Desde el 25 de mayo de 2018, fecha de aplicabilidad del Reglamento General de Protección de Datos¹ (en adelante, el “RGPD”), ciertas asociaciones han recurrido a las autoridades de control competentes con el fin de presentar reclamaciones.

Las asociaciones se han amparado en el RGPD por dos razones:

Por un lado, dicho texto refuerza los derechos existentes y crea nuevos derechos en beneficio de las personas cuyos datos son tratados y, por otro lado, la Unión Europea ha aumentado de manera significativa las sanciones administrativas en caso de vulneración de las disposiciones de este texto por el responsable del tratamiento o por el encargado del mismo. Las sanciones pecuniarias son recaudadas por el Estado miembro en cuya circunscripción se encuentra la autoridad de control competente.

En este sentido, el artículo 83 del RGPD establece dos niveles de sanciones administrativas:

  • Un primer nivel: hasta 10.000.000 euros o, tratándose de una empresa, hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía ;
  • Un segundo nivel: hasta 20.000.000 euros o, en tratándose de une empresa, hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

El RGPD detalla los distintos recursos ofrecidos, que benefician a las personas cuyos datos personales hubiesen sido vulnerados.

Así, el artículo 77 del RGPD crea un recurso administrativo ante la autoridad de control: cualquier persona interesada tiene el derecho de presentar una reclamación ante dicha autoridad, si considera que el tratamiento de sus datos personales constituye una vulneración del RGPD. En Francia, dicha autoridad es la “Commission Nationale de l’Informatique et des Libertés” (Comisión Nacional de la Informática y de las Libertades – en adelante, la «CNIL») y en España, la Agencia Española de Protección de Datos (en adelante, la “AEPD”).

Adicionalmente a este recurso administrativo, la persona interesada también dispone de dos recursos jurisdiccionales: el primero contra la autoridad de control, el segundo contra el responsable del tratamiento y/o el encargado del mismo. En este último supuesto, la demanda será presentada ante los tribunales del Estado miembro en cuya jurisdicción el autor del incumplimiento disponga de un establecimiento.²

Respecto a la acción colectiva, el artículo 80 del RGPD prevé un ámbito de intervención amplio en beneficio de las asociaciones, las cuales se encuentran facultadas para representar a las personas interesadas en los supuestos listados a continuación:

  • Para presentar una reclamación en su nombre ante la autoridad de control competente ;
  • Para ejercer en su nombre el derecho a un recurso jurisdiccional efectivo, tanto en contra de la autoridad de control competente como contra el responsable del tratamiento y/o el encargado del mismo ;
  • Para ejercer en su nombre el derecho a recibir una indemnización, en caso de daño material o moral, cuando el derecho del Estado miembro lo prevea.

En cuanto al ejercicio de los recursos, la Unión Europea ha optado por dejar un margen de maniobra a los Estados miembros. Por lo tanto, el legislador nacional tiene la posibilidad de crear una acción colectiva específica en materia de protección de datos personales.

En Francia, anteriormente a la fecha de aplicabilidad del RGPD, la ley de modernización de la justicia del siglo XXI³ instauró una acción colectiva específica para poner fin al incumplimiento de la Ley Informática y Libertades, desde el momento en el que varias personas se encuentran en una situación similar y hubiesen sufrido un daño cuya causa es el mismo incumplimiento. El alcance de dicha acción, consagrada en el artículo 43 ter de la Ley Informática y Libertades, se ha ampliado con el RGPD y con la Ley del 20 de junio de 2018 relativa a la protección de los datos personales. Además del cese de la vulneración, dicha acción también permite exigir la responsabilidad de la persona que causó el daño con el fin de conseguir una indemnización por los daños materiales y morales sufridos. En tal caso, la indemnización de daños y perjuicios será concedida a la persona cuyos datos personales hubiesen sido vulnerados.

Dicha acción, presentada ante el juez de lo civil o de lo administrativo, puede ser presentada, tanto por una asociación cuyo objeto social sea la protección de la vida privada y la protección de los datos personales, como por una asociación de defensa de los consumidores.

En España, la Ley Orgánica de Protección de Datos no prevé ninguna disposición al respecto. A día de hoy, las asociaciones de defensa de los consumidores son las que tienen el mandato de recurrir ante la AEPD. Una vez presentada la reclamación, la AEPD dispone de un plazo de seis meses para adoptar una decisión. Dicha deliberación puede impugnarse mediante un recurso administrativo ante la Audiencia Nacional. A la espera de la promulgación del proyecto de Ley Orgánica de Protección de Datos, los procedimientos en caso de posible vulneración de la normativa de protección de datos se encuentran actualmente regulados por el Real Decreto 5/2018, que entró en vigor el pasado 31 de julio (cf artículo Adaptación del derecho interno al Reglamento General de Protección de Datos: medidas urgentes).

