–

en nombre de Meta Platforms Ireland Ltd, por los Sres. M. Braun y H.‑G. Kamann y por la Sra. V. Wettner, Rechtsanwälte;

–

en nombre de Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV, por el Sr. P. Wassermann, Rechtsanwalt;

–

en nombre del Gobierno alemán, por los Sres. J. Möller y P.‑L. Krüger, en calidad de agentes;

–

en nombre del Gobierno portugués, por las Sras. P. Barros da Costa, J. Ramos y C. Vieira Guerra, en calidad de agentes;

–

en nombre de la Comisión Europea, por los Sres. A. Bouchagiar, F. Erlbacher y H. Kranenborg, en calidad de agentes;

1

La petición de decisión prejudicial tiene por objeto la interpretación del artículo 80, apartado 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2021, L 74, p. 35; en lo sucesivo, «RGPD»), en relación con los artículos 12, apartado 1, primera frase, y 13, apartado 1, letras c) y e), de dicho Reglamento.

2

Esta petición se ha presentado en el contexto de un litigio entre Meta Platforms Ireland Ltd, anteriormente Facebook Ireland Ltd, con domicilio social en Irlanda, y el Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV (Federación de Organizaciones y Asociaciones de Consumidores, Alemania; en lo sucesivo, «Federación»), en relación con la infracción por parte de Meta Platforms Ireland de la normativa alemana sobre protección de datos personales que constituye, a la vez, una práctica comercial desleal, una violación de la legislación en materia de protección de los consumidores y un incumplimiento de la prohibición del uso de condiciones generales nulas.

3

Los considerandos 10, 13, 39, 58, 60 y 142 del RGPD enuncian:

[…]

[…]

[…]

[…]

[…]

4

El artículo 1 de este Reglamento, titulado «Objeto», dispone en su apartado 1:

«El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.»

5

A tenor del artículo 4, puntos 1, 2, 9 y 11, del referido Reglamento:

«A efectos del presente Reglamento se entenderá por:

[…]

[…]

6

El artículo 5 del mencionado Reglamento, titulado «Principios relativos al tratamiento», dispone:

«1.   Los datos personales serán:

[…]

2.   El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

7

El artículo 6, apartado 1, letra a), del RGPD, con el epígrafe «Licitud del tratamiento», establece:

«El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

8

El capítulo III del RGPD, que comprende los artículos 12 a 23, lleva por título «Derechos del interesado».

9

El artículo 12 de este Reglamento, con la rúbrica «Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado», dispone en su apartado 1:

«El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.»

10

El artículo 13 del referido Reglamento, titulado «Información que deberá facilitarse cuando los datos personales se obtengan del interesado», establece en su apartado 1, letras c) y e):

«Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

[…]

[…]

11

El capítulo VIII del mismo Reglamento, que comprende los artículos 77 a 84, lleva por título «Recursos, responsabilidad y sanciones».

12

El artículo 77 del RGPD, rubricado «Derecho a presentar una reclamación ante una autoridad de control», dispone en su apartado 1:

«Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.»

13

El artículo 78 dicho Reglamento, titulado «Derecho a la tutela judicial efectiva contra una autoridad de control», enuncia en su apartado 1:

«Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.»

14

El artículo 79 del citado Reglamento, con la rúbrica «Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento», dispone en su apartado 1:

«Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.»

15

El artículo 80 mismo Reglamento, con el título «Representación de los interesados», tiene el siguiente tenor:

«1.   El interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación, y ejerza en su nombre los derechos contemplados en los artículos 77, 78 y 79, y el derecho a ser indemnizado mencionado en el artículo 82 si así lo establece el Derecho del Estado miembro.

2.   Cualquier Estado miembro podrá disponer que cualquier entidad, organización o asociación mencionada en el apartado 1 del presente artículo tenga, con independencia del mandato del interesado, derecho a presentar en ese Estado miembro una reclamación ante la autoridad de control que sea competente en virtud del artículo 77 y a ejercer los derechos contemplados en los artículos 78 y 79, si considera que los derechos del interesado con arreglo al presente Reglamento han sido vulnerados como consecuencia de un tratamiento.»

