CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:979

CONCLUSIONES DEL ABOGADO GENERAL

SR. JEAN RICHARD DE LA TOUR

presentadas el 2 de diciembre de 2021 (1)

Asunto C‑319/20

Facebook Ireland Limited

contra

Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V.

[Petición de decisión prejudicial planteada por el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania)]

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 80, apartado 2 — Derecho a la tutela judicial efectiva — Representación de los interesados por una asociación sin ánimo de lucro — Legitimación activa de una asociación de defensa de los intereses de los consumidores»

I. Introducción

1. En la economía moderna, caracterizada por el auge de la economía digital, el tratamiento de los datos personales puede afectar a las personas no solo en su condición de personas físicas beneficiarias de los derechos conferidos por el Reglamento (UE) 2016/679, (2) sino también en su condición de consumidores.

2. Esta condición tiene como consecuencia que las asociaciones de defensa de los intereses de los consumidores sean cada vez con más frecuencia quienes planteen acciones destinadas a lograr el cese del comportamiento de determinados responsables de tratamientos que vulneran simultáneamente los derechos protegidos por dicho Reglamento y por otras normas que emanan tanto del Derecho de la Unión como del Derecho nacional en materia, en particular, de protección de los derechos de los consumidores y de lucha contra las prácticas comerciales desleales.

3. La presente petición de decisión prejudicial se ha planteado en el marco de un litigio entre el Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V. (Federación alemana de Organizaciones y Asociaciones de Consumidores; en lo sucesivo, «Federación») y Facebook Ireland Limited, que tiene su domicilio social en Irlanda. La Federación acusa a esta sociedad de infringir la normativa alemana sobre protección de datos personales, lo que a su entender constituye, a la vez, una práctica comercial desleal, una infracción de la legislación en materia de protección de los consumidores y un incumplimiento de la prohibición de uso de condiciones generales nulas.

4. Mediante esta petición se solicita esencialmente al Tribunal de Justicia que interprete el artículo 80, apartado 2, del Reglamento 2016/679 con el fin de determinar si esta disposición se opone a que las asociaciones de defensa de los intereses de los consumidores continúen teniendo, tras la entrada en vigor de dicho Reglamento, la legitimación activa que les confiere el Derecho nacional para hacer cesar los comportamientos que constituyan simultáneamente una vulneración de los derechos conferidos por el citado Reglamento y una infracción de normas dirigidas a proteger los derechos de los consumidores y a luchar contra las prácticas comerciales desleales. Habida cuenta de que el Tribunal de Justicia declaró que tal legitimación activa era compatible con la Directiva 95/46/CE, (3) (4) le corresponde determinar si el Reglamento 2016/679 ha modificado o no el estado del Derecho a este respecto.

II. Marco jurídico

A. Reglamento 2016/679

5. El artículo 80 del Reglamento 2016/679, titulado «Representación de los interesados», tiene el siguiente tenor: (5)

«1. El interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación, y ejerza en su nombre los derechos contemplados en los artículos 77, 78 y 79, y el derecho a ser indemnizado mencionado en el artículo 82 si así lo establece el Derecho del Estado miembro.

2. Cualquier Estado miembro [podrá] disponer que cualquier entidad, organización o asociación mencionada en el apartado 1 del presente artículo tenga, con independencia del mandato del interesado, derecho a presentar en ese Estado miembro una reclamación ante la autoridad de control que sea competente en virtud del artículo 77 y a ejercer los derechos contemplados en los artículos 78 y 79, si considera que los derechos del interesado con arreglo al presente Reglamento han sido vulnerados como consecuencia de un tratamiento.»

B. Derecho alemán

6. El artículo 3, apartado 1, de la Gesetz gegen den unlauteren Wettbewerb (Ley contra la Competencia Desleal), (6) de 3 de julio de 2004, en su versión aplicable al procedimiento principal, establece lo siguiente:

«Quedan prohibidas las prácticas comerciales desleales.»

7. El artículo 3a de la Ley contra la Competencia Desleal dice lo siguiente:

«Actúa de forma desleal quien infringe una disposición legal destinada, entre otros extremos, a regular el comportamiento en el mercado en interés de los operadores económicos, siempre que dicha infracción pueda afectar sensiblemente a los intereses de los consumidores, de los demás operadores económicos o de los competidores.»

8. El artículo 8, apartados 1 y 3, de la Ley contra la Competencia Desleal dispone:

«(1) Podrá ejercitarse una acción de cesación y, en caso de riesgo de reiteración, una acción de prohibición contra quien realice una práctica comercial ilícita con arreglo a los artículos 3 o 7. La acción de prohibición podrá ejercitarse desde el momento en que exista un riesgo de que se produzca tal infracción de los artículos 3 o 7.

[…]

(3) Las acciones a las que hace referencia el apartado 1 podrán ser ejercitadas:

[…]

3. Por las entidades habilitadas que demuestren estar incluidas en la lista de entidades habilitadas de conformidad con el artículo 4 de la [Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen [Ley sobre las acciones de cesación referidas a infracciones del Derecho en materia de consumo u otras infracciones, (7) de 26 de noviembre de 2001, en su versión aplicable al procedimiento principal,] o en la lista de la Comisión Europea mencionada en el artículo 4, apartado 3, de la Directiva 2009/22/CE del Parlamento Europeo y del Consejo, de 23 de abril de 2009, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores; ^[(8)^]

[…]»

9. El artículo 2 de la Ley sobre las Acciones de Cesación establece lo siguiente:

«(1) Quien infrinja las normas cuya finalidad sea proteger a los consumidores (leyes sobre protección de los consumidores], excepto al aplicar o recomendar condiciones generales, podrá ser objeto de una acción de cesación y de prohibición en aras de la protección de los consumidores […]

(2) A efectos de la presente disposición, se considerarán leyes sobre protección de los consumidores, en particular:

[…]

11. las disposiciones que regulan la licitud:

a) de la recogida de datos personales de un consumidor por parte de una empresa, o

b) del tratamiento o uso de datos personales relativos a un consumidor recabados por una empresa,

si los datos se recogen, tratan o utilizan con fines publicitarios, de estudios de mercado y opinión, de explotación de una entidad de información crediticia, de elaboración de perfiles de personalidad y de uso, de tráfico de datos de contacto y de otros tipos de datos o con fines comerciales similares.

[…]»

10. El Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania) indica que, con arreglo al artículo 3, apartado 1, primera frase, punto 1, de la Ley sobre las Acciones de Cesación, las entidades que tienen legitimación activa, en el sentido de esta disposición, pueden ejercitar acciones de cesación contra las infracciones de la legislación en materia de protección de los consumidores, que incluye también, de conformidad con el artículo 2, apartado 2, primera frase, punto 11, de la citada Ley, las disposiciones relativas a la licitud de la recogida, el tratamiento y el uso, por parte de una empresa, de los datos personales de un consumidor con fines publicitarios. Además, siempre según el artículo 3, apartado 1, primera frase, punto 1, de la Ley sobre las Acciones de Cesación, las entidades con legitimación activa pueden exigir, de conformidad con el artículo 1 de dicha Ley, el cese del uso de condiciones generales de la contratación nulas con arreglo al artículo 307 del Bürgerliches Gesetzbuch (Código Civil), cuando consideren que dichas condiciones generales infringen una disposición en materia de protección de datos.

11. El artículo 13, apartado 1, de la Telemediengesetz (Ley relativa a determinados servicios de comunicación e información electrónicos), (9) de 26 de febrero de 2007, tiene el siguiente tenor:

«Al inicio de la operación de uso, el prestador de servicios informará al usuario sobre el carácter, el alcance y los fines de la recogida y utilización de los datos personales y sobre el tratamiento de sus datos en países no comprendidos en el ámbito de aplicación de la [Directiva 95/46], en una forma que sea generalmente comprensible, a no ser que ya se le haya informado de ello. En caso de un procedimiento automatizado que permita una identificación posterior del usuario y que prepare la recogida o utilización de datos personales, el usuario deberá ser informado al inicio de dicho proceso. El contenido de esta información debe ser accesible en todo momento para el usuario.»

III. Antecedentes de hecho del litigio principal y cuestión prejudicial

12. En Alemania, la Federación está incluida en la lista de entidades con legitimación activa en virtud del artículo 4 de la Ley sobre las Acciones de Cesación. Facebook Ireland explota, bajo la dirección www.facebook.de, la plataforma de Internet Facebook, que permite el intercambio de datos personales y de otra información.

