alemania) una acción de cesación contra Meta Platforms Ireland al amparo del artículo 3a de la Gesetz gegen den unlauteren Wettbewerb (Ley contra la Competencia Desleal), de 3 de julio de 2004, (6) del artículo 2, apartado 2, primera frase, punto 11, de la Ley relativa a las Acciones de Cesación y del Bürgerliches Gesetzbuch (Código Civil). Esta acción se ejercitó desvinculada de cualquier vulneración concreta del derecho a la protección de los datos de un interesado y sin que mediara mandato de tal persona.
8. El Landgericht Berlin (Tribunal Regional de lo Civil y Penal de Berlín) condenó a Meta Platforms Ireland conforme a las pretensiones de la Federación. El recurso de apelación interpuesto por Meta Platforms Ireland ante el Kammergericht Berlin (Tribunal Superior Regional de lo Civil y Penal de Berlín, Alemania) fue desestimado. A continuación, Meta Platforms Ireland interpuso ante el órgano jurisdiccional remitente un recurso de casación contra la resolución desestimatoria del órgano jurisdiccional de apelación.
9. En el marco de dicho recurso, el órgano jurisdiccional remitente consideró fundada la acción de la Federación, por estimar que Meta Platforms Ireland infringió el artículo 3a de la Ley contra la Competencia Desleal, así como el artículo 2, apartado 2, primera frase, punto 11, de la Ley relativa a las Acciones de Cesación, y empleó una condición general de la contratación nula, en el sentido del artículo 1 de la Ley relativa a las Acciones de Cesación.
10. No obstante, dicho órgano jurisdiccional albergaba dudas acerca de la admisibilidad de la acción de la Federación. En particular, se preguntaba si la Federación podía tener legitimación activa en virtud del artículo 80, apartado 2, del RGPD. Por ello, planteó al Tribunal de Justicia una cuestión prejudicial para que interpretara este precepto.
11. En respuesta a esa cuestión prejudicial, el Tribunal de Justicia declaró, en su sentencia Meta Platforms Ireland, que el artículo 80, apartado 2, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que permite a una asociación de defensa de los intereses de los consumidores ejercitar acciones judiciales, sin mandato conferido a tal fin y con independencia de la vulneración de derechos concretos de los interesados, contra el presunto infractor de la normativa en materia de protección de datos personales, invocando el incumplimiento de la prohibición de prácticas comerciales desleales, de una ley en materia de protección de los consumidores o de la prohibición del uso de condiciones generales nulas, toda vez que el tratamiento de los datos de que se trate pueda afectar a los derechos que este Reglamento confiere a personas físicas identificadas o identificables. (7)
12. De este modo, el Tribunal de Justicia precisó el ámbito de aplicación material del mecanismo de la acción de representación contra el presunto autor de una infracción en materia de protección de datos personales, que se prevé en el artículo 80, apartado 2, del RGPD.
13. En particular, el Tribunal de Justicia declaró que, a efectos del ejercicio de la acción de representación, no puede exigirse a una entidad que reúna los requisitos mencionados en el artículo 80, apartado 1, del RGPD que lleve previamente a cabo la identificación individual de la persona que tenga específicamente la condición de interesado por un tratamiento de datos supuestamente contrario a las disposiciones de dicho Reglamento. (8) Por tanto, la designación de una categoría o grupo de interesados por dicho tratamiento también puede ser suficiente a efectos de la interposición de tal acción de representación. (9)
14. El Tribunal de Justicia afirmó asimismo que, en virtud del artículo 80, apartado 2, del RGPD, el ejercicio de una acción de representación tampoco está supeditado a la existencia de una vulneración concreta de los derechos que las normas en materia de protección de datos confieren a una persona. (10) En efecto, según el Tribunal de Justicia, el ejercicio de una acción de representación únicamente presupone que la entidad a que se refiere esa disposición «considera» que los derechos de un interesado previstos en dicho Reglamento han sido vulnerados por el tratamiento de sus datos personales y, por tanto, alega la existencia de un tratamiento de datos contrario a las disposiciones del referido Reglamento. (11) De ello se deduce que, para reconocer la legitimación activa de tal entidad en virtud del artículo 80, apartado 2, del RGPD, basta con alegar que el tratamiento de datos de que se trate puede afectar a los derechos que dicho Reglamento confiere a personas físicas identificadas o identificables, sin que sea necesario probar un perjuicio real sufrido por el interesado, en una situación determinada, por la vulneración de sus derechos. (12)
15. Si bien el Tribunal de Justicia ya ha facilitado así al órgano jurisdiccional remitente indicaciones para poder determinar si la acción de cesación ejercitada por la Federación puede considerarse admisible conforme a los requisitos previstos en el artículo 80, apartado 2, del RGPD, estima que aún queda pendiente de resolver una duda acerca de la interpretación que debe darse a esta disposición. En efecto, el órgano jurisdiccional remitente subraya que la legitimación activa de la Federación depende de la cuestión de determinar si esa entidad alega en su recurso que se han vulnerado los derechos de un interesado «como consecuencia de un tratamiento», en el sentido de la citada disposición.