16

El artículo 82 del RGPD, rubricado «Derecho a indemnización y responsabilidad», dispone en su apartado 1:

«Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.»

17

El artículo 84 del RGPD, con el título «Sanciones», establece en su apartado 1:

«Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.»

18

A tenor del artículo 2 de la Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (Ley sobre las Acciones de Cesación referidas a Infracciones del Derecho en Materia de Consumo y otras Infracciones), de 26 de noviembre de 2001 (BGBl. 2001 I, p. 3138), en su versión aplicable al procedimiento principal (en lo sucesivo «Ley relativa a las Acciones de Cesación»):

«(1)   Quien infrinja las normas cuya finalidad sea proteger a los consumidores (leyes sobre protección de los consumidores), excepto al aplicar o recomendar condiciones generales, podrá ser objeto de una acción de cesación y de prohibición en aras de la protección de los consumidores. […]

(2)   A efectos de la presente disposición, se considerarán “leyes sobre protección de los consumidores”, en particular:

[…]

11. Las disposiciones que regulan la licitud:

19

El Bundesgerichtshof (Tribunal Supremo Federal de lo Civil y Penal, Alemania) señala que, en virtud del artículo 3, apartado 1, primera frase, punto 1, de la Ley relativa a las Acciones de Cesación, las entidades que tienen legitimación activa, en el sentido del artículo 4 de esta Ley, pueden, por un lado, solicitar, con arreglo al artículo 1 de dicha Ley, el cese del uso de condiciones generales nulas en virtud del artículo 307 del Bürgerliches Gesetzbuch (Código Civil) y, por otro lado, solicitar el cese de las infracciones de la legislación en materia de protección de los consumidores, en el sentido del artículo 2, apartado 2, de la misma Ley.

20

El artículo 3, apartado 1, de la Gesetz gegen den unlauteren Wettbewerb (Ley contra la Competencia Desleal), de 3 de julio de 2004 (BGBl. 2004 I, p. 1414), en su versión aplicable al procedimiento principal (en lo sucesivo, «Ley contra la Competencia Desleal»), establece lo siguiente:

«Quedan prohibidas las prácticas comerciales desleales.»

21

El artículo 3a de la Ley contra la Competencia Desleal tiene el siguiente tenor:

«Actúa de forma desleal quien infringe una disposición legal destinada, entre otros extremos, a regular el comportamiento en el mercado en interés de los operadores económicos, siempre que dicha infracción pueda afectar sensiblemente a los intereses de los consumidores, de los demás operadores económicos o de los competidores.»

22

Según el artículo 8 de dicha Ley:

«(1)   Podrá ejercitarse una acción de cesación y, en caso de riesgo de reiteración, una acción de prohibición contra quien realice una práctica comercial ilícita con arreglo a los artículos 3 o 7. […]

[…]

(3)   Las acciones a las que hace referencia el apartado 1 podrán ser ejercitadas:

[…]

23

El Bundesgerichtshof (Tribunal Supremo Federal de lo Civil y Penal) señala que el artículo 13, apartado 1, de la Telemediengesetz (Ley de Servicios de Comunicación Electrónicos), de 26 de febrero de 2007 (BGBl. 2007 I, p. 179), era aplicable hasta la entrada en vigor del RGPD. Desde esa fecha, esta disposición fue sustituida por los artículos 12 a 14 dicho Reglamento.

24

A tenor del artículo 13, apartado 1, primera frase, de la Ley de Servicios de Comunicación Electrónicos:

«Al inicio de la operación de uso, el prestador de servicios informará al usuario sobre la forma, el alcance y los fines de la recogida y utilización de los datos personales y sobre el tratamiento de sus datos en países no comprendidos en el ámbito de aplicación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos [(DO 1995, L 281, p. 31)], en una forma que sea generalmente comprensible, a no ser que ya se le haya informado de ello.»

