Asunto C‑319/20

12.En Alemania, la Federación está incluida en la lista de entidades con legitimación activa en virtud del artículo 4 de la Ley sobre las Acciones de Cesación. Facebook Ireland explota, bajo la dirección www.facebook.de, la plataforma de Internet Facebook, que permite el intercambio de datos personales y de otra información.

13.La plataforma de Internet Facebook incluye un espacio denominado «App-Zentrum» (centro de aplicaciones) en el que Facebook Ireland pone a disposición de sus usuarios, en particular, juegos gratuitos suministrados por terceros. Al consultar algunos juegos en el centro de aplicaciones el 26 de noviembre de 2012, se mostraba al usuario determinada información cuando clicaba sobre el botón «Sofort spielen» (jugar ahora). De esta información se desprendía, en esencia, que el uso de la aplicación en cuestión permitía a la sociedad que facilitaba los juegos obtener determinados datos personales y la autorizaba a realizar publicaciones, en nombre del usuario, de cierta información, como su puntuación. Este uso conllevaba la aceptación por parte del usuario de las condiciones generales de la aplicación y de su política de protección de datos. Asimismo, en el caso del juego «Scrabble», se indicaba que se autorizaba a la aplicación a publicar actualizaciones de estado, fotografías y otros datos en nombre del usuario.

14.La Federación impugna la presentación de las advertencias que se muestran al accionar el botón «jugar ahora» del centro de aplicaciones por considerarlas desleales, en particular por vulnerar los requisitos legales para la obtención de un consentimiento válido del usuario con arreglo a la normativa en materia de protección de datos. Asimismo, considera que la advertencia final que se muestra en el juego «Scrabble» constituye una condición general de la contratación indebidamente desfavorable para el usuario.

15.En este contexto, la Federación interpuso ante el Landgericht Berlin (Tribunal Regional de lo Civil y Penal de Berlín, Alemania) una acción de cesación contra Facebook Ireland. El órgano jurisdiccional remitente precisa que esta acción se ejercitó desvinculada de toda vulneración concreta de los derechos a la protección de los datos de un interesado y sin que mediara mandato de tal persona.

16.La Federación solicitó que se prohibiera a Facebook Ireland, so pena de medidas coercitivas, «ofrecer juegos en el contexto de actividades comerciales dirigidas a consumidores que tengan su residencia permanente en […] Alemania, en el sitio de Internet correspondiente a la dirección www.facebook.com y, en concreto, en el “centro de aplicaciones”, de forma que, al clicar en un botón como “[jugar ahora]”, el consumidor declare que, a través de la red social explotada por [Facebook Ireland], el operador del juego obtendrá información sobre los datos personales que contiene dicha red social y quedará autorizado a transmitir (publicar) información en nombre del consumidor […]».

17.La Federación también solicitó que se prohibiera a Facebook Ireland «incluir en los acuerdos con los consumidores que tengan su residencia habitual en […] Alemania la siguiente disposición o bien disposiciones con un contenido idéntico relativas a la utilización de aplicaciones (apps) en el marco de una red social, así como invocar las disposiciones relativas a la transmisión de datos a los operadores de los juegos: “Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten” [esta aplicación está autorizada a publicar tus actualizaciones de estado, fotografías y otros datos en tu nombre]».

18.El Landgericht Berlin (Tribunal Regional de lo Civil y Penal de Berlín) condenó a Facebook Ireland conforme a las pretensiones de la Federación. El recurso de apelación interpuesto por Facebook Ireland ante el Kammergericht Berlin (Tribunal Superior Regional de lo Civil y Penal de Berlín, Alemania) fue desestimado.

19.Facebook Ireland interpuso un recurso de casación ante el órgano jurisdiccional remitente contra la resolución del tribunal de apelación.

