Esta situación podría generar un incremento notable de las reclamaciones en materia de protección de datos.

Meta Platforms Ireland, anteriormente Facebook Ireland, es la responsable del tratamiento de datos personales de los usuarios de la red social Facebook en la Unión.

La Federación alemana de Organizaciones y Asociaciones de Consumidores ejercitó una acción de cesación contra Meta Platforms Ireland, reprochándole haber infringido, en el marco de la puesta a disposición de los usuarios de juegos gratuitos suministrados por terceros, normas relativas a la protección de datos personales, a la lucha contra la competencia desleal y a la protección de los consumidores.

El Tribunal Supremo de lo Civil y Penal (Alemania) considera fundada la acción de la Federación, no obstante, alberga dudas sobre su admisibilidad.

Así pues, dicho órgano jurisdiccional se pregunta si una asociación de defensa de los consumidores, como la Federación, aún dispone, tras la entrada en vigor del Reglamento General de Protección de Datos, de legitimación activa para ejercitar una acción ante los tribunales civiles contra las infracciones de dicho Reglamento, y esto con independencia de la vulneración concreta de derechos de los interesados y sin un mandato conferido por estos. Por otro lado, señala que del Reglamento General de Protección de Datos puede deducirse que incumbe principalmente a las autoridades de control comprobar la aplicación del mismo.

En su sentencia, el Tribunal de Justicia declara que el Reglamento General de Protección de Datos no se opone a una normativa nacional que permite a una asociación de defensa de los intereses de los consumidores ejercitar acciones sin mandato conferido a tal fin y con independencia de la vulneración de derechos concretos de los interesados, contra el presunto infractor de la normativa en materia de protección de datos personales, invocando el incumplimiento de la prohibición de prácticas comerciales desleales, de una ley en materia de protección de los consumidores o de la prohibición del uso de condiciones generales nulas, toda vez que el tratamiento de los datos de que se trate pueda afectar a los derechos que este Reglamento confiere a personas físicas identificadas o identificables.

Con carácter preliminar, el Tribunal de Justicia pone de relieve que el Reglamento General de Protección de Datos lleva a cabo una armonización, en principio completa, de las legislaciones nacionales en materia de protección de datos personales. Sin embargo, algunas disposiciones de dicho Reglamento ofrecen a los Estados miembros un margen de apreciación que les permite establecer normas nacionales complementarias en lo que respecta a su aplicación a condición de que las normas nacionales adoptadas no sean contrarias al contenido y a los objetivos de dicho Reglamento. A este respecto, tienen la posibilidad, en particular, de contemplar el mecanismo de la acción de representación contra el presunto infractor de la normativa en materia de protección de datos personales, estableciendo al mismo tiempo una serie de requisitos que deben respetarse.

El Tribunal de Justicia subraya, en primer lugar, que una asociación de defensa de los intereses de los consumidores, como la Federación, está comprendida en el concepto de

«entidad con legitimación activa» con arreglo al Reglamento General de Protección de Datos en la medida en que persigue un objetivo de interés público consistente en garantizar los derechos de los consumidores. En efecto, la infracción de normas relativas a la protección de los consumidores o a las prácticas comerciales desleales puede estar vinculada a la infracción de normas en materia de protección de datos personales.

El Tribunal de Justicia señala, en segundo lugar, que el ejercicio de una acción de representación presupone que dicha asociación, con independencia del mandato del interesado, «considera» que los derechos del interesado con arreglo a dicho Reglamento han sido vulnerados por el tratamiento de sus datos personales, sin que sea necesario identificar, previamente y de forma individual, a la persona concretamente afectada por dicho tratamiento o alegar una vulneración concreta de los derechos que confieren las normas en materia de protección de datos.

Tal interpretación es conforme con el objetivo que persigue el Reglamento General de Protección de Datos consistente en asegurar un nivel elevado de protección de los datos personales.

Por último, según Tribunal de Justicia, el Reglamento General de Protección de Datos no se opone a disposiciones nacionales que contemplen el ejercicio de acciones de representación contra la vulneración de derechos conferidos por este Reglamento, mediante, llegado el caso, normas que tengan por objeto la protección de los consumidores o la lucha contra las prácticas comerciales desleales.

NOTA: La remisión prejudicial permite que los tribunales de los Estados miembros, en el contexto de un litigio del que estén conociendo, interroguen al Tribunal de Justicia acerca de la interpretación del Derecho de la Unión o sobre la validez de un acto de la Unión. El Tribunal de Justicia no resuelve el litigio nacional, y es el tribunal nacional quien debe resolver el litigio de conformidad con la decisión del Tribunal de Justicia. Dicha decisión vincula igualmente a los demás tribunales nacionales que conozcan de un problema similar.

FUENTE: LegalToday