16. Según el órgano jurisdiccional remitente, no resulta evidente que, en las circunstancias del presente asunto, se cumpla este requisito relativo al ámbito de aplicación material del artículo 80, apartado 2, del RGPD.
17. En efecto, dicho órgano jurisdiccional señala que la Federación invoca, en apoyo de su acción, el incumplimiento de la obligación de información prevista en el artículo 12, apartado 1, primera frase, del RGPD, en relación con el artículo 13, apartado 1, letras c) y e), del mismo Reglamento, en lo que respecta a la finalidad del tratamiento de los datos y al destinatario de los datos personales. Según dicho órgano jurisdiccional, es preciso determinar si cabe considerar, por tanto, que la Federación puede invocar la vulneración de derechos «como consecuencia de un tratamiento», en el sentido del artículo 80, apartado 2, del citado Reglamento.
18. Más concretamente, el órgano jurisdiccional remitente estima, por una parte, que persiste una incertidumbre acerca de si, en el caso de autos, la obligación de información incumplida que se deriva de los artículos 12, apartado 1, primera frase, y 13, apartado 1, letras c) y e), del RGPD está comprendida en el concepto de «tratamiento», en el sentido del artículo 4, punto 2, del RGPD, y si ese concepto abarca también las situaciones previas a la recogida de los datos personales. (13)
19. Por otra parte, según el órgano jurisdiccional remitente, no está claro si, en un caso como el que es objeto del litigio principal, el incumplimiento de la obligación de información se ha producido «como consecuencia» de un tratamiento de datos personales, en el sentido del artículo 80, apartado 2, del RGPD. Dicho órgano jurisdiccional destaca, a este respecto, que la expresión «como consecuencia» podría apuntar a que la entidad que ejercita una acción de representación debe invocar, para que la acción sea admisible, la vulneración de los derechos de un interesado previstos en el referido Reglamento que resulte de una operación de tratamiento de datos, en el sentido del artículo 4, punto 2, del mismo Reglamento y que, por tanto, sea posterior a tal operación. (14)
20. En estas circunstancias, el Bundesgerichtshof (Tribunal Supremo Federal de lo Civil y Penal) decidió suspender de nuevo el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:
«¿Procede considerar que una asociación de defensa de los intereses de los consumidores que basa una demanda en la supuesta vulneración de los derechos de un interesado porque no se han cumplido las obligaciones de información sobre los fines del tratamiento y el destinatario de los datos personales, con arreglo al artículo 12, apartado 1, primera frase, en relación con el artículo 13, apartado 1, letras c) y e), del [RGPD], está alegando una vulneración de derechos [de un interesado] “como consecuencia de un tratamiento”, en el sentido del artículo 80, apartado 2, de dicho Reglamento?»
21. Han presentado observaciones escritas Meta Platforms Ireland, la Federación, los Gobiernos alemán y portugués, así como la Comisión Europea.
22. El 23 de noviembre de 2023, se celebró una vista oral, en la que comparecieron Meta Platforms Ireland, el Gobierno alemán y la Comisión.
