V.Conclusión
85.Habida cuenta de todas las consideraciones anteriores, propongo responder a la cuestión prejudicial planteada por el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania) de la siguiente manera:
«El artículo 80, apartado 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que no se opone a una normativa nacional que permite a las asociaciones de defensa de los intereses de los consumidores emprender acciones judiciales contra el presunto infractor de la protección de datos personales, invocando el incumplimiento de la prohibición de las prácticas comerciales desleales, la infracción de la legislación en materia de protección de los consumidores o el incumplimiento de la prohibición de uso de condiciones generales de la contratación nulas, siempre y cuando la acción de representación en cuestión tenga por objeto hacer respetar los derechos que el Reglamento concede directamente a las personas que sean objeto del tratamiento controvertido.»
1Lengua original: francés.
2Reglamento del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L119, p.1).
3Directiva del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L281, p.31).
4Véase la sentencia de 29 de julio de 2019, Fashion ID (C‑40/17, en lo sucesivo, «sentencia Fashion ID», EU:C:2019:629).
5Véase, asimismo, el considerando 142 de dicho Reglamento.
6BGBl. 2004I, p.1414; en lo sucesivo, «Ley contra la Competencia Desleal».
7BGBl. 2001I, pp.3138, 3173; en lo sucesivo, «Ley sobre las Acciones de Cesación».
8DO 2009, L110, p.30.
9BGBl. 2007I, p.179; en lo sucesivo, «Ley de servicios de comunicación electrónicos».
10La representación de los interesados también está prevista en el artículo 67 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º45/2001 y la Decisión n.º1247/2002/CE (DO 2018, L295, p.39), así como en el artículo 55 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L119, p.89). En ambos casos se trata de una representación con mandato.
11Esta tendencia, materializada en particular en la Directiva 2009/22, ha dado lugar a la reciente adopción de la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2020, relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE (DO 2020, L409, p.1). La fecha límite para la transposición de esta última Directiva se fijó en el 25 de diciembre de 2022. Véase, a este respecto, Pato, A., «Collective Redress Mechanisms in the EU», Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, Londres, 2019, pp.45 a 117. Véase también Gsell, B., «The New European Directive on Representative Actions for the Collective Interests of Consumers — A Huge, but Blurry Step Forward», Common Market Law Review, vol.58, Issue 5, Kluwer Law International, Alphen-sur-le-Rhin, 2021, pp.1365 a1400.
12Véase la sentencia Fashion ID (apartado 63 y fallo).
13Véase la sentencia Fashion ID (apartado47).
14Véase la sentencia Fashion ID (apartado48).
15Véase la sentencia Fashion ID (apartado49).
16Véase la sentencia Fashion ID (apartado50).
17Véase la sentencia Fashion ID (apartado51).
18Véase la sentencia Fashion ID (apartado 56 y jurisprudencia citada).
19Véase la sentencia Fashion ID (apartado 57 y jurisprudencia citada).
20Véase la sentencia Fashion ID (apartado59).
21El subrayado esmío.
22Como ha señalado el Tribunal de Justicia en su sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartado44.
23De los considerandos del Reglamento 2016/679 se desprende que este se adoptó sobre la base del artículo 16TFUE, cuyo apartado 2 dispone en concreto que el Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre, por una parte, la protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y, por otra parte, sobre la libre circulación de los datos.
24Determinar el alcance de la armonización efectuada por una norma como el Reglamento 2016/679 implica, por tanto, realizar «un análisis más detallado, que atienda a una norma específica o, mejor aún, a un aspecto concreto y definido del Derecho de la Unión» [véanse las conclusiones del Abogado General Bobek presentadas en el asunto Dzivev y otros (C‑310/16, EU:C:2018:623), apartado 74]. Véanse también Mišćenić, E., y Hoffmann, A.-L., «The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)», EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, Issue 4, pp.44 a 61, que señalan que «it is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them» (p.49).
25Véase la sentencia de 6 de noviembre de 2003, Lindqvist (C‑101/01, EU:C:2003:596), apartado96.
26Véase, en relación con la Directiva 95/46, la sentencia de 6 de noviembre de 2003, Lindqvist (C‑101/01, EU:C:2003:5969), apartado 97. Contrariamente a ciertas ideas preconcebidas, la decisión del legislador de la Unión de recurrir a un reglamento en lugar de a una directiva no se traduce necesariamente en una armonización completa del ámbito considerado. Véanse Mišćenić, E., y Hoffmann, A.-L., op. cit., que señalan que «an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules» (p.48).
27Véase, en particular, la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:4839), apartado 110 y jurisprudencia citada. Véase, también, por lo que respecta a un ámbito que fue anteriormente objeto de una directiva, la sentencia de 21 de diciembre de 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863), apartado 42, en la que el Tribunal de Justicia precisó que «el hecho de que la normativa de la Unión en materia de protección de animales durante el transporte figure actualmente en un reglamento no significa necesariamente que en lo sucesivo esté proscrita cualquier medida nacional de aplicación de esta normativa».
