IV.Análisis
38.Mediante su cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el Reglamento 2016/679, en particular su artículo 80, apartado 2, debe interpretarse en el sentido de que se opone a una normativa nacional que permite a las asociaciones de defensa de los intereses de los consumidores emprender acciones judiciales contra el presunto infractor de la protección de datos personales, invocando el incumplimiento de la prohibición de las prácticas comerciales desleales, la infracción de la legislación en materia de protección de los consumidores o el incumplimiento de la prohibición de uso de condiciones generales de la contratación nulas.
39.A tenor del artículo 4, punto 1, del Reglamento 2016/679, un «interesado», en el sentido de este Reglamento, es «una persona física identificada o identificable». Cuando tal persona considere que sus datos personales han sido objeto de un tratamiento contrario a lo dispuesto en este Reglamento, dispone de distintos recursos.
40.Así, en virtud del artículo 77 de dicho Reglamento, los interesados tienen derecho a presentar una reclamación ante una autoridad de control. Por otra parte, con arreglo al artículo 78 del Reglamento 2016/679, dichos interesados tienen derecho a la tutela judicial efectiva contra una autoridad de control. Asimismo, el artículo 79, apartado 1, del mismo Reglamento confiere a cada interesado el derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud de dicho Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales efectuado contraviniendo el mismo Reglamento.
41.Por supuesto, los propios interesados pueden presentar una reclamación ante una autoridad de control o ejercitar los recursos jurisdiccionales anteriormente descritos. Dicho esto, el artículo 80 del Reglamento 2016/679 establece la posibilidad, sujeta a ciertos requisitos, de que estos interesados sean representados por una entidad, organización o asociación sin ánimo de lucro. Así pues, más allá de los recursos individuales, el Derecho de la Unión prevé distintas posibilidades de acciones de representación emprendidas a través de entidades encargadas de representar a los interesados.(10) Por lo tanto, el artículo 80 del Reglamento 2016/679 se enmarca en la tendencia consistente en desarrollar las acciones de representación ejercitadas por tales entidades con el fin de defender intereses generales o colectivos como un medio para reforzar el acceso a la justicia de las personas afectadas por la infracción de las normas en cuestión.(11)
42.El artículo 80 del Reglamento 2016/679, que lleva por título «Representación de los interesados», consta de dos apartados. El primero se refiere a la situación en la que un interesado da mandato a una entidad, organización o asociación para que lo represente. El segundo atañe a la acción de representación ejercida por una entidad con independencia de cualquier mandato otorgado por un interesado.
43.Habida cuenta de que la acción ejercitada por la Federación no se fundamenta en el mandato de un interesado, la disposición pertinente en el marco del presente procedimiento prejudicial es el artículo 80, apartado 2, del Reglamento 2016/679.