II. Análisis
23. Como he señalado antes, el órgano jurisdiccional remitente alberga dudas acerca de si, en las circunstancias del presente asunto, la acción de representación ejercitada por la Federación cumple el requisito enunciado en el artículo 80, apartado 2, del RGPD, que exige que la entidad que entabla tal acción considere que los derechos de un interesado previstos en el RGPD han sido vulnerados «como consecuencia de un tratamiento» de datos personales.
24. A fin de entender el contexto en el que dicho órgano jurisdiccional solicita al Tribunal de Justicia aclaraciones adicionales sobre el ámbito de aplicación material de esta disposición, procede recordar que la Federación invoca, en apoyo de su acción, el incumplimiento de la obligación de información que incumbe a Meta Platforms Ireland sobre la finalidad y el alcance del consentimiento del usuario al tratamiento de sus datos personales. Más en concreto, el litigio tiene por objeto la presentación de juegos en el Centro de Aplicaciones que se encuentra en la plataforma de Internet de Meta Platforms Ireland y la advertencia de que la aplicación está autorizada a publicar determinados datos personales del usuario y el nombre de este. La Federación ejercitó esa acción con independencia de la vulneración de derechos concretos de un interesado y sin que ningún interesado le otorgara un mandato, lo cual es conforme con la citada disposición, tal como el Tribunal de Justicia ha reconocido en su sentencia Meta Platforms Ireland. (15)
25. Las diferencias de opinión en torno a si la Federación dispone de legitimación activa en virtud del artículo 80, apartado 2, del RGPD se centran ahora en la declaración del órgano jurisdiccional remitente según la cual la acción de representación ejercitada por esa entidad no tiene por objeto si Meta Platforms Ireland vulnera los derechos de un usuario en materia de protección de datos en el momento en que este pulsa el botón «Jugar ahora» o «Iniciar juego» en el Centro de Aplicaciones, desencadenando así, eventualmente, un tratamiento de sus datos personales. Asimismo, consta que tampoco es objeto de la acción ejercitada por la Federación la cuestión de si las operaciones automatizadas relacionadas con los datos personales de un usuario que tienen lugar después de pulsar esos botones vulneran los derechos de este último a la protección de sus datos.
26. En resumen, el litigio se circunscribe a la cuestión de dilucidar si es suficiente, para que tal asociación disponga de legitimación activa en virtud del artículo 80, apartado 2, del RGPD, que invoque el incumplimiento de una obligación de información sin criticar, en cuanto tal, el tratamiento de datos que resulta de pulsar el botón «Jugar ahora» o «Iniciar juego», siendo así que esa disposición exige que exista una vulneración de los derechos de un interesado «como consecuencia de un tratamiento».
27. Por ello, las preguntas del órgano jurisdiccional remitente se centran en dos elementos, a saber, por un lado, el alcance del concepto de «tratamiento» y, por otro, el significado de la expresión «como consecuencia de un tratamiento» que figura en la mencionada disposición.
28. Así pues, dicho órgano jurisdiccional pregunta si la obligación de comunicar al interesado, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, información relativa a los fines del tratamiento de los datos personales y al destinatario de los mismos, que se deriva de los artículos 12, apartado 1, primera frase, y 13, apartado 1, letras c) y e), del RGPD, está comprendida en el concepto de «tratamiento», en el sentido del artículo 4, punto 2, de dicho Reglamento.
29. A tenor del artículo 4, punto 2, del referido Reglamento, el «tratamiento» se define como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción».
30. De la redacción de esta disposición, en particular de la expresión «cualquier operación», se desprende que el legislador de la Unión quiso dar un alcance amplio al concepto de «tratamiento». Esta interpretación se ve corroborada por el carácter no exhaustivo, expresado por el vocablo «como», de las operaciones mencionadas en dicha disposición. (16) Según el Tribunal de Justicia, esta interpretación es coherente con el objetivo de garantizar la efectividad del derecho fundamental a la protección de las personas físicas en relación con el tratamiento de datos personales al que se refiere el considerando 1 del RGPD, que preside la aplicación de dicho Reglamento. (17)
31. En apoyo de la tesis según la cual la obligación de información que se deriva de los artículos 12, apartado 1, primera frase, y 13, apartado 1, letras c) y e), del RGPD podría estar comprendida en el concepto de «tratamiento», en el sentido del artículo 4, punto 2, de dicho Reglamento, el órgano jurisdiccional remitente invoca lo declarado por el Tribunal de Justicia en su sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales). (18)
32. En el asunto en el que recayó esa sentencia, el Valsts ieņēmumu dienests (Administración Tributaria del Estado, Letonia) solicitaba al operador económico en cuestión que renovara el acceso de los servicios de dicha Administración a los números de bastidor de los vehículos anunciados en su portal de Internet y a los números de teléfono de los vendedores y que le suministrase información sobre los anuncios publicados en ese portal.