20.En cuanto al fondo, el órgano jurisdiccional remitente considera que el tribunal de apelación estimó acertadamente que las pretensiones de la Federación eran fundadas, porque, al incumplir las obligaciones de información derivadas del artículo 13, apartado 1, primera frase, primera parte de la frase, de la Ley de servicios de comunicación electrónicos, Facebook Ireland infringió el artículo 3a de la Ley contra la Competencia Desleal y el artículo 2, apartado 2, primera frase, punto 11, de la Ley sobre las Acciones de Cesación. El tribunal de apelación consideró fundadamente que las disposiciones del artículo 13 de la Ley de servicios de comunicación electrónicos controvertidas en el presente asunto son disposiciones legales que regulan el comportamiento de los operadores en el mercado en el sentido del artículo 3a de la Ley contra la Competencia Desleal. Además, se trata de disposiciones que, con arreglo al artículo 2, apartado 2, primera frase, punto 11, letraa), de la Ley sobre las Acciones de Cesación, regulan la licitud de la recogida, el tratamiento o el uso, por parte de una empresa, de los datos personales de un consumidor que se hayan recogido, tratado o utilizado con fines publicitarios. Por otra parte, el órgano jurisdiccional remitente estima que, al incumplir las obligaciones de información en materia de protección de datos que resultan aplicables en el presente caso, Facebook Ireland empleó una condición general de la contratación nula en el sentido del artículo 1 de la Ley sobre las Acciones de Cesación.

21.No obstante, el órgano jurisdiccional remitente se pregunta si el tribunal de apelación acertó al considerar admisible el recurso de la Federación. Se plantea si, a partir de la entrada en vigor del Reglamento 2016/679, una asociación de defensa de los intereses de los consumidores como la Federación continúa teniendo legitimación activa para interponer un recurso ante los tribunales civiles contra las infracciones de dicho Reglamento, sin vinculación con la vulneración concreta de los derechos de interesados individuales y sin mediar un mandato de estos, invocando la infracción del Derecho en el sentido del artículo 3a de la Ley contra la Competencia Desleal, la infracción de la legislación en materia de protección de los consumidores en el sentido del artículo 2, apartado 2, primera frase, punto 11, de la Ley sobre las Acciones de Cesación, o bien el uso de una condición general de la contratación nula con arreglo al artículo 1 de la Ley sobre las Acciones de Cesación.

22.El órgano jurisdiccional remitente señala que la admisibilidad del recurso no suscitaba dudas antes de la entrada en vigor del Reglamento 2016/679. Afirma que la Federación estaba facultada para interponer una acción de cesación ante los tribunales civiles con arreglo al artículo 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal y al artículo 3, apartado 1, primera frase, punto 1, de la Ley sobre las Acciones de Cesación.

23.Según este mismo órgano jurisdiccional, cabe la posibilidad de que dicho régimen jurídico se haya visto modificado debido a la entrada en vigor del Reglamento 2016/679.

24.En cuanto al fondo, observa que, desde dicha entrada en vigor, las disposiciones del artículo 13, apartado 1, de la Ley de servicios de comunicación electrónicos ya no son aplicables, dado que actualmente las obligaciones de información pertinentes son las resultantes de los artículos 12 a 14 del Reglamento 2016/679. Así pues, según el órgano jurisdiccional remitente, Facebook Ireland incumplió la obligación que le incumbía en virtud del artículo 12, apartado 1, primera frase, de este Reglamento, que consiste en facilitar al interesado, de una forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, la información contemplada en el artículo 13, apartado 1, letrasc) ye), de dicho Reglamento, que se refieren a los fines del tratamiento de los datos y al destinatario de los datos personales.

25.Sobre la admisibilidad del recurso, según el órgano jurisdiccional remitente, existe un debate acerca de si las entidades legitimadas en el sentido del artículo 4 de la Ley sobre las Acciones de Cesación están facultadas, desde la entrada en vigor del Reglamento 2016/679 y de conformidad con el artículo 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal, para interponer acciones judiciales frente a las infracciones de las disposiciones de dicho Reglamento, que son de aplicación directa en virtud del artículo 288TFUE, párrafo segundo, invocando la infracción del Derecho en el sentido del artículo 3a de la Ley contra la Competencia Desleal.

26.A este respecto, el órgano jurisdiccional remitente menciona la existencia de puntos de vista divergentes sobre si el propio Reglamento 2016/679 regula de forma exhaustiva el control de la aplicación de sus disposiciones.