13. La plataforma de Internet Facebook incluye un espacio denominado «App-Zentrum» (centro de aplicaciones) en el que Facebook Ireland pone a disposición de sus usuarios, en particular, juegos gratuitos suministrados por terceros. Al consultar algunos juegos en el centro de aplicaciones el 26 de noviembre de 2012, se mostraba al usuario determinada información cuando clicaba sobre el botón «Sofort spielen» (jugar ahora). De esta información se desprendía, en esencia, que el uso de la aplicación en cuestión permitía a la sociedad que facilitaba los juegos obtener determinados datos personales y la autorizaba a realizar publicaciones, en nombre del usuario, de cierta información, como su puntuación. Este uso conllevaba la aceptación por parte del usuario de las condiciones generales de la aplicación y de su política de protección de datos. Asimismo, en el caso del juego «Scrabble», se indicaba que se autorizaba a la aplicación a publicar actualizaciones de estado, fotografías y otros datos en nombre del usuario.

14. La Federación impugna la presentación de las advertencias que se muestran al accionar el botón «jugar ahora» del centro de aplicaciones por considerarlas desleales, en particular por vulnerar los requisitos legales para la obtención de un consentimiento válido del usuario con arreglo a la normativa en materia de protección de datos. Asimismo, considera que la advertencia final que se muestra en el juego «Scrabble» constituye una condición general de la contratación indebidamente desfavorable para el usuario.

15. En este contexto, la Federación interpuso ante el Landgericht Berlin (Tribunal Regional de lo Civil y Penal de Berlín, Alemania) una acción de cesación contra Facebook Ireland. El órgano jurisdiccional remitente precisa que esta acción se ejercitó desvinculada de toda vulneración concreta de los derechos a la protección de los datos de un interesado y sin que mediara mandato de tal persona.

16. La Federación solicitó que se prohibiera a Facebook Ireland, so pena de medidas coercitivas, «ofrecer juegos en el contexto de actividades comerciales dirigidas a consumidores que tengan su residencia permanente en […] Alemania, en el sitio de Internet correspondiente a la dirección www.facebook.com y, en concreto, en el “centro de aplicaciones”, de forma que, al clicar en un botón como “[jugar ahora]”, el consumidor declare que, a través de la red social explotada por [Facebook Ireland], el operador del juego obtendrá información sobre los datos personales que contiene dicha red social y quedará autorizado a transmitir (publicar) información en nombre del consumidor […]».

17. La Federación también solicitó que se prohibiera a Facebook Ireland «incluir en los acuerdos con los consumidores que tengan su residencia habitual en […] Alemania la siguiente disposición o bien disposiciones con un contenido idéntico relativas a la utilización de aplicaciones (apps) en el marco de una red social, así como invocar las disposiciones relativas a la transmisión de datos a los operadores de los juegos: “Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten” [esta aplicación está autorizada a publicar tus actualizaciones de estado, fotografías y otros datos en tu nombre]».

18. El Landgericht Berlin (Tribunal Regional de lo Civil y Penal de Berlín) condenó a Facebook Ireland conforme a las pretensiones de la Federación. El recurso de apelación interpuesto por Facebook Ireland ante el Kammergericht Berlin (Tribunal Superior Regional de lo Civil y Penal de Berlín, Alemania) fue desestimado.

19. Facebook Ireland interpuso un recurso de casación ante el órgano jurisdiccional remitente contra la resolución del tribunal de apelación.

20. En cuanto al fondo, el órgano jurisdiccional remitente considera que el tribunal de apelación estimó acertadamente que las pretensiones de la Federación eran fundadas, porque, al incumplir las obligaciones de información derivadas del artículo 13, apartado 1, primera frase, primera parte de la frase, de la Ley de servicios de comunicación electrónicos, Facebook Ireland infringió el artículo 3a de la Ley contra la Competencia Desleal y el artículo 2, apartado 2, primera frase, punto 11, de la Ley sobre las Acciones de Cesación. El tribunal de apelación consideró fundadamente que las disposiciones del artículo 13 de la Ley de servicios de comunicación electrónicos controvertidas en el presente asunto son disposiciones legales que regulan el comportamiento de los operadores en el mercado en el sentido del artículo 3a de la Ley contra la Competencia Desleal. Además, se trata de disposiciones que, con arreglo al artículo 2, apartado 2, primera frase, punto 11, letra a), de la Ley sobre las Acciones de Cesación, regulan la licitud de la recogida, el tratamiento o el uso, por parte de una empresa, de los datos personales de un consumidor que se hayan recogido, tratado o utilizado con fines publicitarios. Por otra parte, el órgano jurisdiccional remitente estima que, al incumplir las obligaciones de información en materia de protección de datos que resultan aplicables en el presente caso, Facebook Ireland empleó una condición general de la contratación nula en el sentido del artículo 1 de la Ley sobre las Acciones de Cesación.

21. No obstante, el órgano jurisdiccional remitente se pregunta si el tribunal de apelación acertó al considerar admisible el recurso de la Federación. Se plantea si, a partir de la entrada en vigor del Reglamento 2016/679, una asociación de defensa de los intereses de los consumidores como la Federación continúa teniendo legitimación activa para interponer un recurso ante los tribunales civiles contra las infracciones de dicho Reglamento, sin vinculación con la vulneración concreta de los derechos de interesados individuales y sin mediar un mandato de estos, invocando la infracción del Derecho en el sentido del artículo 3a de la Ley contra la Competencia Desleal, la infracción de la legislación en materia de protección de los consumidores en el sentido del artículo 2, apartado 2, primera frase, punto 11, de la Ley sobre las Acciones de Cesación, o bien el uso de una condición general de la contratación nula con arreglo al artículo 1 de la Ley sobre las Acciones de Cesación.

22. El órgano jurisdiccional remitente señala que la admisibilidad del recurso no suscitaba dudas antes de la entrada en vigor del Reglamento 2016/679. Afirma que la Federación estaba facultada para interponer una acción de cesación ante los tribunales civiles con arreglo al artículo 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal y al artículo 3, apartado 1, primera frase, punto 1, de la Ley sobre las Acciones de Cesación.

23. Según este mismo órgano jurisdiccional, cabe la posibilidad de que dicho régimen jurídico se haya visto modificado debido a la entrada en vigor del Reglamento 2016/679.

24. En cuanto al fondo, observa que, desde dicha entrada en vigor, las disposiciones del artículo 13, apartado 1, de la Ley de servicios de comunicación electrónicos ya no son aplicables, dado que actualmente las obligaciones de información pertinentes son las resultantes de los artículos 12 a 14 del Reglamento 2016/679. Así pues, según el órgano jurisdiccional remitente, Facebook Ireland incumplió la obligación que le incumbía en virtud del artículo 12, apartado 1, primera frase, de este Reglamento, que consiste en facilitar al interesado, de una forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, la información contemplada en el artículo 13, apartado 1, letras c) y e), de dicho Reglamento, que se refieren a los fines del tratamiento de los datos y al destinatario de los datos personales.

25. Sobre la admisibilidad del recurso, según el órgano jurisdiccional remitente, existe un debate acerca de si las entidades legitimadas en el sentido del artículo 4 de la Ley sobre las Acciones de Cesación están facultadas, desde la entrada en vigor del Reglamento 2016/679 y de conformidad con el artículo 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal, para interponer acciones judiciales frente a las infracciones de las disposiciones de dicho Reglamento, que son de aplicación directa en virtud del artículo 288 TFUE, párrafo segundo, invocando la infracción del Derecho en el sentido del artículo 3a de la Ley contra la Competencia Desleal.

26. A este respecto, el órgano jurisdiccional remitente menciona la existencia de puntos de vista divergentes sobre si el propio Reglamento 2016/679 regula de forma exhaustiva el control de la aplicación de sus disposiciones.

27. El citado órgano jurisdiccional señala, en relación con el tenor del Reglamento 2016/679, que la legitimación activa de una entidad como la Federación, con arreglo al artículo 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal, no está cubierta por el artículo 80, apartado 1, de dicho Reglamento, en la medida en que la acción de cesación controvertida en el litigio principal no se interpuso sobre la base de un mandato y en nombre de un interesado para ejercer sus derechos personales. A su entender se trata, por el contrario, de una legitimación activa de la Federación en virtud de un derecho que le es propio, que le permite, en caso de infracción del Derecho en el sentido del artículo 3a de la Ley contra la Competencia Desleal, actuar contra las infracciones de las disposiciones de dicho Reglamento de forma objetiva, sin vinculación con derechos concretos de interesados individuales y sin mediar un mandato por parte de estos.