A.Sentencia FashionID
44.En su sentencia Fashion ID, el Tribunal de Justicia se pronunció, en relación con la Directiva 95/46, sobre una cuestión similar a la planteada en el marco de la presente remisión prejudicial. Así, declaró que «los artículos 22 a 24 de [esa Directiva] deben interpretarse en el sentido de que no se oponen a una normativa nacional que permita a las asociaciones de defensa de los intereses de los consumidores ejercitar acciones judiciales contra el presunto infractor de la protección de los datos personales».(12)
45.Para llegar a esta conclusión, el Tribunal de Justicia partió de la constatación de que ninguna disposición de la Directiva 95/46 obligaba a los Estados miembros a establecer, ni los facultaba expresamente para establecer, en sus Derechos nacionales la posibilidad de que una asociación representase judicialmente a un interesado o ejercitase por iniciativa propia una acción judicial contra el presunto infractor de la protección de datos personales.(13) Según el Tribunal de Justicia, esto no significaba, sin embargo, que esta Directiva se opusiera a una normativa nacional que permitiese que las asociaciones de defensa de los intereses de los consumidores ejercitasen acciones judiciales contra el presunto autor de una infracción de ese tipo.(14) A este respecto, el Tribunal de Justicia puso de manifiesto las características propias de una directiva, así como la obligación de los Estados miembros destinatarios de adoptar todas las medidas necesarias para garantizar la plena eficacia de la directiva de que se trate, conforme al objetivo deesta.(15)
46.A continuación, el Tribunal de Justicia recordó que la Directiva 95/46 tenía como objetivos «garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales» y «asegurar un alto nivel de protección dentro de la Unión [Europea]».(16) Pues bien, según el Tribunal de Justicia, el hecho de que un Estado miembro estableciera en su normativa nacional la posibilidad de que una asociación de defensa de los intereses de los consumidores ejercitase acciones judiciales contra el presunto infractor de la protección de datos personales contribuía a la consecución de dichos objetivos.(17) Asimismo, el Tribunal de Justicia subrayó que «los Estados miembros disponen en muchos aspectos de un margen de apreciación para transponer [la Directiva 95/46]»,(18) en particular en lo referente a sus artículos 22 a 24, que «están redactados en términos generales y no llevan a cabo una armonización exhaustiva de las disposiciones nacionales relativas a los recursos judiciales que pueden entablarse contra el presunto infractor de la protección de datos personales».(19) De este modo, «el hecho de establecer la posibilidad de que una asociación de defensa de los intereses de los consumidores ejercite una acción judicial contra el presunto infractor de la protección de los datos personales parece que puede constituir una medida adecuada, en el sentido de[l artículo 24 de la citada Directiva], que contribuye […] a la consecución de los objetivos de dicha Directiva, conforme a la jurisprudencia del Tribunal de Justicia».(20)
47.Mediante el presente procedimiento prejudicial se solicita al Tribunal de Justicia que decida si lo que podía admitirse al amparo de la Directiva 95/46 debe ahora prohibirse tras la entrada en vigor del Reglamento 2016/679. En otras palabras, ¿tiene el artículo 80, apartado 2, de este Reglamento como efecto jurídico la eliminación de la legitimación activa de una asociación de defensa de los intereses de los consumidores en el marco de una acción como la controvertida en el litigio principal?
48.Cabe dudarlo tras la mera lectura del apartado 62 de la sentencia Fashion ID, en la que el Tribunal de Justicia señaló que el hecho de que el Reglamento 2016/679 «autorice expresamente, en su artículo 80, apartado 2, a los Estados miembros a permitir que las asociaciones de defensa de los intereses de los consumidores ejerciten acciones judiciales contra el presunto infractor de la protección de los datos personales no implica en absoluto que los Estados miembros no pudieran conferirles ese derecho durante la vigencia de la Directiva 95/46, sino que confirma, por el contrario, que la interpretación que de esta se ofrece en la presente sentencia refleja la voluntad del legislador de la Unión».(21)
49.Por las razones que expondré a continuación, considero que ni la sustitución de la Directiva 95/46 por un reglamento ni el hecho de que el Reglamento 2016/679 dedique actualmente un artículo a la representación de los interesados en el marco de las acciones judiciales pueden poner en entredicho lo declarado por el Tribunal de Justicia en su sentencia Fashion ID, a saber, que los Estados miembros pueden establecer en sus normativas nacionales la posibilidad de que las asociaciones de defensa de los intereses de los consumidores ejerciten acciones judiciales contra el presunto infractor de la protección de datos personales.