28Véase la sentencia de 27 de octubre de 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).
29De este modo, el Tribunal de Justicia ha admitido que un Estado miembro que decida no ejercer una facultad conferida por un reglamento no infringe el artículo 288TFUE [véase la sentencia de 17 de diciembre de 2015, Imtech Marine Belgium (C‑300/14, EU:C:2015:825), apartados 27 a 31]. Véase también, respecto de un reglamento por el que se establecen restituciones a la exportación que los Estados miembros pueden conceder o denegar, la sentencia de 27 de octubre de 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).
30Véase, sobre estas cláusulas de apertura, Wagner, J., y Benecke, A., «National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law», European Data Protection Law Review, Lexxion, Berlín, vol.2, Issue 3, 2016, pp.353 a361.
31Véanse, en particular, los artículos 51 y 84 del Reglamento 2016/679.
32Véanse, en particular, los artículos 6, apartados 2 y 3, 8, apartado 1, párrafo segundo, y 85 a 89 del Reglamento 2016/679.
33Véanse, a este respecto, Mišćenić, E., y Hoffmann, A.-L., op. cit., que observan que «despite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation» (pp.50 y51).
34La Directiva 95/46 únicamente preveía, en su artículo 28, apartado 4, la posibilidad de que una asociación se encargara de presentar una reclamación ante una autoridad de control por cuenta de una persona que alegara una vulneración de sus derechos en el marco de un tratamiento de datos personales.
35Exceptuando, no obstante, la acción de representación con mandato dirigida a obtener reparación en nombre de los interesados, que sigue siendo facultativa para los Estados miembros.
36Véase, por analogía, la sentencia de 21 de diciembre de 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863), apartado43.
37Véase Pato, A., «The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights», National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxemburgo, 2019, pp.98 a 106. Según esta autora, «the number of actors who potentially have standing to sue is broad» y «consumer associations will usually meet those requirements easily» (p.99).
38El subrayado es mío. Según esta misma disposición, «se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona». Como señala Martial-Braz, N., «Le champ d’application du RGPD», en Bensamoun, A., y Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, París, 2020, pp.19 a 33, «el carácter identificable se entiende en un sentido amplio, dado que el criterio de identificación de la persona abarca el conjunto de los medios que puedan razonablemente utilizarse para identificar a la persona» (p.24). Véase, en particular, sobre el concepto de «persona identificable» en el sentido del artículo 2, letraa), de la Directiva 95/46, la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779).
39Véase Boehm, F., «Artikel 80 — Vertretung von betroffenen Personen», en Simitis, S., Hornung, G., y Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden, 2019, en particular el punto13.
40Véase Frenzel, E.M., «Art.80 — Vertretung von betroffenen Personen», en Paal, B.P., y Pauly, D.A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3.ªed, C.H. Beck, Múnich, 2021, en particular el punto 11, así como Kreße, B., «Artikel 80 — Vertretung von betroffenen Personen», en Sydow, G., Europäische Datenschutzverordnung, 2.ªed., Nomos, Baden-Baden, 2018, en particular el punto13.
41Véase Moos, F., y Schefzig, J., «Art.80 — Vertretung von betroffenen Personen», en Taeger, J., y Gabel, D., Kommentar DSGVO — BDSG, 3.ªed., Deutscher Fachverlag, Fráncfort del Meno, 2019, en particular el punto22.
42Véase, en particular, en lo tocante a las cláusulas abusivas en contratos celebrados entre profesionales y consumidores, la sentencia de 14 de abril de 2016, Sales Sinués y Drame Ba (C‑381/14 y C‑385/14, EU:C:2016:252), apartado29.
43Véanse el considerando 33 y el artículo 8, apartado 3, letraa), de la Directiva 2020/1828, según el cual «la entidad habilitada no tendrá la obligación de demostrar [una] pérdida, daño o perjuicio efectivo de los consumidores considerados individualmente que se vean afectados por la infracción a que se refiere el artículo 2, apartado 1». Asimismo, si bien el artículo 7, apartado 2, de esta Directiva impone a la entidad habilitada la obligación de proporcionar al órgano jurisdiccional o autoridad administrativa «información suficiente sobre los consumidores afectados por la acción de representación», se deduce del considerando 34 de la referida Directiva que esta información, cuyo grado de detalle puede variar en función de la medida solicitada por la entidad habilitada, no se refiere a la designación de consumidores individuales afectados por la infracción de que se trate, sino más bien a datos tales como el lugar del hecho causante del perjuicio o bien la indicación del grupo de consumidores afectados por la acción de representación (véase también el considerando 65 de la Directiva 2020/1828). Por otra parte, debo señalar que, incluso cuando la acción de representación pretenda obtener medidas resarcitorias, el considerando 49 de la Directiva 2020/1828 indica que «la entidad habilitada no puede estar obligada a identificar individualmente a todos los consumidores afectados por la acción de representación para iniciar dicha acción». Véase, a este respecto, Gsell, B., op. cit., en particular p.1370.