En las últimas semanas, tres asociaciones europeas han aplicado el artículo 80 del RGPD y han recurrido a las autoridades de control competentes respectivas por incumplimiento de algunas de las disposiciones por parte de los gigantes americanos de la web. Más concretamente, las asociaciones denuncian la vulneración de las disposiciones del RGPD relativas a la información de los usuarios así como la ausencia de consentimiento libre e informado previamente al tratamiento de sus datos personales. Las asociaciones consideran que, en ausencia de consentimiento libre, informado y especifico, los datos personales de los usuarios son tratados de manera ilícita. En efecto, desde un punto de vista práctico, los usuarios no se benefician de ninguna alternativa: si no aceptan que sus datos personales sean tratados, no pueden utilizar el servicio ni navegar por el sitio web.

El pasado 30 de mayo, la organización de consumidores y usuarios (en adelante,  la “OCU”), que es una organización española de consumidores, presentó una acción colectiva contra Facebook, con el fin de defender los intereses de los usuarios españoles y de conseguir 200 euros de indemnización por usuario. Para ello, la OCU se prevaleció de la falta de información a los usuarios y de la ausencia de obtención de su consentimiento.

En Francia, la Quadrature du Net, presentó cinco reclamaciones contra los GAFA y LinkedIn. Dichas reclamaciones fueron presentadas ante la CNIL, contra cada una de dichas sociedades americanas y por cuenta de unas 12.000 personas.

Por su parte, Max SCHREMS, abogado austriaco y militante por la protección de datos personales, solicita una indemnización de daños y perjuicios de 3,9 mil millones de dólares a Facebook y 3,7 mil millones de dólares a Google. Presentó la reclamación por el intermediario de su organización no gubernamental, denominada NOYB¹⁰. Del mismo modo que la acción presentada por la OCU en España, se critica la ausencia de consentimiento previo y explícito de los usuarios de redes sociales.

Estas primeras acciones colectivas plantean una pregunta candente: ¿qué forma debe tener la obtención del consentimiento de los usuarios? De conformidad con las disposiciones del RGPD, desde el momento en que el tratamiento se basa en el consentimiento, dicho consentimiento debe obtenerse mediante un acto positivo claro, por ejemplo, marcando una casilla al navegar por un sitio web. Al contrario, el silencio, las casillas marcadas por defecto o la inactividad no son suficientes para caracterizar el consentimiento. Del mismo modo, las cláusulas que afirman que la continuación del uso del servicio equivale a su aceptación tampoco son suficientes.

Dichas reclamaciones fueron presentadas en varios Estados miembros. Teniendo en cuenta lo anterior, las autoridades de control competentes tendrán que cooperar. El RGPD regula la cooperación entre las distintas autoridades. Estos supuestos ofrecen la oportunidad de experimentar la aplicación coherente y uniforme de las disposiciones del RGPD. Cabe recordar que una de las finalidades del RGPD es lograr una armonización de las normas en materia de protección de datos personales en todo el territorio europeo. El legislador francés ha regulado recientemente semejante proceso, añadiendo un capítulo VII bis en la Ley informática y Libertades del 6 de enero de 1978¹¹.

Las acciones colectivas constituyen el inicio de un movimiento emergente. Los ciudadanos europeos desean estar informados sobre el tratamiento de sus datos personales y, en su caso, tener la posibilidad de ejercer sus derechos cuando sea necesario, colectivamente.

M&B Abogados


¹Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
²Artículos 78 y 79 del RGPD
³Ley n°2016-1547 del 18 de noviembre de 2016 de modernización de la justicia del siglo XXI
Ley n°78-17 del 6 de enero de 1978 relativa a la informática, los ficheros y las libertades
Ley n°218-493 del 20 de junio de 2018 relativa a la protección de datos personales
Ley Orgánica 15/1999 del 13 de diciembre de 1999, de Protección de datos de carácter personal
Real Decreto-Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa europea de protección de datos
Organización de consumidores y usuarios
Acrónimo utilizado para nombrar a los Gigantes de la Web : Google, Apple, Facebook, Amazon
¹⁰Acrónimo utilizado para nombrar la organización creada por Max SCHREMS,None of your business
¹¹Artículos 49 a 49-5 de la ley n°78-17 del 6 de enero de 1978 relativa a la informática, los ficheros y las libertades, creados por la ley n°2018-493 del 20 de junio de 2018 relativa a la protección de datos personales