27.El citado órgano jurisdiccional señala, en relación con el tenor del Reglamento 2016/679, que la legitimación activa de una entidad como la Federación, con arreglo al artículo 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal, no está cubierta por el artículo 80, apartado 1, de dicho Reglamento, en la medida en que la acción de cesación controvertida en el litigio principal no se interpuso sobre la base de un mandato y en nombre de un interesado para ejercer sus derechos personales. A su entender se trata, por el contrario, de una legitimación activa de la Federación en virtud de un derecho que le es propio, que le permite, en caso de infracción del Derecho en el sentido del artículo 3a de la Ley contra la Competencia Desleal, actuar contra las infracciones de las disposiciones de dicho Reglamento de forma objetiva, sin vinculación con derechos concretos de interesados individuales y sin mediar un mandato por parte de estos.

28.Pues bien, el órgano jurisdiccional remitente señala que el artículo 80, apartado 2, del Reglamento 2016/679 no establece la legitimación activa de la Federación para hacer cumplir de forma objetiva el Derecho en materia de protección de los datos personales, ya que, si bien, efectivamente, esta disposición prevé la posibilidad de que dicha entidad actúe sin necesidad de un mandato conferido por un interesado, es preciso que se hayan vulnerado los derechos de un interesado, tal como los regula dicho Reglamento, en virtud de un tratamiento de datos. En consecuencia, las disposiciones del artículo 80, apartado 2, del citado Reglamento tampoco autorizan, a la vista de su tenor, la legitimación activa de las asociaciones que invocan infracciones objetivas del Derecho en materia de protección de los datos personales, desvinculadas de la vulneración de los derechos subjetivos de un interesado concreto, basándose, como en el presente caso, en los artículos 3a y 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal. Puede extraerse una conclusión idéntica del considerando 142, segunda frase, del Reglamento 2016/679, que también menciona la vulneración de los derechos de un interesado como un requisito para la legitimación activa de una asociación con independencia del mandato del interesado en cuestión.

29.Asimismo, según el órgano jurisdiccional remitente, la legitimación activa de una asociación como la prevista en el artículo 8, apartado 3, de la Ley contra la Competencia Desleal no puede derivarse del artículo 84, apartado 1, del Reglamento 2016/679, según el cual los Estados miembros deben establecer las normas en materia de otras sanciones aplicables a las infracciones de ese Reglamento y adoptar todas las medidas necesarias para garantizar su observancia, ya que la legitimación activa de una asociación, según lo previsto en el artículo 8, apartado 3, de la Ley contra la Competencia Desleal, no puede considerarse una «sanción» en el sentido de esta disposición de dicho Reglamento.

30.El órgano jurisdiccional remitente señala, además, que la lógica del Reglamento 2016/679 no permite determinar con certeza si la legitimación activa de una entidad con arreglo al artículo 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal, es decir, en virtud de una disposición que tiene por objeto luchar contra la competencia desleal, puede seguir reconociéndose tras la entrada en vigor de dicho Reglamento. El citado órgano jurisdiccional considera que del hecho de que este Reglamento confiera a las autoridades de control amplias facultades en materia de supervisión, investigación y adopción de medidas correctoras podría deducirse que corresponde principalmente a dichas autoridades controlar la aplicación de las disposiciones del citado Reglamento. Esto se opone a una interpretación extensiva del artículo 80, apartado 2, del Reglamento 2016/679. El órgano jurisdiccional remitente también señala que, en principio, solo se permite la adopción de medidas nacionales de aplicación de un reglamento si está expresamente autorizada. Sin embargo, el inciso «sin perjuicio de cualquier otro recurso», que aparece en los artículos 77, apartado 1, 78, apartados 1 y 2, y 79, apartado 1, de este Reglamento, puede refutar la tesis de una regulación exhaustiva del control de la aplicación del Derecho por el mencionado Reglamento.