44Véase el artículo 2, apartado 1, de la Directiva 2020/1828.
45Véase el considerando 3 de la Directiva 2009/22, que precisa que las acciones de cesación comprendidas en su ámbito de aplicación tienen por objeto proteger los «intereses colectivos de los consumidores», que se definen como «los intereses que no sean una acumulación de intereses de particulares que se hayan visto perjudicados por una infracción». En el artículo 3, punto 3, de la Directiva 2020/1828, el concepto de «intereses colectivos de los consumidores» se define como «el interés general de los consumidores y, en particular a efectos de medidas resarcitorias, los intereses de un grupo de consumidores».
46El subrayado esmío.
47Véanse Helberger, N., Zuiderveen Borgesius, F., y Reyna, A., «The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law», Common Market Law Review, vol.54, Issue 5, Kluwer Law International, Alphen-sur-le-Rhin, 2017, pp.1427 a 1465, que observan que «one feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual» (p.1437).
48Véase Neun, A., y Lubitzsch, K., «Die neue EU-Datenschutz-Grundverordnung — Rechtsschutz und Schadensersatz», Betriebs-Berater, Deutscher Fachverlag, Fráncfort del Meno, 2017, pp.2563 a 2569, en particular p.2567.
49Véase la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartado45.
50Véase la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartado91.
51Véanse las conclusiones del Abogado General Bobek presentadas en el asunto Fashion ID (C‑40/17, EU:C:2018:1039), punto33.
52Para ver ejemplos de acciones entabladas por asociaciones de defensa de los intereses de los consumidores, véase Helberger, N., Zuiderveen Borgesius, F., y Reyna, A., op. cit., en particular pp.1452 y1453.
53Véanse, sobre la complementariedad entre las acciones relativas a la protección de datos personales y las dirigidas a poner fin a las prácticas comerciales desleales, van Eijk, N., Hoofnagle, C.J., y Kannekens, E., «Unfair Commercial Practices: A Complementary Approach to Privacy Protection», European Data Protection Law Review, Lexxion, Berlín, vol.3, Issue 3, 2017, pp.325 a 337, que señalan que «through applying rules on unfair commercial practices, the enforcement of privcy issues could become more effective» (p.336).
54Directiva del Parlamento Europeo y del Consejo de 11 de mayo de 2005 relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior, que modifica la Directiva 84/450/CEE del Consejo, las Directivas 97/7/CE, 98/27/CE y 2002/65/CE del Parlamento Europeo y del Consejo y el Reglamento (CE) n.º2006/2004 del Parlamento Europeo y del Consejo («Directiva sobre las prácticas comerciales desleales») (DO 2005, L149, p.22). Véase el Documento de trabajo de los servicios de la Comisión — Guía para la implementación / aplicación de la Directiva 2005/29/CE relativa a las prácticas comerciales desleales que acompaña al documentoComunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regionales — Un enfoque global dirigido a estimular el comercio electrónico transfronterizo para las empresas y los ciudadanos europeos [SWD(2016) 163 final], en particular el punto 1.4.10, pp.26 a 29. En dicho documento, la Comisión hace hincapié en la necesidad de un tratamiento leal de los datos, que implica que se facilite al interesado una cierta información pertinente, especialmente sobre los fines del tratamiento de los datos personales en cuestión (p.27). La Comisión también señala que «por sí mismo, el incumplimiento de la Directiva [95/46] o de la Directiva [2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L201, p.37)] por un comerciante no siempre [significa] que la práctica infrinja también la [Directiva 2005/29]». No obstante, según la Comisión, «al evaluar el carácter desleal de las prácticas comerciales en virtud de la [Directiva 2005/29] se deben tener en consideración estas violaciones de la protección de datos, en particular si el comerciante trata datos de los consumidores en violación de los requisitos de protección de datos, es decir, para fines de comercialización directa u otros fines comerciales, como la elaboración de perfiles, tarificaciones personales o aplicaciones de datos masivos» (p.29).
55A este respecto, véanse, en particular, Helberger, N., Zuiderveen Borgesius, F., y Reyna, A., op. cit., que señalan que «data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets» (p.1429). Véase, asimismo, van Eijk, N., Hoofnagle, C.J., y Kannekens, E., op. cit., en particular p.336. Para ilustrar la complementariedad entre las normas relativas a la protección de los datos personales en el sector de las comunicaciones electrónicas y las normas que prohíben las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores, véanse mis conclusiones presentadas en el asunto StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).
56Véase Martial-Braz, N., op. cit., en particular p.23.
57Véase la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartado44.
58Véase el considerando 14 de la Directiva 2020/1828, según el cual esta «solo debe proteger los intereses de las personas físicas que se hayan visto […] perjudicadas por [las infracciones de las disposiciones del Derecho de la Unión que se recogen en el anexoI] o [que] puedan verse perjudicadas por dichas infracciones, si esas personas pueden considerarse consumidores con arreglo a [esta] Directiva».