Las asociaciones de defensa de los intereses de los consumidores pueden ejercitar acciones en materia de protección de datos

Protección de los consumidores. Obtención de un consentimiento válido del usuario con arreglo a la normativa en materia de protección de datos. Legitimación de una asociación de defensa de los intereses de los consumidores. Prácticas comerciales desleales.

El artículo 80, apartado 2, del Reglamento General de Protección de Datos ofrece a los Estados miembros la posibilidad de contemplar el mecanismo de la acción de representación contra el presunto infractor de la normativa en materia de protección de datos personales, estableciendo al mismo tiempo una serie de requisitos relativos al ámbito de aplicación personal y material que deben cumplirse a tal fin. Una asociación de defensa de los intereses de los consumidores puede estar comprendida en ese concepto en la medida en que persigue un objetivo de interés público consistente en garantizar los derechos y libertades de los interesados en su condición de consumidores, en tanto en cuanto la consecución de tal objetivo puede estar vinculada a la protección de los datos personales de estos, y no puede exigirse a tal entidad que lleve previamente a cabo la identificación individual de la persona que tenga específicamente la condición de interesado por un tratamiento de datos supuestamente contrario a las disposiciones de dicho Reglamento. Para reconocer la legitimación activa de tal entidad, en virtud de la citada disposición, basta con alegar que el tratamiento de datos de que se trate puede afectar a los derechos que dicho Reglamento confiere a personas físicas identificadas o identificables, sin que sea necesario probar un perjuicio real sufrido por el interesado, en una situación determinada, por la vulneración de sus derechos.

En virtud de lo expuesto, el Tribunal de Justicia declara que:

El artículo 80, apartado 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que no se opone a una normativa nacional que permite a una asociación de defensa de los intereses de los consumidores ejercitar acciones judiciales sin mandato conferido a tal fin y con independencia de la vulneración de derechos concretos de los interesados, contra el presunto infractor de la normativa en materia de protección de datos personales, invocando el incumplimiento de la prohibición de prácticas comerciales desleales, de una ley en materia de protección de los consumidores o de la prohibición del uso de condiciones generales nulas, toda vez que el tratamiento de los datos de que se trate pueda afectar a los derechos que este Reglamento confiere a personas físicas identificadas o identificables.

(Sentencia del Tribunal de Justicia de la Unión Europea, Sala Tercera, de 28 de abril de 2022, asunto n.º C-319/20)