B.Características particulares del Reglamento 2016/679
50.Por lo que respecta a la sustitución de la Directiva 95/46 por una norma de una naturaleza diferente, a saber, el Reglamento 2016/679, debe señalarse que la decisión del legislador de la Unión de recurrir a la forma jurídica del reglamento, que, en virtud del artículo 288TFUE, es obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro, se explica por su voluntad, expresada en el considerando 13 del Reglamento 2016/679, de garantizar un nivel coherente de protección de las personas físicas en toda la Unión y de evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior. Por consiguiente, a primera vista parece que este Reglamento pretende lograr una armonización plena, no limitándose, en consecuencia, a establecer normas mínimas que los Estados miembros podrían elevar y no dejando a dichos Estados la opción de establecer excepciones, completar o aplicar sus disposiciones, con el fin de que no se vea comprometida la aplicación simultánea y uniforme en la Unión de las disposiciones de dicho Reglamento.
51.La realidad resulta más compleja. En efecto, la base jurídica del Reglamento 2016/679, a saber, el artículo 16TFUE,(22) impide considerar que, al adoptar este Reglamento, la Unión se anticipó a todas las ramificaciones que puede tener la protección de los datos personales en otros ámbitos relativos, en particular, al Derecho laboral, al Derecho de la competencia o bien al Derecho del consumo, prohibiendo a los Estados miembros adoptar normas específicas en dichos ámbitos, de manera más o menos autónoma, según se trate o no de un ámbito regido por el Derecho de la Unión.(23) En este sentido, aunque la protección de los datos personales sea, por su propia naturaleza, transversal, la armonización efectuada por el Reglamento 2016/679 está limitada a los aspectos específicamente cubiertos por este Reglamento en dicho ámbito. Fuera de estos, los Estados miembros siguen siendo libres de legislar, siempre y cuando no menoscaben el contenido ni los objetivos de dicho Reglamento.
52.Asimismo, cuando se profundiza detalladamente en las disposiciones del Reglamento 2016/679, es preciso constatar que el alcance de la armonización efectuada por este Reglamento varía en función de las disposiciones consideradas. Por lo tanto, la determinación del alcance normativo de dicho Reglamento exige un examen caso por caso.(24) Si bien puede considerarse, de acuerdo con la jurisprudencia relativa a la Directiva 95/46,(25) que el Reglamento 2016/679 realiza una armonización que es, «en principio, […] completa», diversas disposiciones de este Reglamento reconocen a los Estados miembros un margen de maniobra que, según los supuestos, puede o debe ser utilizado por estos en las condiciones y con los límites previstos en estas mismas disposiciones.(26)
53.Debe recordarse que, según consolidada jurisprudencia del Tribunal de Justicia, «en virtud del artículo 288TFUE y en razón de la propia índole de los reglamentos y de su función en el sistema de fuentes del Derecho de la Unión, sus disposiciones tienen, por regla general, efecto directo en los ordenamientos jurídicos nacionales, sin necesidad de que las autoridades nacionales adopten medidas de aplicación. No obstante, algunas de estas disposiciones pueden requerir, para su ejecución, la adopción de medidas de aplicación por los Estados miembros».(27) El hecho de recurrir a un reglamento no implica necesariamente que las disposiciones de dicho reglamento no dejen ningún margen de actuación a los sujetos de Derecho.(28) Además, el carácter obligatorio y directamente aplicable de un reglamento no impide que un acto de esta naturaleza pueda contener normas facultativas.(29)
54.Debido al empleo de la palabra «podrán», el artículo 80, apartado 2, del Reglamento 2016/679 constituye un ejemplo de disposición facultativa que ofrece a los Estados miembros un margen de apreciación para su aplicación.
55.Esta disposición forma parte de las numerosas «cláusulas de apertura» que figuran en este Reglamento, que le confieren su singularidad en relación con un reglamento clásico y lo aproximan a una directiva.(30) Las remisiones al Derecho nacional que aparecen en estas cláusulas pueden ser obligatorias,(31) pero con frecuencia constituyen una facultad que se otorga a los Estados miembros.(32) Se ha observado que estas abundantes remisiones a los Derechos nacionales entrañan el riesgo de una nueva fragmentación del régimen de la protección de los datos personales en el seno de la Unión, que iría a contracorriente de la voluntad expresada por el legislador de la Unión de alcanzar una mayor uniformización de este régimen y que puede tener efectos negativos en la efectividad de dicha protección, así como en la legibilidad de sus obligaciones por parte de los responsables y de los encargados del tratamiento.(33) En consecuencia, el alcance de la armonización efectuada por el Reglamento 2016/679 se encuentra limitado por las numerosas «cláusulas de apertura» que figuran en dicho Reglamento.