33. En este contexto, el Tribunal de Justicia declaró que una solicitud en este sentido, por la que la Administración tributaria de un Estado miembro solicita a un operador económico que le comunique y ponga a su disposición datos personales, a lo cual este está obligado en virtud de la normativa nacional de dicho Estado miembro, implica un proceso de «recogida» de tales datos, en el sentido del artículo 4, punto 2, del RGPD. (19) El órgano jurisdiccional remitente deduce de ello, estableciendo una analogía con la situación controvertida en el litigio principal, que el concepto de «tratamiento», en el sentido de esta disposición, abarca las operaciones que únicamente «inician» una recogida de datos personales y, por tanto, las operaciones que son anteriores a una operación que el legislador de la Unión ha considerado expresamente como ejemplo de tratamiento.
34. Sin embargo, en mi opinión, esta situación se diferencia con claridad de que la que dio lugar a la sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales). (20) En efecto, en el caso de autos no se trata de vincular a un proceso de tratamiento una operación que permite ponerlo en marcha, sino de identificar la relación entre una obligación de información, como la que se deriva de los artículos 12, apartado 1, primera frase, y 13, apartado 1, letras c) y e), del RGPD, y un determinado tratamiento.
35. A este respecto, a mi juicio, el alcance del concepto de «tratamiento», en el sentido del artículo 4, punto 2, del RGPD, por amplio que sea, no puede extenderse a esa obligación de información. En efecto, dicha obligación no implica ninguna acción directa o indirecta sobre datos personales. Esa obligación constituye más bien un requisito de la licitud del tratamiento de los datos.
36. Procede observar que el artículo 12 del citado Reglamento establece obligaciones generales que incumben al responsable del tratamiento en lo que respecta a la transparencia de la información y de las comunicaciones, así como a las modalidades de ejercicio de los derechos del interesado.
37. En concreto, el artículo 12, apartado 1, primera frase, del Reglamento prevé que «el responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño».
38. El artículo 13 del RGPD, titulado «Información que deberá facilitarse cuando los datos personales se obtengan del interesado», dispone en su apartado 1, letras c) y e):
«Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
[…]
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
[…]
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso […]».
39. Cabe recordar que el artículo 6, apartado 1, párrafo primero, del RGPD establece una lista exhaustiva y taxativa de los casos en que un tratamiento de datos personales puede considerarse lícito. Así pues, para poder ser considerado legítimo, el tratamiento de datos personales debe estar comprendido en alguno de los casos contemplados en esa disposición. (21)
40. A tenor del artículo 6, apartado 1, párrafo primero, letra a), de dicho Reglamento, el tratamiento de datos personales solo será lícito si el interesado dio su consentimiento para uno o varios fines específicos. (22)
41. A falta de tal consentimiento, o cuando este no se haya prestado de forma libre, específica, informada e inequívoca, en el sentido del artículo 4, punto 11, del RGPD, y cuando el tratamiento de que se trate no cumpla alguno de los requisitos de necesidad mencionados en el artículo 6, apartado 1, párrafo primero, letras b) a f), del citado Reglamento, tal tratamiento presentará carácter ilícito. (23)
42. El requisito derivado del artículo 4, punto 11, del RGPD, conforme al cual el consentimiento debe ser «informado», implica, con arreglo al artículo 13 del citado Reglamento a la luz de su considerando 42, que el responsable del tratamiento facilitará al interesado información respecto de todas las circunstancias relacionadas con el tratamiento de datos, con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, debiendo el interesado conocer, en particular, qué datos serán tratados, la identidad del responsable del tratamiento, la duración del tratamiento y su forma y los fines que se persiguen con dicho tratamiento. Esta información debe permitir a esa persona determinar fácilmente las consecuencias de cualquier consentimiento que pueda dar y garantizar que dicho consentimiento se otorgue con pleno conocimiento de causa. (24)
43. Pues bien, debo observar que, como indica el órgano jurisdiccional remitente, (25) la Federación impugna la presentación de las advertencias que se muestran al accionar el botón «Jugar ahora» del Centro de Aplicaciones por considerarlas desleales, en particular por vulnerar los requisitos legales para la obtención de un consentimiento válido del usuario con arreglo a la normativa en materia de protección de datos personales.