28. Pues bien, el órgano jurisdiccional remitente señala que el artículo 80, apartado 2, del Reglamento 2016/679 no establece la legitimación activa de la Federación para hacer cumplir de forma objetiva el Derecho en materia de protección de los datos personales, ya que, si bien, efectivamente, esta disposición prevé la posibilidad de que dicha entidad actúe sin necesidad de un mandato conferido por un interesado, es preciso que se hayan vulnerado los derechos de un interesado, tal como los regula dicho Reglamento, en virtud de un tratamiento de datos. En consecuencia, las disposiciones del artículo 80, apartado 2, del citado Reglamento tampoco autorizan, a la vista de su tenor, la legitimación activa de las asociaciones que invocan infracciones objetivas del Derecho en materia de protección de los datos personales, desvinculadas de la vulneración de los derechos subjetivos de un interesado concreto, basándose, como en el presente caso, en los artículos 3a y 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal. Puede extraerse una conclusión idéntica del considerando 142, segunda frase, del Reglamento 2016/679, que también menciona la vulneración de los derechos de un interesado como un requisito para la legitimación activa de una asociación con independencia del mandato del interesado en cuestión.

29. Asimismo, según el órgano jurisdiccional remitente, la legitimación activa de una asociación como la prevista en el artículo 8, apartado 3, de la Ley contra la Competencia Desleal no puede derivarse del artículo 84, apartado 1, del Reglamento 2016/679, según el cual los Estados miembros deben establecer las normas en materia de otras sanciones aplicables a las infracciones de ese Reglamento y adoptar todas las medidas necesarias para garantizar su observancia, ya que la legitimación activa de una asociación, según lo previsto en el artículo 8, apartado 3, de la Ley contra la Competencia Desleal, no puede considerarse una «sanción» en el sentido de esta disposición de dicho Reglamento.

30. El órgano jurisdiccional remitente señala, además, que la lógica del Reglamento 2016/679 no permite determinar con certeza si la legitimación activa de una entidad con arreglo al artículo 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal, es decir, en virtud de una disposición que tiene por objeto luchar contra la competencia desleal, puede seguir reconociéndose tras la entrada en vigor de dicho Reglamento. El citado órgano jurisdiccional considera que del hecho de que este Reglamento confiera a las autoridades de control amplias facultades en materia de supervisión, investigación y adopción de medidas correctoras podría deducirse que corresponde principalmente a dichas autoridades controlar la aplicación de las disposiciones del citado Reglamento. Esto se opone a una interpretación extensiva del artículo 80, apartado 2, del Reglamento 2016/679. El órgano jurisdiccional remitente también señala que, en principio, solo se permite la adopción de medidas nacionales de aplicación de un reglamento si está expresamente autorizada. Sin embargo, el inciso «sin perjuicio de cualquier otro recurso», que aparece en los artículos 77, apartado 1, 78, apartados 1 y 2, y 79, apartado 1, de este Reglamento, puede refutar la tesis de una regulación exhaustiva del control de la aplicación del Derecho por el mencionado Reglamento.

31. En lo referente al objetivo del Reglamento 2016/679, su efecto útil puede abogar por la existencia de una legitimación activa de las asociaciones en virtud del Derecho de la competencia, de conformidad con el artículo 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal, con independencia de la vulneración de derechos concretos de los interesados, en la medida en que esto supondría que continuase existiendo una posibilidad adicional de controlar la aplicación del Derecho, con el fin de garantizar un nivel tan elevado como sea posible de protección de los datos personales, con arreglo al considerando 10 de este Reglamento. No obstante, podría considerarse que admitir la legitimación activa de las asociaciones en virtud del Derecho de la competencia es contrario al objetivo de armonización perseguido por dicho Reglamento.

32. El órgano jurisdiccional remitente también expone sus dudas sobre si, tras la entrada en vigor del Reglamento 2016/679, sigue existiendo una legitimación activa de las entidades a las que se refiere el artículo 3, apartado 1, primera frase, punto 1, de la Ley sobre las Acciones de Cesación para ejercitar acciones en caso de infracción de las disposiciones de dicho Reglamento, en forma de acciones interpuestas en razón de la infracción de la legislación en materia de protección de los consumidores, en el sentido del artículo 2, apartado 2, primera frase, punto 11, de la Ley sobre las Acciones de Cesación. Lo mismo sucede por lo que respecta a la legitimación activa, en virtud del artículo 1 de la citada Ley, de una asociación de defensa de los intereses de los consumidores dirigida a exigir el cese del uso de condiciones generales de la contratación nulas en el sentido del artículo 307 del Código Civil.

33. Suponiendo que las distintas disposiciones nacionales que, antes de la entrada en vigor del Reglamento 2016/679, fundamentaban la legitimación activa de las entidades puedan considerarse una aplicación anticipada del artículo 80, apartado 2, de dicho Reglamento, el reconocimiento en el presente asunto de que la Federación dispone de legitimación activa precisaría, según el órgano jurisdiccional remitente, que esta alegue que se han vulnerado los derechos de un interesado, previstos en dicho Reglamento, debido a un tratamiento de datos. Pues bien, a su entender no se cumple este requisito.

34. El citado órgano jurisdiccional destaca que las pretensiones de la Federación tienen por objeto el control abstracto de la presentación del centro de aplicaciones por parte de Facebook Ireland en relación con el Derecho objetivo en materia de protección de datos, sin que la Federación haya invocado la vulneración de los derechos de una persona física identificada o identificable, en el sentido del artículo 4, punto 1, del Reglamento 2016/679.

35. Si se declarara que, a raíz de la entrada en vigor del Reglamento 2016/679, la Federación ha perdido su legitimación activa basada en las disposiciones antes citadas del Derecho alemán, el órgano jurisdiccional remitente indica que debería estimar el recurso de casación interpuesto por Facebook Ireland y desestimar la acción planteada por la Federación, dado que, según el Derecho procesal alemán, la legitimación activa debe subsistir hasta que concluya la última instancia.

36. A la vista de las consideraciones anteriores, el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:

«¿Se oponen las disposiciones del capítulo VIII, en particular los artículos 80, apartados 1 y 2, y 84, apartado 1, del [Reglamento 2016/679], a una normativa nacional que (junto a las facultades de intervención de las autoridades de control competentes para la supervisión y ejecución de[dicho] Reglamento, y a la tutela judicial en favor de los interesados), en caso de infracción del [Reglamento 2016/679] concede, por un lado, a los competidores y, por otro, a las asociaciones, instituciones y cámaras autorizadas por la legislación nacional la facultad de actuar contra el infractor con independencia de la vulneración de derechos concretos de interesados individuales y sin que medie mandato de un interesado, presentando una demanda ante los tribunales de lo civil en la que se invoque el incumplimiento de la prohibición de prácticas comerciales desleales, una infracción de la legislación de protección de los consumidores o el incumplimiento de la prohibición de uso de condiciones generales de contratación inválidas?»

37. La Federación, Facebook Ireland, los Gobiernos austriaco y portugués y la Comisión han presentado observaciones escritas. Estas partes, a excepción del Gobierno portugués, así como el Gobierno alemán, presentaron sus informes orales en la vista celebrada el 23 de septiembre de 2021.

IV. Análisis

38. Mediante su cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el Reglamento 2016/679, en particular su artículo 80, apartado 2, debe interpretarse en el sentido de que se opone a una normativa nacional que permite a las asociaciones de defensa de los intereses de los consumidores emprender acciones judiciales contra el presunto infractor de la protección de datos personales, invocando el incumplimiento de la prohibición de las prácticas comerciales desleales, la infracción de la legislación en materia de protección de los consumidores o el incumplimiento de la prohibición de uso de condiciones generales de la contratación nulas.

39. A tenor del artículo 4, punto 1, del Reglamento 2016/679, un «interesado», en el sentido de este Reglamento, es «una persona física identificada o identificable». Cuando tal persona considere que sus datos personales han sido objeto de un tratamiento contrario a lo dispuesto en este Reglamento, dispone de distintos recursos.

40. Así, en virtud del artículo 77 de dicho Reglamento, los interesados tienen derecho a presentar una reclamación ante una autoridad de control. Por otra parte, con arreglo al artículo 78 del Reglamento 2016/679, dichos interesados tienen derecho a la tutela judicial efectiva contra una autoridad de control. Asimismo, el artículo 79, apartado 1, del mismo Reglamento confiere a cada interesado el derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud de dicho Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales efectuado contraviniendo el mismo Reglamento.

41. Por supuesto, los propios interesados pueden presentar una reclamación ante una autoridad de control o ejercitar los recursos jurisdiccionales anteriormente descritos. Dicho esto, el artículo 80 del Reglamento 2016/679 establece la posibilidad, sujeta a ciertos requisitos, de que estos interesados sean representados por una entidad, organización o asociación sin ánimo de lucro. Así pues, más allá de los recursos individuales, el Derecho de la Unión prevé distintas posibilidades de acciones de representación emprendidas a través de entidades encargadas de representar a los interesados. (10) Por lo tanto, el artículo 80 del Reglamento 2016/679 se enmarca en la tendencia consistente en desarrollar las acciones de representación ejercitadas por tales entidades con el fin de defender intereses generales o colectivos como un medio para reforzar el acceso a la justicia de las personas afectadas por la infracción de las normas en cuestión. (11)

42. El artículo 80 del Reglamento 2016/679, que lleva por título «Representación de los interesados», consta de dos apartados. El primero se refiere a la situación en la que un interesado da mandato a una entidad, organización o asociación para que lo represente. El segundo atañe a la acción de representación ejercida por una entidad con independencia de cualquier mandato otorgado por un interesado.

