Las Asociaciones de Consumidores y las acciones en materia de Protección de Datos

El Tribunal de Justicia de la Unión Europea se ha pronunciado por primera vez sobre el artículo 80.2 del RGPD (“representación de los interesados”), más concretamente sobre la posibilidad de que las asociaciones de consumidores puedan ejercer acciones colectivas en defensa de los derechos e intereses de sus asociaciones en materia de protección de datos.

Hablamos de las acciones colectivas por medio de las cuales organizaciones o asociaciones sin ánimo de lucro, como las de consumidores y usuarios, pueden presentar una reclamación en nombre de sus asociados y reclamar una indemnización. Y hacerlo además a escala europea.

Dicha sentencia versa sobre Meta Platforms Ireland (antes Facebook Ireland), encargada de la gestión de oferta de servicios en línea de Facebook, siendo la responsable del tratamiento de los datos personales de los usuarios de esta red en la Unión Europea.

Facebook contiene un espacio denominado «App-Zentrum» (Centro de Aplicaciones), en él se pone a disposición de sus usuarios, en particular, juegos gratuitos suministrados por terceros, teniendo que aceptar su política en materia de protección de datos para el uso de determinados datos personales para la publicación.  

La Federación alemana de Organizaciones y Asociaciones de Consumidores estimó que las advertencias mostradas en los juegos del Centro de Aplicaciones a que se ha hecho referencia eran desleales, imponiendo una acción de cesación contra Meta Platforms Ireland.

La resolución que estimó dicha acción fue recurrida en apelación por Meta Platforms Ireland, que, tras ver desestimado dicho recurso, recurrió en casación ante el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania), el cual acudió ante el Tribunal de Justicia.

Entre los requisitos que el TJUE establece para el ejercicio de la acción de representación del artículo 80.2 del RGPD se establecen:

1. Legitimación activa: El TJUE considera que dicha asociación persigue un objetivo de interés público que consiste en la protección de los derechos y las libertades de los interesados en su condición de consumidores.
2. Necesidad de mandato expreso para el ejercicio de la acción: Además, añade que el ejercicio de dicha acción de representación presupone que la entidad en cuestión considera que los derechos que el RGPD confiere a un interesado han sido vulnerados como consecuencia del tratamiento de sus datos personales.
3. Vulneración de los derechos de una persona concreta: El Tribunal considera también que, el ejercicio de dicha acción de representación no exige una vulneración concreta de los derechos que el RGPD confiere a una persona, sin que sea necesario acreditar el perjuicio real sufrido por el interesado, en una situación determinada, por la lesión de sus derechos.

Recordemos que el artículo 80.1. RGPD señala que “El interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación”.

Esta sentencia tendrá, previsiblemente, un efecto significativo en el número de acciones colectivas que se inicien próximamente.

#Helas #protecciondedatos #legaltech #privacy #UE #TJUE

María Martín Pardo de Vera

Responsable de Consultoría y Desarrollo de Negocio en Helas Consultores y Socia de Women in a Legal World