56.Está claro que, en comparación con lo que sucedía con la Directiva 95/46, mediante el Reglamento 2016/679 el legislador de la Unión ha tratado de regular de forma más amplia y precisa a escala de la Unión los aspectos relativos a la representación de los interesados para presentar una reclamación ante una autoridad de control o bien interponer una acción judicial.(34) Sin embargo, los apartados 1 y 2 del artículo 80 de este Reglamento no tienen el mismo alcance normativo. En efecto, mientras que el apartado 1 de este artículo es obligatorio para los Estados miembros,(35) su apartado 2 simplemente les ofrece una facultad. Así, para que pueda ejercitarse la acción de representación sin mandato prevista en el artículo 80, apartado 2, de dicho Reglamento, los Estados miembros deben hacer uso de la facultad que les otorga esta disposición de establecer en su Derecho nacional esta forma de representación de los interesados.
57.Aunque solo sea por su carácter facultativo y por las potenciales divergencias entre los Derechos nacionales que esto implica, no puede considerarse que el artículo 80, apartado 2, del Reglamento 2016/679 haya realizado una armonización plena en relación con las acciones de representación sin mandato en materia de protección de datos personales. Sin embargo, cuando aplican esta disposición en su Derecho nacional, los Estados miembros deben respetar las condiciones y los límites con los que el legislador de la Unión ha decidido delimitar el ejercicio de la posibilidad prevista en dicha disposición.
58.Si bien, en comparación con lo que ocurría con la Directiva 95/46, la delimitación se vuelve más precisa, los Estados miembros conservan pese a todo un margen de apreciación en la aplicación del artículo 80, apartado 2, del Reglamento 2016/679.
59.De la información de que dispone el Tribunal de Justicia se desprende que el legislador alemán, tras la entrada en vigor de este Reglamento, no ha adoptado ninguna disposición específicamente destinada a aplicar en su Derecho nacional el artículo 80, apartado 2, del citado Reglamento. Dicho esto, procede examinar, como solicita el órgano jurisdiccional remitente al Tribunal de Justicia, si las normas preexistentes del Derecho alemán que conceden a una asociación de defensa de los intereses de los consumidores legitimación activa para hacer cesar un comportamiento constitutivo de una infracción tanto de las disposiciones del Reglamento 2016/679 como de las normas que, en particular, tienen por objeto proteger a los consumidores son compatibles con esta disposición. En otras palabras, ¿se ajusta el Derecho nacional anterior a la entrada en vigor de este Reglamento a lo que permite el artículo 80, apartado 2, del referido Reglamento?
60.Como precisó el Gobierno alemán en la vista, las disposiciones nacionales que facultan a una asociación como la Federación a interponer una acción de representación como la controvertida en el presente asunto son medidas de transposición de la Directiva 2009/22. Para responder a la cuestión de si el artículo 80, apartado 2, del Reglamento 2016/679 autoriza también tal acción y, en consecuencia, si estas mismas disposiciones nacionales se inscriben en el margen de apreciación reconocido a todos los Estados miembros,(36) debe interpretarse este artículo teniendo en cuenta, especialmente, su tenor, así como la lógica y los objetivos de dicho Reglamento.