43. Habida cuenta de que la acción ejercitada por la Federación no se fundamenta en el mandato de un interesado, la disposición pertinente en el marco del presente procedimiento prejudicial es el artículo 80, apartado 2, del Reglamento 2016/679.

A. Sentencia Fashion ID

44. En su sentencia Fashion ID, el Tribunal de Justicia se pronunció, en relación con la Directiva 95/46, sobre una cuestión similar a la planteada en el marco de la presente remisión prejudicial. Así, declaró que «los artículos 22 a 24 de [esa Directiva] deben interpretarse en el sentido de que no se oponen a una normativa nacional que permita a las asociaciones de defensa de los intereses de los consumidores ejercitar acciones judiciales contra el presunto infractor de la protección de los datos personales». (12)

45. Para llegar a esta conclusión, el Tribunal de Justicia partió de la constatación de que ninguna disposición de la Directiva 95/46 obligaba a los Estados miembros a establecer, ni los facultaba expresamente para establecer, en sus Derechos nacionales la posibilidad de que una asociación representase judicialmente a un interesado o ejercitase por iniciativa propia una acción judicial contra el presunto infractor de la protección de datos personales. (13) Según el Tribunal de Justicia, esto no significaba, sin embargo, que esta Directiva se opusiera a una normativa nacional que permitiese que las asociaciones de defensa de los intereses de los consumidores ejercitasen acciones judiciales contra el presunto autor de una infracción de ese tipo. (14) A este respecto, el Tribunal de Justicia puso de manifiesto las características propias de una directiva, así como la obligación de los Estados miembros destinatarios de adoptar todas las medidas necesarias para garantizar la plena eficacia de la directiva de que se trate, conforme al objetivo de esta. (15)

46. A continuación, el Tribunal de Justicia recordó que la Directiva 95/46 tenía como objetivos «garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales» y «asegurar un alto nivel de protección dentro de la Unión [Europea]». (16) Pues bien, según el Tribunal de Justicia, el hecho de que un Estado miembro estableciera en su normativa nacional la posibilidad de que una asociación de defensa de los intereses de los consumidores ejercitase acciones judiciales contra el presunto infractor de la protección de datos personales contribuía a la consecución de dichos objetivos. (17) Asimismo, el Tribunal de Justicia subrayó que «los Estados miembros disponen en muchos aspectos de un margen de apreciación para transponer [la Directiva 95/46]», (18) en particular en lo referente a sus artículos 22 a 24, que «están redactados en términos generales y no llevan a cabo una armonización exhaustiva de las disposiciones nacionales relativas a los recursos judiciales que pueden entablarse contra el presunto infractor de la protección de datos personales». (19) De este modo, «el hecho de establecer la posibilidad de que una asociación de defensa de los intereses de los consumidores ejercite una acción judicial contra el presunto infractor de la protección de los datos personales parece que puede constituir una medida adecuada, en el sentido de[l artículo 24 de la citada Directiva], que contribuye […] a la consecución de los objetivos de dicha Directiva, conforme a la jurisprudencia del Tribunal de Justicia». (20)

47. Mediante el presente procedimiento prejudicial se solicita al Tribunal de Justicia que decida si lo que podía admitirse al amparo de la Directiva 95/46 debe ahora prohibirse tras la entrada en vigor del Reglamento 2016/679. En otras palabras, ¿tiene el artículo 80, apartado 2, de este Reglamento como efecto jurídico la eliminación de la legitimación activa de una asociación de defensa de los intereses de los consumidores en el marco de una acción como la controvertida en el litigio principal?

48. Cabe dudarlo tras la mera lectura del apartado 62 de la sentencia Fashion ID, en la que el Tribunal de Justicia señaló que el hecho de que el Reglamento 2016/679 «autorice expresamente, en su artículo 80, apartado 2, a los Estados miembros a permitir que las asociaciones de defensa de los intereses de los consumidores ejerciten acciones judiciales contra el presunto infractor de la protección de los datos personales no implica en absoluto que los Estados miembros no pudieran conferirles ese derecho durante la vigencia de la Directiva 95/46, sino que confirma, por el contrario, que la interpretación que de esta se ofrece en la presente sentencia refleja la voluntad del legislador de la Unión». (21)

49. Por las razones que expondré a continuación, considero que ni la sustitución de la Directiva 95/46 por un reglamento ni el hecho de que el Reglamento 2016/679 dedique actualmente un artículo a la representación de los interesados en el marco de las acciones judiciales pueden poner en entredicho lo declarado por el Tribunal de Justicia en su sentencia Fashion ID, a saber, que los Estados miembros pueden establecer en sus normativas nacionales la posibilidad de que las asociaciones de defensa de los intereses de los consumidores ejerciten acciones judiciales contra el presunto infractor de la protección de datos personales.

B. Características particulares del Reglamento 2016/679

50. Por lo que respecta a la sustitución de la Directiva 95/46 por una norma de una naturaleza diferente, a saber, el Reglamento 2016/679, debe señalarse que la decisión del legislador de la Unión de recurrir a la forma jurídica del reglamento, que, en virtud del artículo 288 TFUE, es obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro, se explica por su voluntad, expresada en el considerando 13 del Reglamento 2016/679, de garantizar un nivel coherente de protección de las personas físicas en toda la Unión y de evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior. Por consiguiente, a primera vista parece que este Reglamento pretende lograr una armonización plena, no limitándose, en consecuencia, a establecer normas mínimas que los Estados miembros podrían elevar y no dejando a dichos Estados la opción de establecer excepciones, completar o aplicar sus disposiciones, con el fin de que no se vea comprometida la aplicación simultánea y uniforme en la Unión de las disposiciones de dicho Reglamento.

51. La realidad resulta más compleja. En efecto, la base jurídica del Reglamento 2016/679, a saber, el artículo 16 TFUE, (22) impide considerar que, al adoptar este Reglamento, la Unión se anticipó a todas las ramificaciones que puede tener la protección de los datos personales en otros ámbitos relativos, en particular, al Derecho laboral, al Derecho de la competencia o bien al Derecho del consumo, prohibiendo a los Estados miembros adoptar normas específicas en dichos ámbitos, de manera más o menos autónoma, según se trate o no de un ámbito regido por el Derecho de la Unión. (23) En este sentido, aunque la protección de los datos personales sea, por su propia naturaleza, transversal, la armonización efectuada por el Reglamento 2016/679 está limitada a los aspectos específicamente cubiertos por este Reglamento en dicho ámbito. Fuera de estos, los Estados miembros siguen siendo libres de legislar, siempre y cuando no menoscaben el contenido ni los objetivos de dicho Reglamento.

52. Asimismo, cuando se profundiza detalladamente en las disposiciones del Reglamento 2016/679, es preciso constatar que el alcance de la armonización efectuada por este Reglamento varía en función de las disposiciones consideradas. Por lo tanto, la determinación del alcance normativo de dicho Reglamento exige un examen caso por caso. (24) Si bien puede considerarse, de acuerdo con la jurisprudencia relativa a la Directiva 95/46, (25) que el Reglamento 2016/679 realiza una armonización que es, «en principio, […] completa», diversas disposiciones de este Reglamento reconocen a los Estados miembros un margen de maniobra que, según los supuestos, puede o debe ser utilizado por estos en las condiciones y con los límites previstos en estas mismas disposiciones. (26)

53. Debe recordarse que, según consolidada jurisprudencia del Tribunal de Justicia, «en virtud del artículo 288 TFUE y en razón de la propia índole de los reglamentos y de su función en el sistema de fuentes del Derecho de la Unión, sus disposiciones tienen, por regla general, efecto directo en los ordenamientos jurídicos nacionales, sin necesidad de que las autoridades nacionales adopten medidas de aplicación. No obstante, algunas de estas disposiciones pueden requerir, para su ejecución, la adopción de medidas de aplicación por los Estados miembros». (27) El hecho de recurrir a un reglamento no implica necesariamente que las disposiciones de dicho reglamento no dejen ningún margen de actuación a los sujetos de Derecho. (28) Además, el carácter obligatorio y directamente aplicable de un reglamento no impide que un acto de esta naturaleza pueda contener normas facultativas. (29)

54. Debido al empleo de la palabra «podrán», el artículo 80, apartado 2, del Reglamento 2016/679 constituye un ejemplo de disposición facultativa que ofrece a los Estados miembros un margen de apreciación para su aplicación.