25

Meta Platforms Ireland, que gestiona la oferta de servicios de la red social en línea Facebook en la Unión, es la responsable del tratamiento de los datos personales de los usuarios de esta red social en la Unión. Facebook Germany GmbH, con domicilio social en Alemania, promueve bajo la dirección Internet www.facebook.de la venta de espacios publicitarios. La plataforma de Internet Facebook contenía, en particular, en la dirección de Internet www.facebook.de, un espacio denominado «App-Zentrum» (Centro de Aplicaciones) en el que Meta Platforms Ireland ponía a disposición de los usuarios aplicaciones de juegos gratuitas suministradas por terceros. Cuando se consultaba este espacio, se informaba al usuario de que, al utilizar algunas de esas aplicaciones, permitía que estas recogieran datos personales y autorizaba a que publicaran en su nombre algunos de estos datos, como su puntuación y, en el caso de uno de los juegos en cuestión, su estado y sus fotografías. Asimismo, se le informaba de que, al utilizar las aplicaciones en cuestión, aceptaba las condiciones generales de esas aplicaciones y su política de protección de datos.

26

La Federación, entidad legitimada para ejercitar acciones en virtud del artículo 4 de la Ley relativa a las Acciones de Cesación, estimó que la información facilitada por las aplicaciones de juegos en cuestión en el Centro de Aplicaciones era desleal, en particular por incumplir los requisitos legales para la obtención de un consentimiento válido del usuario con arreglo a la normativa en materia de protección de datos personales. Esta entidad consideró, además, que la información según la cual se autorizaba a la aplicación a publicar determinados datos personales en nombre de los usuarios constituía una condición general de la contratación que les perjudicaba indebidamente.

27

En este contexto, la Federación ejercitó ante el Landgericht Berlin (Tribunal Regional de lo Civil y Penal de Berlín, Alemania) una acción de cesación, al amparo del artículo 3a de la Ley contra la Competencia Desleal, del artículo 2, apartado 2, primera frase, punto 11, de la Ley relativa a las Acciones de Cesación y del Código Civil, en particular, con la pretensión de que se prohibiera a Meta Platforms Ireland presentar en el Centro de Aplicaciones aplicaciones de juegos como las que son objeto del presente asunto. Esta acción se ejercitó desvinculada de cualquier vulneración concreta del derecho a la protección de los datos de una persona interesada y sin que mediara mandato de tal persona.

28

El Landgericht Berlin (Tribunal Regional de lo Civil y Penal de Berlín) estimó las pretensiones de la Federación. El recurso de apelación interpuesto por Meta Platforms Ireland ante el Kammergericht Berlin (Tribunal Superior Regional de lo Civil y Penal de Berlín, Alemania) fue desestimado. A continuación, Meta Platforms Ireland interpuso ante el órgano jurisdiccional remitente un recurso de casación contra la resolución desestimatoria del órgano jurisdiccional de apelación.

29

El órgano jurisdiccional remitente consideró fundada la acción de la Federación, por estimar que Meta Platforms Ireland infringió el artículo 3a de la Ley contra la Competencia Desleal, así como el artículo 2, apartado 2, primera frase, punto 11, de la Ley relativa a las Acciones de Cesación, y empleó una condición general de la contratación nula, en el sentido del artículo 1 de la Ley relativa a las Acciones de Cesación.

30

No obstante, dicho órgano jurisdiccional albergaba dudas acerca de la admisibilidad de la acción de la Federación. Consideraba que no podía descartarse que la Federación, que, en virtud del artículo 8, apartado 3, de la Ley contra la Competencia Desleal y del artículo 3, apartado 1, primera frase, punto 1, de la Ley relativa a las Acciones de Cesación, tenía legitimación activa en la fecha en la que interpuso su recurso, la hubiera perdido durante el procedimiento, tras la entrada en vigor del RGPD y, en particular, de sus artículos 80, apartados 1 y 2, y 84, apartado 1. De ser así, el órgano jurisdiccional remitente debería estimar el recurso de casación interpuesto por Meta Platforms Ireland y desestimar la acción de cesación de la Federación, dado que, según las disposiciones procesales aplicables en Derecho alemán, la legitimación activa debe perdurar hasta el final de la última instancia.

31

Así, mediante resolución de 28 de mayo de 2020, el Bundesgerichtshof (Tribunal Supremo Federal de lo Civil y Penal) decidió suspender el procedimiento y plantear al Tribunal de Justicia una cuestión prejudicial relativa a la interpretación de los artículos 80, apartados 1 y 2, y 84, apartado 1, del RGPD.