C.Interpretación literal, sistemática y teleológica del artículo 80, apartado 2, del Reglamento 2016/679
61.A tenor del artículo 80, apartado 2, del Reglamento 2016/679, las acciones de representación previstas en él pueden ser ejercitadas por «cualquier entidad, organización o asociación mencionada en el apartado 1» de dicho artículo. El artículo 80, apartado 1, de este Reglamento se refiere a «una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales». En mi opinión, tal definición no puede limitarse a las entidades que tienen como único y exclusivo objetivo la protección de los datos personales, sino que se extiende a todas aquellas que persiguen un objetivo de interés público relacionado con la protección de datos personales. Así sucede en el caso de las asociaciones de defensa de los intereses de los consumidores, como la Federación, que se encargan de interponer acciones de cesación de comportamientos que, al infringir lo dispuesto en dicho Reglamento, infringen también normas en materia de protección de los consumidores o de lucha contra la competencia desleal.(37)
62.Según el tenor del artículo 80, apartado 2, del Reglamento 2016/679, la acción de representación puede ser ejercitada por una entidad que cumpla los requisitos mencionados en el apartado 1 de este artículo si «considera que los derechos del interesado con arreglo a[ dicho Reglamento] han sido vulnerados como consecuencia de un tratamiento». Contrariamente a lo que parece dar a entender el órgano jurisdiccional remitente, no creo que esta última parte de la frase deba interpretarse de forma estricta, en el sentido de que, para estar legitimada para actuar de conformidad con lo previsto en el artículo 80, apartado 2, del Reglamento 2016/679, una entidad deba identificar previamente a una o varias personas concretamente afectadas por el tratamiento en cuestión. Los trabajos preparatorios para la adopción de este Reglamento no apuntan en modo alguno en este sentido. Además, me parece que la propia definición del concepto de «interesado», en el sentido del artículo 4, punto 1, de dicho Reglamento, esto es, una «persona física identificada o identificable»,(38) es contraria a la exigencia de que las personas que son objeto de un tratamiento que infrinja lo dispuesto en el Reglamento 2016/679 ya deban estar identificadas en el momento de la interposición de una acción de representación en virtud del artículo 80, apartado 2, de dicho Reglamento. De ello se deduce lógicamente que, al amparo de esta disposición, no puede exigirse que una entidad alegue la existencia de casos concretos relativos a personas identificadas de forma individualizada para que pueda estar facultada para actuar de conformidad con lo previsto en la mencionada disposición.
63.Considero que el ejercicio de una acción de representación al amparo del artículo 80, apartado 2, del Reglamento 2016/679 supone únicamente que se debe alegar la existencia de un tratamiento de datos personales contrario a las disposiciones de dicho Reglamento que protegen derechos individuales, y, por tanto, que pueda afectar a los derechos de personas identificadas o identificables, sin que la legitimación activa de una entidad esté sujeta a la comprobación caso por caso de si se han vulnerado los derechos de una o varias personas.(39) En resumen, tal acción debe basarse en la vulneración de los derechos que dicho Reglamento otorga a las personas físicas a resultas del tratamiento de sus datos personales. Esta acción no tiene por objeto proteger un Derecho objetivo, sino únicamente los derechos subjetivos que el Reglamento 2016/679 concede directamente a los interesados.(40) En otras palabras, la cláusula de apertura que aparece en el artículo 80, apartado 2, de este Reglamento está dirigida a permitir a las entidades autorizadas solicitar a una autoridad de control o a un órgano jurisdiccional que comprueben si los responsables del tratamiento cumplen las normas que protegen a los interesados contenidas en el referido Reglamento.(41) Desde esta perspectiva, para que una entidad tenga legitimación activa en virtud de esta disposición, basta con que invoque la infracción de las disposiciones del Reglamento 2016/679 que tienen por objeto proteger los derechos subjetivos de los interesados.