55. Esta disposición forma parte de las numerosas «cláusulas de apertura» que figuran en este Reglamento, que le confieren su singularidad en relación con un reglamento clásico y lo aproximan a una directiva. (30) Las remisiones al Derecho nacional que aparecen en estas cláusulas pueden ser obligatorias, (31) pero con frecuencia constituyen una facultad que se otorga a los Estados miembros. (32) Se ha observado que estas abundantes remisiones a los Derechos nacionales entrañan el riesgo de una nueva fragmentación del régimen de la protección de los datos personales en el seno de la Unión, que iría a contracorriente de la voluntad expresada por el legislador de la Unión de alcanzar una mayor uniformización de este régimen y que puede tener efectos negativos en la efectividad de dicha protección, así como en la legibilidad de sus obligaciones por parte de los responsables y de los encargados del tratamiento. (33) En consecuencia, el alcance de la armonización efectuada por el Reglamento 2016/679 se encuentra limitado por las numerosas «cláusulas de apertura» que figuran en dicho Reglamento.

56. Está claro que, en comparación con lo que sucedía con la Directiva 95/46, mediante el Reglamento 2016/679 el legislador de la Unión ha tratado de regular de forma más amplia y precisa a escala de la Unión los aspectos relativos a la representación de los interesados para presentar una reclamación ante una autoridad de control o bien interponer una acción judicial. (34) Sin embargo, los apartados 1 y 2 del artículo 80 de este Reglamento no tienen el mismo alcance normativo. En efecto, mientras que el apartado 1 de este artículo es obligatorio para los Estados miembros, (35) su apartado 2 simplemente les ofrece una facultad. Así, para que pueda ejercitarse la acción de representación sin mandato prevista en el artículo 80, apartado 2, de dicho Reglamento, los Estados miembros deben hacer uso de la facultad que les otorga esta disposición de establecer en su Derecho nacional esta forma de representación de los interesados.

57. Aunque solo sea por su carácter facultativo y por las potenciales divergencias entre los Derechos nacionales que esto implica, no puede considerarse que el artículo 80, apartado 2, del Reglamento 2016/679 haya realizado una armonización plena en relación con las acciones de representación sin mandato en materia de protección de datos personales. Sin embargo, cuando aplican esta disposición en su Derecho nacional, los Estados miembros deben respetar las condiciones y los límites con los que el legislador de la Unión ha decidido delimitar el ejercicio de la posibilidad prevista en dicha disposición.

58. Si bien, en comparación con lo que ocurría con la Directiva 95/46, la delimitación se vuelve más precisa, los Estados miembros conservan pese a todo un margen de apreciación en la aplicación del artículo 80, apartado 2, del Reglamento 2016/679.

59. De la información de que dispone el Tribunal de Justicia se desprende que el legislador alemán, tras la entrada en vigor de este Reglamento, no ha adoptado ninguna disposición específicamente destinada a aplicar en su Derecho nacional el artículo 80, apartado 2, del citado Reglamento. Dicho esto, procede examinar, como solicita el órgano jurisdiccional remitente al Tribunal de Justicia, si las normas preexistentes del Derecho alemán que conceden a una asociación de defensa de los intereses de los consumidores legitimación activa para hacer cesar un comportamiento constitutivo de una infracción tanto de las disposiciones del Reglamento 2016/679 como de las normas que, en particular, tienen por objeto proteger a los consumidores son compatibles con esta disposición. En otras palabras, ¿se ajusta el Derecho nacional anterior a la entrada en vigor de este Reglamento a lo que permite el artículo 80, apartado 2, del referido Reglamento?

60. Como precisó el Gobierno alemán en la vista, las disposiciones nacionales que facultan a una asociación como la Federación a interponer una acción de representación como la controvertida en el presente asunto son medidas de transposición de la Directiva 2009/22. Para responder a la cuestión de si el artículo 80, apartado 2, del Reglamento 2016/679 autoriza también tal acción y, en consecuencia, si estas mismas disposiciones nacionales se inscriben en el margen de apreciación reconocido a todos los Estados miembros, (36) debe interpretarse este artículo teniendo en cuenta, especialmente, su tenor, así como la lógica y los objetivos de dicho Reglamento.

C. Interpretación literal, sistemática y teleológica del artículo 80, apartado 2, del Reglamento 2016/679

61. A tenor del artículo 80, apartado 2, del Reglamento 2016/679, las acciones de representación previstas en él pueden ser ejercitadas por «cualquier entidad, organización o asociación mencionada en el apartado 1» de dicho artículo. El artículo 80, apartado 1, de este Reglamento se refiere a «una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales». En mi opinión, tal definición no puede limitarse a las entidades que tienen como único y exclusivo objetivo la protección de los datos personales, sino que se extiende a todas aquellas que persiguen un objetivo de interés público relacionado con la protección de datos personales. Así sucede en el caso de las asociaciones de defensa de los intereses de los consumidores, como la Federación, que se encargan de interponer acciones de cesación de comportamientos que, al infringir lo dispuesto en dicho Reglamento, infringen también normas en materia de protección de los consumidores o de lucha contra la competencia desleal. (37)

62. Según el tenor del artículo 80, apartado 2, del Reglamento 2016/679, la acción de representación puede ser ejercitada por una entidad que cumpla los requisitos mencionados en el apartado 1 de este artículo si «considera que los derechos del interesado con arreglo a[dicho Reglamento] han sido vulnerados como consecuencia de un tratamiento». Contrariamente a lo que parece dar a entender el órgano jurisdiccional remitente, no creo que esta última parte de la frase deba interpretarse de forma estricta, en el sentido de que, para estar legitimada para actuar de conformidad con lo previsto en el artículo 80, apartado 2, del Reglamento 2016/679, una entidad deba identificar previamente a una o varias personas concretamente afectadas por el tratamiento en cuestión. Los trabajos preparatorios para la adopción de este Reglamento no apuntan en modo alguno en este sentido. Además, me parece que la propia definición del concepto de «interesado», en el sentido del artículo 4, punto 1, de dicho Reglamento, esto es, una «persona física identificada o identificable», (38) es contraria a la exigencia de que las personas que son objeto de un tratamiento que infrinja lo dispuesto en el Reglamento 2016/679 ya deban estar identificadas en el momento de la interposición de una acción de representación en virtud del artículo 80, apartado 2, de dicho Reglamento. De ello se deduce lógicamente que, al amparo de esta disposición, no puede exigirse que una entidad alegue la existencia de casos concretos relativos a personas identificadas de forma individualizada para que pueda estar facultada para actuar de conformidad con lo previsto en la mencionada disposición.

63. Considero que el ejercicio de una acción de representación al amparo del artículo 80, apartado 2, del Reglamento 2016/679 supone únicamente que se debe alegar la existencia de un tratamiento de datos personales contrario a las disposiciones de dicho Reglamento que protegen derechos individuales, y, por tanto, que pueda afectar a los derechos de personas identificadas o identificables, sin que la legitimación activa de una entidad esté sujeta a la comprobación caso por caso de si se han vulnerado los derechos de una o varias personas. (39) En resumen, tal acción debe basarse en la vulneración de los derechos que dicho Reglamento otorga a las personas físicas a resultas del tratamiento de sus datos personales. Esta acción no tiene por objeto proteger un Derecho objetivo, sino únicamente los derechos subjetivos que el Reglamento 2016/679 concede directamente a los interesados. (40) En otras palabras, la cláusula de apertura que aparece en el artículo 80, apartado 2, de este Reglamento está dirigida a permitir a las entidades autorizadas solicitar a una autoridad de control o a un órgano jurisdiccional que comprueben si los responsables del tratamiento cumplen las normas que protegen a los interesados contenidas en el referido Reglamento. (41) Desde esta perspectiva, para que una entidad tenga legitimación activa en virtud de esta disposición, basta con que invoque la infracción de las disposiciones del Reglamento 2016/679 que tienen por objeto proteger los derechos subjetivos de los interesados.

