Las asociaciones de consumidores sí pueden denunciar infracciones de protección de datos

ACTUALIDAD JUDICIAL COMUNITARIA

Basta con alegar que el tratamiento de datos puede afectar a los derechos de personas físicas identificadas o identificables, sin que sea necesario probar un perjuicio real 

El Tribunal de Justicia de la Unión Europea (TJUE) aclara, a través de una reciente sentencia, que las asociaciones de consumidores pueden entablar acciones contra las infracciones en materia de protección de datos personales. Para ello, debe perseguir un objetivo de interés público consistente en garantizar los derechos y libertades de los interesados en su condición de consumidores, sin que sea necesario probar un daño real.

En el litigio principal, una asociación de consumidores alemana ejercitó acción de cesación contra una plataforma que gestiona la oferta de servicios de la red social en línea en la Unión y es la responsable del tratamiento de datos personales de los usuarios de dicha red social en la Unión, reprochándole haber infringido, en el marco de la puesta a disposición de los usuarios de juegos gratuitos suministrados por terceros, normas relativas a la protección de datos personales, a la lucha contra la competencia desleal y a la protección de los consumidores.

La controversia que se plantea al Tribunal de Justicia es la admisibilidad de la acción ejercitada, a los efectos de determinar si las asociaciones de consumidores están legitimadas activamente para emprender acciones judiciales contra las infracciones en materia de protección de datos personales.

El TJUE responde a la cuestión prejudicial planteada y establece que el art. 80.2 del Reglamento General de Protección de Datos no se opone a una normativa nacional que permite a una asociación de defensa de los intereses de los consumidores ejercitar acciones judiciales sin mandato conferido a tal fin, toda vez que el tratamiento de los datos de que se trate pueda afectar a los derechos que el Reglamento confiere a personas físicas identificadas o identificables.

La sentencia señala que aunque el Reglamento aspira a garantizar una armonización de las legislaciones nacionales relativas a la protección de los datos personales, en principio completa, sin embargo, ofrece también a los Estados miembros la posibilidad de establecer normas nacionales adicionales que sean más estrictas o prevean alguna excepción, lo que les deja un margen de apreciación en cuanto a la manera de aplicar dichas disposiciones, siempre que no sean contrarias al contenido y objetivos del Reglamento.

Requisitos

En este sentido, les ofrece la posibilidad de contemplar el mecanismo de la acción de representación contra el presunto infractor de la normativa en materia de protección de datos personales, estableciendo al mismo tiempo una serie de requisitos relativos al ámbito de aplicación personal y material que deben cumplirse a tal fin.

– Debe perseguir un objetivo de interés público consistente en garantizar los derechos y libertades de los interesados en su condición de consumidores, en tanto en cuanto la consecución de tal objetivo puede estar vinculada a la protección de los datos personales de estos.

– Si una entidad que reúna los requisitos mencionados en el apartado 1 de ese mismo artículo  «considera que los derechos del interesado han sido vulnerados como consecuencia de un tratamiento» de sus datos personales.

A este respecto, no puede exigirse a tal entidad que lleve previamente a cabo la identificación individual de la persona que tenga específicamente la condición de interesado por un tratamiento de datos supuestamente contrario a las disposiciones de dicho Reglamento. El ejercicio de la acción de representación tampoco está supeditado a la existencia de una vulneración concreta de los derechos que las normas en materia de protección de datos confieren a una persona.

De ello se deduce que, para reconocer la legitimación activa de tal entidad, basta con alegar que el tratamiento de datos de que se trate puede afectar a los derechos que el Reglamento confiere a personas físicas identificadas o identificables, sin que sea necesario probar un perjuicio real sufrido por el interesado, en una situación determinada, por la vulneración de sus derechos.

Finalmente, el Tribunal precisa que la infracción de una norma en materia de protección de datos personales puede implicar simultáneamente la infracción de normas en materia de protección de los consumidores o de prácticas comerciales desleales. Por consiguiente, el art. 80.2 del Reglamento no se opone a que los Estados miembros ejerzan la facultad que les ofrece de habilitar a las asociaciones de defensa de los intereses de los consumidores para ejercitar acciones contra las vulneraciones de los derechos establecidos por el Reglamento General de Protección de Datos mediante, en su caso, normas que tengan por objeto proteger a los consumidores o luchar contra las prácticas comerciales desleales.

Fuente de la noticia: «www.noticias.juridicas.com»