31.En lo referente al objetivo del Reglamento 2016/679, su efecto útil puede abogar por la existencia de una legitimación activa de las asociaciones en virtud del Derecho de la competencia, de conformidad con el artículo 8, apartado 3, punto 3, de la Ley contra la Competencia Desleal, con independencia de la vulneración de derechos concretos de los interesados, en la medida en que esto supondría que continuase existiendo una posibilidad adicional de controlar la aplicación del Derecho, con el fin de garantizar un nivel tan elevado como sea posible de protección de los datos personales, con arreglo al considerando 10 de este Reglamento. No obstante, podría considerarse que admitir la legitimación activa de las asociaciones en virtud del Derecho de la competencia es contrario al objetivo de armonización perseguido por dicho Reglamento.

32.El órgano jurisdiccional remitente también expone sus dudas sobre si, tras la entrada en vigor del Reglamento 2016/679, sigue existiendo una legitimación activa de las entidades a las que se refiere el artículo 3, apartado 1, primera frase, punto 1, de la Ley sobre las Acciones de Cesación para ejercitar acciones en caso de infracción de las disposiciones de dicho Reglamento, en forma de acciones interpuestas en razón de la infracción de la legislación en materia de protección de los consumidores, en el sentido del artículo 2, apartado 2, primera frase, punto 11, de la Ley sobre las Acciones de Cesación. Lo mismo sucede por lo que respecta a la legitimación activa, en virtud del artículo 1 de la citada Ley, de una asociación de defensa de los intereses de los consumidores dirigida a exigir el cese del uso de condiciones generales de la contratación nulas en el sentido del artículo 307 del Código Civil.

33.Suponiendo que las distintas disposiciones nacionales que, antes de la entrada en vigor del Reglamento 2016/679, fundamentaban la legitimación activa de las entidades puedan considerarse una aplicación anticipada del artículo 80, apartado 2, de dicho Reglamento, el reconocimiento en el presente asunto de que la Federación dispone de legitimación activa precisaría, según el órgano jurisdiccional remitente, que esta alegue que se han vulnerado los derechos de un interesado, previstos en dicho Reglamento, debido a un tratamiento de datos. Pues bien, a su entender no se cumple este requisito.

34.El citado órgano jurisdiccional destaca que las pretensiones de la Federación tienen por objeto el control abstracto de la presentación del centro de aplicaciones por parte de Facebook Ireland en relación con el Derecho objetivo en materia de protección de datos, sin que la Federación haya invocado la vulneración de los derechos de una persona física identificada o identificable, en el sentido del artículo 4, punto 1, del Reglamento 2016/679.

35.Si se declarara que, a raíz de la entrada en vigor del Reglamento 2016/679, la Federación ha perdido su legitimación activa basada en las disposiciones antes citadas del Derecho alemán, el órgano jurisdiccional remitente indica que debería estimar el recurso de casación interpuesto por Facebook Ireland y desestimar la acción planteada por la Federación, dado que, según el Derecho procesal alemán, la legitimación activa debe subsistir hasta que concluya la última instancia.

36.A la vista de las consideraciones anteriores, el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:

«¿Se oponen las disposiciones del capítuloVIII, en particular los artículos 80, apartados 1 y 2, y 84, apartado 1, del [Reglamento 2016/679], a una normativa nacional que (junto a las facultades de intervención de las autoridades de control competentes para la supervisión y ejecución de[ dicho] Reglamento, y a la tutela judicial en favor de los interesados), en caso de infracción del [Reglamento 2016/679] concede, por un lado, a los competidores y, por otro, a las asociaciones, instituciones y cámaras autorizadas por la legislación nacional la facultad de actuar contra el infractor con independencia de la vulneración de derechos concretos de interesados individuales y sin que medie mandato de un interesado, presentando una demanda ante los tribunales de lo civil en la que se invoque el incumplimiento de la prohibición de prácticas comerciales desleales, una infracción de la legislación de protección de los consumidores o el incumplimiento de la prohibición de uso de condiciones generales de contratación inválidas?»

37.La Federación, Facebook Ireland, los Gobiernos austriaco y portugués y la Comisión han presentado observaciones escritas. Estas partes, a excepción del Gobierno portugués, así como el Gobierno alemán, presentaron sus informes orales en la vista celebrada el 23 de septiembre de2021.