44. En otras palabras, la acción ejercitada por la Federación se basa en que, habida cuenta de la defectuosa presentación del Centro de Aplicaciones que invoca esa entidad, una persona podría accionar el botón «Jugar ahora» sin disponer de la información necesaria que le permita determinar fácilmente las consecuencias del consentimiento que pueda prestar al tratamiento de sus datos personales al pulsar ese botón y sin que se garantice que tal consentimiento se otorga con pleno conocimiento de causa.
45. En estas circunstancias, considero que la Federación alega en su demanda, con arreglo a lo previsto en el artículo 80, apartado 2, del RGPD, que «los derechos de un interesado con arreglo a [dicho] Reglamento han sido vulnerados como consecuencia de un tratamiento».
46. En efecto, por una parte, tanto el artículo 12 como el artículo 13 del RGPD forman parte del capítulo III de dicho Reglamento, titulado «Derechos del interesado». Habida cuenta de la obligación de información que incumbe al responsable del tratamiento en virtud de tales artículos, los derechos dimanantes de esa obligación para los interesados forman parte de los que pretende proteger la acción de representación prevista en el artículo 80, apartado 2, del Reglamento.
47. Por otra parte, la supuesta vulneración del derecho de los interesados a ser informados suficientemente de todas las circunstancias relacionadas con un tratamiento de datos personales, en particular su finalidad y el destinatario de los datos, puede impedir la manifestación de un consentimiento «informad[o]», en el sentido del artículo 4, punto 11, del RGPD, lo que podría acarrear la ilicitud del tratamiento.
48. Por consiguiente, a efectos de ejercitar una acción de representación al amparo del artículo 80, apartado 2, del referido Reglamento, es suficiente que una entidad invoque el incumplimiento de la obligación de información que incumbe al responsable del tratamiento, especificando el tratamiento en cuestión, que en el presente asunto es el que tiene lugar cuando una persona pulsa el botón «Jugar ahora». Debe ser un tratamiento de datos que pueda afectar a los derechos que el Reglamento confiere a las personas físicas identificadas o identificables, (26) lo que implica que el tratamiento debe existir y, por tanto, no debe tener carácter meramente hipotético.
49. Además, a mi juicio, es indiferente que esa entidad invoque el incumplimiento de una obligación anterior al tratamiento de datos personales. Este es el caso de la obligación de información que debe cumplirse a más tardar en el momento de la recogida de los datos, con arreglo a lo previsto en el artículo 13, apartado 1, del RGPD.
50. Así, la expresión «como consecuencia de un tratamiento» que figura en el artículo 80, apartado 2, del Reglamento no significa en absoluto que el derecho cuya vulneración constituye el objeto de la acción prevista en el citado artículo deba corresponder necesariamente a una fase posterior a una operación constitutiva de un «tratamiento» en el sentido del artículo 4, punto 2, del Reglamento. Dicho de otro modo, esa expresión no debe interpretarse en el sentido de que exige una secuencia temporal, de modo que la vulneración de los derechos de un interesado previstos en el RGPD deba producirse en una fase posterior al tratamiento.
51. Lo que importa es que exista una relación entre el respeto de los derechos en cuestión y el tratamiento. Así sucede cuando la vulneración de tales derechos tiene como consecuencia que el tratamiento sea ilícito. La ilicitud del tratamiento se deriva del incumplimiento de la obligación de información. Ambos son indisociables.