64.Como afirma en esencia la Comisión, una interpretación del artículo 80, apartado 2, del Reglamento 2016/679 según la cual, para poder ejercitar una acción de representación sin mandato, una entidad deba demostrar o alegar la vulneración de los derechos de una persona determinada en una situación concreta limitaría de forma demasiado significativa el ámbito de aplicación de esta disposición. Al igual que el Gobierno portugués y la Comisión, considero que el artículo 80, apartado 2, de este Reglamento debe ser objeto de una interpretación que salvaguarde su efecto útil en relación con el apartado 1 de ese artículo. Por consiguiente, en mi opinión debe entenderse que el artículo 80, apartado 2, de dicho Reglamento va más allá de la representación de casos individuales, que constituye el objeto del apartado 1 del mencionado artículo, al abrir la posibilidad de la representación, a iniciativa de las entidades autorizadas y de forma autónoma, de los intereses colectivos de las personas que son objeto de un tratamiento de sus datos personales contrario a lo dispuesto en el Reglamento 2016/679. El efecto útil del artículo 80, apartado 2, de este Reglamento se vería en gran medida reducido si se considerara que, tal como se exige en el apartado 1 de dicho artículo, la actuación de una entidad en los dos supuestos se limita a la representación de personas designadas por su nombre y de forma individual.
65.Además, la interpretación del artículo 80, apartado 2, del Reglamento 2016/679 que propugno es conforme con el carácter preventivo y con la finalidad disuasoria de las acciones de cesación, así como con su independencia con respecto a cualquier litigio individual concreto.(42)
66.Si no se quiere correr el riesgo de crear dos estándares diferentes relativos a la legitimación activa de las entidades habilitadas para interponer una acción de cesación, en función de que dicha acción se base en una medida nacional que entre en el ámbito de aplicación del artículo 80, apartado 2, del Reglamento 2016/679 o bien en el de la Directiva 2020/1828, me parece adecuado tener en cuenta, aunque esta Directiva no sea aplicable en el marco del litigio principal, el hecho de que esta no exige a tales entidades que invoquen la existencia de consumidores individuales designados por su nombre que se hayan visto afectados por la infracción en cuestión,(43) sino que aleguen la existencia de infracciones, cometidas por profesionales, de las disposiciones del Derecho de la Unión contempladas en el anexoI de dicha Directiva,(44) que también menciona, en su punto 56, el Reglamento 2016/679.
67.Considero que la tesis favorable a una interpretación estricta del artículo 80, apartado 2, del Reglamento 2016/679 contrapone de manera errónea la defensa de los intereses colectivos de los consumidores(45) y la protección de los derechos de cada persona que es objeto de un tratamiento que supuestamente infringe dicho Reglamento. En efecto, la defensa de los intereses colectivos de los consumidores no excluye, a mi entender, la protección de los derechos subjetivos que el Reglamento 2016/679 concede directamente a los interesados, sino que, al contrario, engloba tal protección.
68.Por lo demás, en la indicación contenida en el considerando 15 de la Directiva 2020/1828, según la cual «los mecanismos de control del cumplimiento previstos o basados en el Reglamento […] 2016/679 […] podrían seguir utilizándose, cuando sean de aplicación, para la protección de los intereses colectivos de los consumidores»,(46) me parece vislumbrar la confirmación de que la acción de representación prevista en el artículo 80, apartado 2, de dicho Reglamento puede tener efectivamente por objeto la protección de tales intereses.
69.De los elementos anteriores deduzco que, a mi entender, el artículo 80, apartado 2, del Reglamento 2016/679 autoriza a los Estados miembros a establecer la posibilidad de que las entidades habilitadas ejerciten, sin mandato de los interesados, acciones de representación dirigidas a proteger los intereses colectivos de los consumidores, siempre que se alegue la infracción de disposiciones de dicho Reglamento que tengan por objeto conferir derechos subjetivos a los interesados.
70.Pues bien, así sucede en el caso de la acción de cesación interpuesta por la Federación contra Facebook Ireland.