64. Como afirma en esencia la Comisión, una interpretación del artículo 80, apartado 2, del Reglamento 2016/679 según la cual, para poder ejercitar una acción de representación sin mandato, una entidad deba demostrar o alegar la vulneración de los derechos de una persona determinada en una situación concreta limitaría de forma demasiado significativa el ámbito de aplicación de esta disposición. Al igual que el Gobierno portugués y la Comisión, considero que el artículo 80, apartado 2, de este Reglamento debe ser objeto de una interpretación que salvaguarde su efecto útil en relación con el apartado 1 de ese artículo. Por consiguiente, en mi opinión debe entenderse que el artículo 80, apartado 2, de dicho Reglamento va más allá de la representación de casos individuales, que constituye el objeto del apartado 1 del mencionado artículo, al abrir la posibilidad de la representación, a iniciativa de las entidades autorizadas y de forma autónoma, de los intereses colectivos de las personas que son objeto de un tratamiento de sus datos personales contrario a lo dispuesto en el Reglamento 2016/679. El efecto útil del artículo 80, apartado 2, de este Reglamento se vería en gran medida reducido si se considerara que, tal como se exige en el apartado 1 de dicho artículo, la actuación de una entidad en los dos supuestos se limita a la representación de personas designadas por su nombre y de forma individual.

65. Además, la interpretación del artículo 80, apartado 2, del Reglamento 2016/679 que propugno es conforme con el carácter preventivo y con la finalidad disuasoria de las acciones de cesación, así como con su independencia con respecto a cualquier litigio individual concreto. (42)

66. Si no se quiere correr el riesgo de crear dos estándares diferentes relativos a la legitimación activa de las entidades habilitadas para interponer una acción de cesación, en función de que dicha acción se base en una medida nacional que entre en el ámbito de aplicación del artículo 80, apartado 2, del Reglamento 2016/679 o bien en el de la Directiva 2020/1828, me parece adecuado tener en cuenta, aunque esta Directiva no sea aplicable en el marco del litigio principal, el hecho de que esta no exige a tales entidades que invoquen la existencia de consumidores individuales designados por su nombre que se hayan visto afectados por la infracción en cuestión, (43) sino que aleguen la existencia de infracciones, cometidas por profesionales, de las disposiciones del Derecho de la Unión contempladas en el anexo I de dicha Directiva, (44) que también menciona, en su punto 56, el Reglamento 2016/679.

67. Considero que la tesis favorable a una interpretación estricta del artículo 80, apartado 2, del Reglamento 2016/679 contrapone de manera errónea la defensa de los intereses colectivos de los consumidores (45) y la protección de los derechos de cada persona que es objeto de un tratamiento que supuestamente infringe dicho Reglamento. En efecto, la defensa de los intereses colectivos de los consumidores no excluye, a mi entender, la protección de los derechos subjetivos que el Reglamento 2016/679 concede directamente a los interesados, sino que, al contrario, engloba tal protección.

68. Por lo demás, en la indicación contenida en el considerando 15 de la Directiva 2020/1828, según la cual «los mecanismos de control del cumplimiento previstos o basados en el Reglamento […] 2016/679 […] podrían seguir utilizándose, cuando sean de aplicación, para la protección de los intereses colectivos de los consumidores», (46) me parece vislumbrar la confirmación de que la acción de representación prevista en el artículo 80, apartado 2, de dicho Reglamento puede tener efectivamente por objeto la protección de tales intereses.

69. De los elementos anteriores deduzco que, a mi entender, el artículo 80, apartado 2, del Reglamento 2016/679 autoriza a los Estados miembros a establecer la posibilidad de que las entidades habilitadas ejerciten, sin mandato de los interesados, acciones de representación dirigidas a proteger los intereses colectivos de los consumidores, siempre que se alegue la infracción de disposiciones de dicho Reglamento que tengan por objeto conferir derechos subjetivos a los interesados.

70. Pues bien, así sucede en el caso de la acción de cesación interpuesta por la Federación contra Facebook Ireland.

71. En efecto, debo recordar que, según el órgano jurisdiccional remitente y de conformidad con las pretensiones de la Federación, Facebook Ireland incumplió la obligación que le incumbía en virtud del artículo 12, apartado 1, primera frase, del Reglamento 2016/679, que consiste en facilitar al interesado, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, la información indicada en el artículo 13, apartado 1, letras c) y e), de dicho Reglamento, relativas a los fines del tratamiento de los datos y al destinatario de los datos personales. Sin duda, estas disposiciones pertenecen a la categoría de las que confieren derechos subjetivos a los interesados, lo que se ve confirmado, en particular, por la constatación de que figuran en el capítulo III de dicho Reglamento, que lleva por título «Derechos del interesado». Por lo tanto, pueden exigir la protección de estos derechos bien directamente los interesados, bien una entidad habilitada con arreglo al artículo 80, apartado 1, del Reglamento 2016/679 o con arreglo a disposiciones nacionales que apliquen el artículo 80, apartado 2, de este Reglamento.

72. También considero que el artículo 80, apartado 2, del Reglamento 2016/679 no se opone a aquellas disposiciones nacionales que faculten a una asociación de defensa de los intereses de los consumidores para ejercitar una acción de cesación con el fin de garantizar el respeto de los derechos conferidos por dicho Reglamento a través de normas que tengan por objeto proteger a los consumidores o luchar contra las prácticas comerciales desleales. En efecto, tales normas pueden contener disposiciones parecidas a las que figuran en el referido Reglamento, especialmente en lo tocante a la información a los interesados sobre el tratamiento de sus datos personales, (47) lo que implica que la infracción de una norma relativa a la protección de los datos personales puede suponer simultáneamente la infracción de normas relativas a la protección de los consumidores o a las prácticas comerciales desleales. En la redacción del artículo 80, apartado 2, del Reglamento 2016/679, nada impide la aplicación parcial de esta cláusula de apertura, en la medida en que la acción de representación tenga por objeto proteger, en su calidad de consumidores, los derechos que este Reglamento otorga a los interesados. (48)

73. La interpretación del artículo 80, apartado 2, del Reglamento 2016/679 así propuesta es, en mi opinión, la que mejor permite alcanzar los objetivos perseguidos por este Reglamento.

74. A este respecto, el Tribunal de Justicia ha señalado que, «como se desprende del artículo 1, apartado 2, del Reglamento 2016/679, en relación con los considerandos 10, 11 y 13 de dicho Reglamento, este último impone a las instituciones, órganos y organismos de la Unión, así como a las autoridades competentes de los Estados miembros, la misión de garantizar un nivel elevado de protección de los derechos establecidos en el artículo 16 TFUE y en el artículo 8 de la Carta [de los Derechos Fundamentales de la Unión Europea]». (49) Asimismo, el mencionado Reglamento pretende «garantizar una protección eficaz de las libertades y de los derechos fundamentales de las personas físicas, en particular su derecho a la protección de la intimidad y a la protección de los datos personales». (50)

75. Iría en contra del objetivo de garantizar un elevado nivel de protección de los datos personales impedir a los Estados miembros establecer acciones que, a la vez que persiguen un objetivo de protección de los consumidores, contribuyan también a alcanzar el objetivo de protección de los datos personales. Al igual que sucedía en el caso de la Directiva 95/46, sigue pudiendo afirmarse, tras la entrada en vigor del Reglamento 2016/679, que el reconocimiento de la legitimación de las asociaciones de defensa de los intereses de los consumidores con el fin de lograr el cese de los tratamientos contrarios a las disposiciones de dicho Reglamento contribuye a reforzar los derechos de los interesados a través de las acciones colectivas. (51)

76. Así, la defensa de los intereses colectivos de los consumidores por parte de las asociaciones es especialmente apta para la consecución del objetivo de establecer un elevado nivel de protección de los datos personales. Desde este punto de vista, la función preventiva de las acciones ejercitadas por estas asociaciones no podría garantizarse si la acción de representación prevista en el artículo 80, apartado 2, del Reglamento 2016/679 solo permitiera invocar la vulneración de los derechos de una persona afectada de forma individual y concreta por dicha vulneración.

77. En consecuencia, las acciones de cesación interpuestas por las asociaciones de defensa de los intereses de los consumidores, como la Federación, contribuyen sin lugar a dudas a garantizar la aplicación efectiva de los derechos protegidos por el Reglamento 2016/679. (52)

78. Asimismo, resultaría cuando menos paradójico que el reforzamiento de los medios de control de las normas relativas a la protección de los datos personales que pretendía lograr el legislador de la Unión con la adopción del Reglamento 2016/679 se tradujera finalmente en una reducción del nivel de dicha protección en comparación con el que los Estados miembros podían ofrecer al amparo de la Directiva 95/46.

79. Es cierto que, a diferencia de lo que sucede en los Estados Unidos de América, en el Derecho de la Unión, las normativas relativas, por una parte, a las prácticas comerciales desleales y, por otra, a la protección de los datos personales se han desarrollado de forma separada. De este modo, los dos ámbitos están sujetos a marcos jurídicos diferentes.