52. De ello se deduce que el requisito según el cual una entidad puede ejercitar una acción de representación al amparo del artículo 80, apartado 2, del RGPD si considera que los derechos de un interesado contemplados en el citado Reglamento han sido vulnerados «como consecuencia de un tratamiento» no exige, en mi opinión, que esa entidad invoque una vulneración de tales derechos que sea resultado de una operación de tratamiento de datos, en el sentido del artículo 4, punto 2, de dicho Reglamento, y que, por tanto, sea posterior a esa operación. Basta con que alegue la existencia de una relación entre un tratamiento de datos personales y la vulneración de derechos protegidos por el RGPD.
53. Por consiguiente, en el presente asunto, carece de pertinencia que la Federación invoque el incumplimiento de una obligación de información con independencia de que el interesado accione o no el botón «Jugar ahora» en el Centro de Aplicaciones, ya que tal obligación, en la medida en que puede afectar a los requisitos de licitud del tratamiento resultante del accionamiento de dicho botón, presenta indudablemente una relación con el tratamiento.
54. Esta interpretación es conforme no solo con la función preventiva de la acción de representación prevista en el artículo 80, apartado 2, del RGPD, (27) sino también, en la medida en que contribuye a reforzar los derechos de los interesados, (28) con el objetivo perseguido por dicho Reglamento, que se desprende de su considerando 10 y que consiste en garantizar dentro de la Unión un nivel elevado de protección de los derechos y libertades fundamentales de las personas físicas respecto del tratamiento de los datos personales. (29)
55. Añadiré que, en mi opinión, no sería coherente adoptar una interpretación restrictiva del ámbito de aplicación material del artículo 80, apartado 2, del Reglamento, ya que el artículo 79, apartado 1, del RGPD prevé, en términos similares, el derecho de todo interesado a la tutela judicial efectiva y no existe ninguna razón para excluir del ámbito de aplicación material de esa acción los derechos dimanantes de la obligación de información prevista en el artículo 12, apartado 1, primera frase, del Reglamento, en relación con su artículo 13, apartado 1, letras c) y e).
56. Por consiguiente, considero que el artículo 80, apartado 2, del RGPD debe interpretarse en el sentido de que el requisito según el cual, para poder ejercitar una acción de representación al amparo de tal disposición, una entidad autorizada debe alegar que considera que los derechos de un interesado previstos en el referido Reglamento han sido vulnerados como consecuencia de un tratamiento implica que esa entidad invoque la existencia de un tratamiento de datos personales y una relación entre la vulneración de los derechos y el tratamiento. Dicho requisito se cumple cuando, en un tratamiento de datos personales, la acción se basa en el incumplimiento por el responsable del tratamiento de la obligación de información prevista en el artículo 12, apartado 1, primera frase, del citado Reglamento, en relación con el artículo 13, apartado 1, letras c) y e), del mismo Reglamento, en la medida en que ese incumplimiento pueda dar lugar a la ilicitud del tratamiento.
III. Conclusión
57. Habida cuenta de todas las consideraciones anteriores, propongo responder a la cuestión prejudicial planteada por el Bundesgerichtshof (Tribunal Supremo Federal de lo Civil y Penal, Alemania) de la siguiente manera:
«El artículo 80, apartado 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos),
debe interpretarse en el sentido de que
el requisito según el cual, para poder ejercitar una acción de representación al amparo de tal disposición, una entidad autorizada debe alegar que considera que los derechos de un interesado previstos en el referido Reglamento han sido vulnerados como consecuencia de un tratamiento implica que esa entidad invoque la existencia de un tratamiento de datos personales y una relación entre la vulneración de los derechos y el tratamiento. Dicho requisito se cumple cuando, en un tratamiento de datos personales, la acción se basa en el incumplimiento por el responsable del tratamiento de la obligación de información prevista en el artículo 12, apartado 1, primera frase, del citado Reglamento, en relación con el artículo 13, apartado 1, letras c) y e), del mismo Reglamento, en la medida en que ese incumplimiento pueda dar lugar a la ilicitud del tratamiento.»