71.En efecto, debo recordar que, según el órgano jurisdiccional remitente y de conformidad con las pretensiones de la Federación, Facebook Ireland incumplió la obligación que le incumbía en virtud del artículo 12, apartado 1, primera frase, del Reglamento 2016/679, que consiste en facilitar al interesado, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, la información indicada en el artículo 13, apartado 1, letrasc) ye), de dicho Reglamento, relativas a los fines del tratamiento de los datos y al destinatario de los datos personales. Sin duda, estas disposiciones pertenecen a la categoría de las que confieren derechos subjetivos a los interesados, lo que se ve confirmado, en particular, por la constatación de que figuran en el capítuloIII de dicho Reglamento, que lleva por título «Derechos del interesado». Por lo tanto, pueden exigir la protección de estos derechos bien directamente los interesados, bien una entidad habilitada con arreglo al artículo 80, apartado 1, del Reglamento 2016/679 o con arreglo a disposiciones nacionales que apliquen el artículo 80, apartado 2, de este Reglamento.
72.También considero que el artículo 80, apartado 2, del Reglamento 2016/679 no se opone a aquellas disposiciones nacionales que faculten a una asociación de defensa de los intereses de los consumidores para ejercitar una acción de cesación con el fin de garantizar el respeto de los derechos conferidos por dicho Reglamento a través de normas que tengan por objeto proteger a los consumidores o luchar contra las prácticas comerciales desleales. En efecto, tales normas pueden contener disposiciones parecidas a las que figuran en el referido Reglamento, especialmente en lo tocante a la información a los interesados sobre el tratamiento de sus datos personales,(47) lo que implica que la infracción de una norma relativa a la protección de los datos personales puede suponer simultáneamente la infracción de normas relativas a la protección de los consumidores o a las prácticas comerciales desleales. En la redacción del artículo 80, apartado 2, del Reglamento 2016/679, nada impide la aplicación parcial de esta cláusula de apertura, en la medida en que la acción de representación tenga por objeto proteger, en su calidad de consumidores, los derechos que este Reglamento otorga a los interesados.(48)
73.La interpretación del artículo 80, apartado 2, del Reglamento 2016/679 así propuesta es, en mi opinión, la que mejor permite alcanzar los objetivos perseguidos por este Reglamento.
74.A este respecto, el Tribunal de Justicia ha señalado que, «como se desprende del artículo 1, apartado 2, del Reglamento 2016/679, en relación con los considerandos 10, 11 y 13 de dicho Reglamento, este último impone a las instituciones, órganos y organismos de la Unión, así como a las autoridades competentes de los Estados miembros, la misión de garantizar un nivel elevado de protección de los derechos establecidos en el artículo 16TFUE y en el artículo 8 de la Carta [de los Derechos Fundamentales de la Unión Europea]».(49) Asimismo, el mencionado Reglamento pretende «garantizar una protección eficaz de las libertades y de los derechos fundamentales de las personas físicas, en particular su derecho a la protección de la intimidad y a la protección de los datos personales».(50)
75.Iría en contra del objetivo de garantizar un elevado nivel de protección de los datos personales impedir a los Estados miembros establecer acciones que, a la vez que persiguen un objetivo de protección de los consumidores, contribuyan también a alcanzar el objetivo de protección de los datos personales. Al igual que sucedía en el caso de la Directiva 95/46, sigue pudiendo afirmarse, tras la entrada en vigor del Reglamento 2016/679, que el reconocimiento de la legitimación de las asociaciones de defensa de los intereses de los consumidores con el fin de lograr el cese de los tratamientos contrarios a las disposiciones de dicho Reglamento contribuye a reforzar los derechos de los interesados a través de las acciones colectivas.(51)
76.Así, la defensa de los intereses colectivos de los consumidores por parte de las asociaciones es especialmente apta para la consecución del objetivo de establecer un elevado nivel de protección de los datos personales. Desde este punto de vista, la función preventiva de las acciones ejercitadas por estas asociaciones no podría garantizarse si la acción de representación prevista en el artículo 80, apartado 2, del Reglamento 2016/679 solo permitiera invocar la vulneración de los derechos de una persona afectada de forma individual y concreta por dicha vulneración.