80. Dicho esto, existen interacciones entre estos dos ámbitos, de forma que las acciones enmarcadas en la normativa relativa a la protección de datos personales pueden, al mismo tiempo y de forma indirecta, contribuir al cese de una práctica comercial desleal. Lo mismo sucede a la inversa. (53) Por lo demás, la relación entre la protección de datos personales, desde el punto de vista del consentimiento al tratamiento de dichos datos, y la protección de los consumidores se refleja en el propio Reglamento 2016/679, más concretamente en su considerando 42. Asimismo, la Comisión ha puesto de relieve las interacciones entre la normativa de la Unión en materia de protección de datos personales y la Directiva 2005/29/CE. (54)

81. Las interacciones entre el Derecho relativo a la protección de datos personales, el Derecho del consumo y el Derecho de la competencia son frecuentes y numerosas, habida cuenta de que un mismo comportamiento puede estar comprendido simultáneamente en el ámbito de aplicación de normas jurídicas que pertenecen a estos distintos ámbitos. Tales interacciones contribuyen a hacer más efectiva la protección de los datos personales. (55)

82. Es cierto que los beneficiarios de los derechos previstos en el Reglamento 2016/679 no se limitan a la categoría de los consumidores, dado que este Reglamento no se basa en una concepción consumista de la protección de las personas físicas en relación con el tratamiento de datos personales, (56) sino en la idea de que esta protección, con arreglo al artículo 8 de la Carta de los Derechos Fundamentales y según indican en particular el considerando 1 y el artículo 1, apartado 2, de dicho Reglamento, es un derecho fundamental. (57)

83. No obstante, en la era de la economía digital, los interesados a menudo son consumidores. Este es el motivo por el cual las normas dirigidas a proteger a los consumidores se emplean a menudo para garantizar la protección de estos frente a un tratamiento de sus datos personales contrario a lo dispuesto en el Reglamento 2016/679.

84. A la vista de este análisis, resulta obligado reconocer que puede existir un solapamiento entre la acción de representación prevista en el artículo 80, apartado 2, del Reglamento 2016/679 y la prevista en la Directiva 2020/1828 para obtener la adopción de medidas de cesación cuando los «interesados», en el sentido de dicho Reglamento, sean también «consumidores», en el sentido del artículo 3, punto 1, de esta Directiva. (58) Veo en ello un signo de la complementariedad y de la convergencia del Derecho en materia de protección de datos personales con otros ámbitos del Derecho, como el Derecho del consumo y el Derecho de la competencia. Con la adopción de la mencionada Directiva, el legislador de la Unión ha impulsado este movimiento aún más allá, al vincular expresamente la protección de los intereses colectivos de los consumidores al respeto del Reglamento 2016/679. Esto no hace sino reforzar la aplicación efectiva de las normas contenidas en este.

V. Conclusión

85. Habida cuenta de todas las consideraciones anteriores, propongo responder a la cuestión prejudicial planteada por el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania) de la siguiente manera:

«El artículo 80, apartado 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que no se opone a una normativa nacional que permite a las asociaciones de defensa de los intereses de los consumidores emprender acciones judiciales contra el presunto infractor de la protección de datos personales, invocando el incumplimiento de la prohibición de las prácticas comerciales desleales, la infracción de la legislación en materia de protección de los consumidores o el incumplimiento de la prohibición de uso de condiciones generales de la contratación nulas, siempre y cuando la acción de representación en cuestión tenga por objeto hacer respetar los derechos que el Reglamento concede directamente a las personas que sean objeto del tratamiento controvertido.»

1 Lengua original: francés.

2 Reglamento del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).

3 Directiva del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

4 Véase la sentencia de 29 de julio de 2019, Fashion ID (C‑40/17, en lo sucesivo, «sentencia Fashion ID», EU:C:2019:629).

5 Véase, asimismo, el considerando 142 de dicho Reglamento.

6 BGBl. 2004 I, p. 1414; en lo sucesivo, «Ley contra la Competencia Desleal».

7 BGBl. 2001 I, pp. 3138, 3173; en lo sucesivo, «Ley sobre las Acciones de Cesación».

8 DO 2009, L 110, p. 30.

9 BGBl. 2007 I, p. 179; en lo sucesivo, «Ley de servicios de comunicación electrónicos».

10 La representación de los interesados también está prevista en el artículo 67 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.^o 45/2001 y la Decisión n.^o 1247/2002/CE (DO 2018, L 295, p. 39), así como en el artículo 55 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89). En ambos casos se trata de una representación con mandato.

11 Esta tendencia, materializada en particular en la Directiva 2009/22, ha dado lugar a la reciente adopción de la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2020, relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE (DO 2020, L 409, p. 1). La fecha límite para la transposición de esta última Directiva se fijó en el 25 de diciembre de 2022. Véase, a este respecto, Pato, A., «Collective Redress Mechanisms in the EU», Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, Londres, 2019, pp. 45 a 117. Véase también Gsell, B., «The New European Directive on Representative Actions for the Collective Interests of Consumers — A Huge, but Blurry Step Forward», Common Market Law Review, vol. 58, Issue 5, Kluwer Law International, Alphen-sur-le-Rhin, 2021, pp. 1365 a 1400.

12 Véase la sentencia Fashion ID (apartado 63 y fallo).

13 Véase la sentencia Fashion ID (apartado 47).

14 Véase la sentencia Fashion ID (apartado 48).

15 Véase la sentencia Fashion ID (apartado 49).

16 Véase la sentencia Fashion ID (apartado 50).

17 Véase la sentencia Fashion ID (apartado 51).

18 Véase la sentencia Fashion ID (apartado 56 y jurisprudencia citada).

19 Véase la sentencia Fashion ID (apartado 57 y jurisprudencia citada).

20 Véase la sentencia Fashion ID (apartado 59).

21 El subrayado es mío.

22 Como ha señalado el Tribunal de Justicia en su sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartado 44.

23 De los considerandos del Reglamento 2016/679 se desprende que este se adoptó sobre la base del artículo 16 TFUE, cuyo apartado 2 dispone en concreto que el Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre, por una parte, la protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y, por otra parte, sobre la libre circulación de los datos.

24 Determinar el alcance de la armonización efectuada por una norma como el Reglamento 2016/679 implica, por tanto, realizar «un análisis más detallado, que atienda a una norma específica o, mejor aún, a un aspecto concreto y definido del Derecho de la Unión» [véanse las conclusiones del Abogado General Bobek presentadas en el asunto Dzivev y otros (C‑310/16, EU:C:2018:623), apartado 74]. Véanse también Mišćenić, E., y Hoffmann, A.-L., «The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)», EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, Issue 4, pp. 44 a 61, que señalan que «it is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them» (p. 49).

25 Véase la sentencia de 6 de noviembre de 2003, Lindqvist (C‑101/01, EU:C:2003:596), apartado 96.

26 Véase, en relación con la Directiva 95/46, la sentencia de 6 de noviembre de 2003, Lindqvist (C‑101/01, EU:C:2003:5969), apartado 97. Contrariamente a ciertas ideas preconcebidas, la decisión del legislador de la Unión de recurrir a un reglamento en lugar de a una directiva no se traduce necesariamente en una armonización completa del ámbito considerado. Véanse Mišćenić, E., y Hoffmann, A.-L., op. cit., que señalan que «an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules» (p. 48).

27 Véase, en particular, la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:4839), apartado 110 y jurisprudencia citada. Véase, también, por lo que respecta a un ámbito que fue anteriormente objeto de una directiva, la sentencia de 21 de diciembre de 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863), apartado 42, en la que el Tribunal de Justicia precisó que «el hecho de que la normativa de la Unión en materia de protección de animales durante el transporte figure actualmente en un reglamento no significa necesariamente que en lo sucesivo esté proscrita cualquier medida nacional de aplicación de esta normativa».

28 Véase la sentencia de 27 de octubre de 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29 De este modo, el Tribunal de Justicia ha admitido que un Estado miembro que decida no ejercer una facultad conferida por un reglamento no infringe el artículo 288 TFUE [véase la sentencia de 17 de diciembre de 2015, Imtech Marine Belgium (C‑300/14, EU:C:2015:825), apartados 27 a 31]. Véase también, respecto de un reglamento por el que se establecen restituciones a la exportación que los Estados miembros pueden conceder o denegar, la sentencia de 27 de octubre de 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30 Véase, sobre estas cláusulas de apertura, Wagner, J., y Benecke, A., «National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law», European Data Protection Law Review, Lexxion, Berlín, vol. 2, Issue 3, 2016, pp. 353 a 361.

31 Véanse, en particular, los artículos 51 y 84 del Reglamento 2016/679.

32 Véanse, en particular, los artículos 6, apartados 2 y 3, 8, apartado 1, párrafo segundo, y 85 a 89 del Reglamento 2016/679.

33 Véanse, a este respecto, Mišćenić, E., y Hoffmann, A.-L., op. cit., que observan que «despite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation» (pp. 50 y 51).