77.En consecuencia, las acciones de cesación interpuestas por las asociaciones de defensa de los intereses de los consumidores, como la Federación, contribuyen sin lugar a dudas a garantizar la aplicación efectiva de los derechos protegidos por el Reglamento 2016/679.(52)
78.Asimismo, resultaría cuando menos paradójico que el reforzamiento de los medios de control de las normas relativas a la protección de los datos personales que pretendía lograr el legislador de la Unión con la adopción del Reglamento 2016/679 se tradujera finalmente en una reducción del nivel de dicha protección en comparación con el que los Estados miembros podían ofrecer al amparo de la Directiva 95/46.
79.Es cierto que, a diferencia de lo que sucede en los Estados Unidos de América, en el Derecho de la Unión, las normativas relativas, por una parte, a las prácticas comerciales desleales y, por otra, a la protección de los datos personales se han desarrollado de forma separada. De este modo, los dos ámbitos están sujetos a marcos jurídicos diferentes.
80.Dicho esto, existen interacciones entre estos dos ámbitos, de forma que las acciones enmarcadas en la normativa relativa a la protección de datos personales pueden, al mismo tiempo y de forma indirecta, contribuir al cese de una práctica comercial desleal. Lo mismo sucede a la inversa.(53) Por lo demás, la relación entre la protección de datos personales, desde el punto de vista del consentimiento al tratamiento de dichos datos, y la protección de los consumidores se refleja en el propio Reglamento 2016/679, más concretamente en su considerando 42. Asimismo, la Comisión ha puesto de relieve las interacciones entre la normativa de la Unión en materia de protección de datos personales y la Directiva 2005/29/CE.(54)
81.Las interacciones entre el Derecho relativo a la protección de datos personales, el Derecho del consumo y el Derecho de la competencia son frecuentes y numerosas, habida cuenta de que un mismo comportamiento puede estar comprendido simultáneamente en el ámbito de aplicación de normas jurídicas que pertenecen a estos distintos ámbitos. Tales interacciones contribuyen a hacer más efectiva la protección de los datos personales.(55)
82.Es cierto que los beneficiarios de los derechos previstos en el Reglamento 2016/679 no se limitan a la categoría de los consumidores, dado que este Reglamento no se basa en una concepción consumista de la protección de las personas físicas en relación con el tratamiento de datos personales,(56) sino en la idea de que esta protección, con arreglo al artículo 8 de la Carta de los Derechos Fundamentales y según indican en particular el considerando 1 y el artículo 1, apartado 2, de dicho Reglamento, es un derecho fundamental.(57)
83.No obstante, en la era de la economía digital, los interesados a menudo son consumidores. Este es el motivo por el cual las normas dirigidas a proteger a los consumidores se emplean a menudo para garantizar la protección de estos frente a un tratamiento de sus datos personales contrario a lo dispuesto en el Reglamento 2016/679.
84.A la vista de este análisis, resulta obligado reconocer que puede existir un solapamiento entre la acción de representación prevista en el artículo 80, apartado 2, del Reglamento 2016/679 y la prevista en la Directiva 2020/1828 para obtener la adopción de medidas de cesación cuando los «interesados», en el sentido de dicho Reglamento, sean también «consumidores», en el sentido del artículo 3, punto 1, de esta Directiva.(58) Veo en ello un signo de la complementariedad y de la convergencia del Derecho en materia de protección de datos personales con otros ámbitos del Derecho, como el Derecho del consumo y el Derecho de la competencia. Con la adopción de la mencionada Directiva, el legislador de la Unión ha impulsado este movimiento aún más allá, al vincular expresamente la protección de los intereses colectivos de los consumidores al respeto del Reglamento 2016/679. Esto no hace sino reforzar la aplicación efectiva de las normas contenidas eneste.