34 La Directiva 95/46 únicamente preveía, en su artículo 28, apartado 4, la posibilidad de que una asociación se encargara de presentar una reclamación ante una autoridad de control por cuenta de una persona que alegara una vulneración de sus derechos en el marco de un tratamiento de datos personales.

35 Exceptuando, no obstante, la acción de representación con mandato dirigida a obtener reparación en nombre de los interesados, que sigue siendo facultativa para los Estados miembros.

36 Véase, por analogía, la sentencia de 21 de diciembre de 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863), apartado 43.

37 Véase Pato, A., «The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights», National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxemburgo, 2019, pp. 98 a 106. Según esta autora, «the number of actors who potentially have standing to sue is broad» y «consumer associations will usually meet those requirements easily» (p. 99).

38 El subrayado es mío. Según esta misma disposición, «se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona». Como señala Martial-Braz, N., «Le champ d’application du RGPD», en Bensamoun, A., y Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, París, 2020, pp. 19 a 33, «el carácter identificable se entiende en un sentido amplio, dado que el criterio de identificación de la persona abarca el conjunto de los medios que puedan razonablemente utilizarse para identificar a la persona» (p. 24). Véase, en particular, sobre el concepto de «persona identificable» en el sentido del artículo 2, letra a), de la Directiva 95/46, la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779).

39 Véase Boehm, F., «Artikel 80 — Vertretung von betroffenen Personen», en Simitis, S., Hornung, G., y Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden, 2019, en particular el punto 13.

40 Véase Frenzel, E.M., «Art. 80 — Vertretung von betroffenen Personen», en Paal, B.P., y Pauly, D.A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3.^a ed, C. H. Beck, Múnich, 2021, en particular el punto 11, así como Kreße, B., «Artikel 80 — Vertretung von betroffenen Personen», en Sydow, G., Europäische Datenschutzverordnung, 2.^a ed., Nomos, Baden-Baden, 2018, en particular el punto 13.

41 Véase Moos, F., y Schefzig, J., «Art. 80 — Vertretung von betroffenen Personen», en Taeger, J., y Gabel, D., Kommentar DSGVO — BDSG, 3.^a ed., Deutscher Fachverlag, Fráncfort del Meno, 2019, en particular el punto 22.

42 Véase, en particular, en lo tocante a las cláusulas abusivas en contratos celebrados entre profesionales y consumidores, la sentencia de 14 de abril de 2016, Sales Sinués y Drame Ba (C‑381/14 y C‑385/14, EU:C:2016:252), apartado 29.

43 Véanse el considerando 33 y el artículo 8, apartado 3, letra a), de la Directiva 2020/1828, según el cual «la entidad habilitada no tendrá la obligación de demostrar [una] pérdida, daño o perjuicio efectivo de los consumidores considerados individualmente que se vean afectados por la infracción a que se refiere el artículo 2, apartado 1». Asimismo, si bien el artículo 7, apartado 2, de esta Directiva impone a la entidad habilitada la obligación de proporcionar al órgano jurisdiccional o autoridad administrativa «información suficiente sobre los consumidores afectados por la acción de representación», se deduce del considerando 34 de la referida Directiva que esta información, cuyo grado de detalle puede variar en función de la medida solicitada por la entidad habilitada, no se refiere a la designación de consumidores individuales afectados por la infracción de que se trate, sino más bien a datos tales como el lugar del hecho causante del perjuicio o bien la indicación del grupo de consumidores afectados por la acción de representación (véase también el considerando 65 de la Directiva 2020/1828). Por otra parte, debo señalar que, incluso cuando la acción de representación pretenda obtener medidas resarcitorias, el considerando 49 de la Directiva 2020/1828 indica que «la entidad habilitada no puede estar obligada a identificar individualmente a todos los consumidores afectados por la acción de representación para iniciar dicha acción». Véase, a este respecto, Gsell, B., op. cit., en particular p. 1370.

44 Véase el artículo 2, apartado 1, de la Directiva 2020/1828.

45 Véase el considerando 3 de la Directiva 2009/22, que precisa que las acciones de cesación comprendidas en su ámbito de aplicación tienen por objeto proteger los «intereses colectivos de los consumidores», que se definen como «los intereses que no sean una acumulación de intereses de particulares que se hayan visto perjudicados por una infracción». En el artículo 3, punto 3, de la Directiva 2020/1828, el concepto de «intereses colectivos de los consumidores» se define como «el interés general de los consumidores y, en particular a efectos de medidas resarcitorias, los intereses de un grupo de consumidores».

46 El subrayado es mío.

47 Véanse Helberger, N., Zuiderveen Borgesius, F., y Reyna, A., «The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law», Common Market Law Review, vol. 54, Issue 5, Kluwer Law International, Alphen-sur-le-Rhin, 2017, pp. 1427 a 1465, que observan que «one feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual» (p. 1437).

48 Véase Neun, A., y Lubitzsch, K., «Die neue EU-Datenschutz-Grundverordnung — Rechtsschutz und Schadensersatz», Betriebs-Berater, Deutscher Fachverlag, Fráncfort del Meno, 2017, pp. 2563 a 2569, en particular p. 2567.

49 Véase la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartado 45.

50 Véase la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartado 91.

51 Véanse las conclusiones del Abogado General Bobek presentadas en el asunto Fashion ID (C‑40/17, EU:C:2018:1039), punto 33.

52 Para ver ejemplos de acciones entabladas por asociaciones de defensa de los intereses de los consumidores, véase Helberger, N., Zuiderveen Borgesius, F., y Reyna, A., op. cit., en particular pp. 1452 y 1453.

53 Véanse, sobre la complementariedad entre las acciones relativas a la protección de datos personales y las dirigidas a poner fin a las prácticas comerciales desleales, van Eijk, N., Hoofnagle, C. J., y Kannekens, E., «Unfair Commercial Practices: A Complementary Approach to Privacy Protection», European Data Protection Law Review, Lexxion, Berlín, vol. 3, Issue 3, 2017, pp. 325 a 337, que señalan que «through applying rules on unfair commercial practices, the enforcement of privcy issues could become more effective» (p. 336).

54 Directiva del Parlamento Europeo y del Consejo de 11 de mayo de 2005 relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior, que modifica la Directiva 84/450/CEE del Consejo, las Directivas 97/7/CE, 98/27/CE y 2002/65/CE del Parlamento Europeo y del Consejo y el Reglamento (CE) n.^o 2006/2004 del Parlamento Europeo y del Consejo («Directiva sobre las prácticas comerciales desleales») (DO 2005, L 149, p. 22). Véase el Documento de trabajo de los servicios de la Comisión — Guía para la implementación/aplicación de la Directiva 2005/29/CE relativa a las prácticas comerciales desleales que acompaña al documento Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regionales — Un enfoque global dirigido a estimular el comercio electrónico transfronterizo para las empresas y los ciudadanos europeos [SWD(2016) 163 final], en particular el punto 1.4.10, pp. 26 a 29. En dicho documento, la Comisión hace hincapié en la necesidad de un tratamiento leal de los datos, que implica que se facilite al interesado una cierta información pertinente, especialmente sobre los fines del tratamiento de los datos personales en cuestión (p. 27). La Comisión también señala que «por sí mismo, el incumplimiento de la Directiva [95/46] o de la Directiva [2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37)] por un comerciante no siempre [significa] que la práctica infrinja también la [Directiva 2005/29]». No obstante, según la Comisión, «al evaluar el carácter desleal de las prácticas comerciales en virtud de la [Directiva 2005/29] se deben tener en consideración estas violaciones de la protección de datos, en particular si el comerciante trata datos de los consumidores en violación de los requisitos de protección de datos, es decir, para fines de comercialización directa u otros fines comerciales, como la elaboración de perfiles, tarificaciones personales o aplicaciones de datos masivos» (p. 29).

55 A este respecto, véanse, en particular, Helberger, N., Zuiderveen Borgesius, F., y Reyna, A., op. cit., que señalan que «data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets» (p. 1429). Véase, asimismo, van Eijk, N., Hoofnagle, C.J., y Kannekens, E., op. cit., en particular p. 336. Para ilustrar la complementariedad entre las normas relativas a la protección de los datos personales en el sector de las comunicaciones electrónicas y las normas que prohíben las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores, véanse mis conclusiones presentadas en el asunto StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).

56 Véase Martial-Braz, N., op. cit., en particular p. 23.

57 Véase la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartado 44.

58 Véase el considerando 14 de la Directiva 2020/1828, según el cual esta «solo debe proteger los intereses de las personas físicas que se hayan visto […] perjudicadas por [las infracciones de las disposiciones del Derecho de la Unión que se recogen en el anexo I] o [que] puedan verse perjudicadas por dichas infracciones, si esas personas pueden considerarse consumidores con arreglo a [esta] Directiva».