32

Mediante su sentencia de 28 de abril de 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), el Tribunal de Justicia respondió a esta cuestión señalando que el artículo 80, apartado 2, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que permite a una asociación de defensa de los intereses de los consumidores ejercitar acciones judiciales sin mandato conferido a tal fin y con independencia de la vulneración de derechos concretos de los interesados, contra el presunto infractor de la normativa en materia de protección de datos personales, invocando el incumplimiento de la prohibición de prácticas comerciales desleales, de una ley en materia de protección de los consumidores o de la prohibición del uso de condiciones generales nulas, toda vez que el tratamiento de los datos de que se trate pueda afectar a los derechos que este Reglamento confiere a personas físicas identificadas o identificables.

33

A la vista de esta sentencia, el órgano jurisdiccional remitente considera que la legitimación activa de una entidad en el sentido del artículo 80, apartado 2, del RGPD no puede sujetarse al requisito de que tal entidad lleve previamente a cabo la identificación individual del interesado afectado por un tratamiento de datos supuestamente contrario a las disposiciones del RGPD. El concepto de «interesado», en el sentido del artículo 4, punto 1, de dicho Reglamento, comprende no solo una «persona física identificada», sino también una «persona física identificable», esto es, una persona física «cuya identidad pueda determinarse», directa o indirectamente, mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización o un identificador en línea. En estas circunstancias, la designación de una categoría o grupo de interesados por dicho tratamiento podría ser suficiente a efectos de la interposición de una acción de representación. En el presente litigio, la Federación procedió a identificar tal grupo o categoría.

34

No obstante, según el órgano jurisdiccional remitente, en la sentencia antes citada, el Tribunal de Justicia no examinó el requisito establecido en el artículo 80, apartado 2, del RGPD según el cual, para ejercitar recursos previstos en dicho Reglamento, una asociación de defensa de los intereses de los consumidores debe considerar que los derechos del interesado con arreglo a ese Reglamento han sido vulnerados «como consecuencia de un tratamiento».

35

Por un lado, el referido órgano jurisdiccional considera que de esa sentencia no se desprende claramente si el incumplimiento de la obligación derivada de los artículos 12, apartado 1, primera frase, y 13, apartado 1, letras c) y e), del RGPD de comunicar al interesado, en forma concisa, transparente, inteligible y fácilmente accesible, con un lenguaje claro y sencillo, la información relativa a los fines del tratamiento de los datos personales y a los destinatarios de esos datos constituye una vulneración «como consecuencia de un tratamiento», y si el concepto de «tratamiento», en el sentido del artículo 4, punto 2, de ese Reglamento, engloba situaciones anteriores a la recogida de tales datos.

36

Por otro lado, según el órgano jurisdiccional remitente, no queda claro si, en un caso como el que es objeto del litigio principal, el incumplimiento de la obligación de información se ha producido «como consecuencia» de un tratamiento de datos personales, en el sentido del artículo 80, apartado 2, del RGPD. A este respecto, subraya que tal formulación podría dar a entender que la entidad que ejercita una acción de representación debe, para que esta acción sea admisible, invocar la vulneración de los derechos de un interesado resultante de una operación de tratamiento de datos personales, en el sentido del artículo 4, punto 2, de dicho Reglamento, vulneración que, por tanto, es posterior a tal operación. No obstante, el objetivo de dicho Reglamento de garantizar, en particular, un elevado nivel de protección de los datos personales podría abogar por la ampliación de la legitimación activa de esa entidad en caso de incumplimiento de la obligación de información, aun cuando esta obligación deba cumplirse antes de cualquier operación de tratamiento de datos personales.

37

A la vista de las consideraciones anteriores, el Bundesgerichtshof (Tribunal Supremo Federal de lo Civil y Penal) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:

«¿Procede considerar que una asociación de defensa de los intereses de los consumidores que basa una demanda en la supuesta vulneración de los derechos de un interesado porque no se han cumplido las obligaciones de información sobre los fines del tratamiento y el destinatario de los datos personales, con arreglo al artículo 12, apartado 1, primera frase, en relación con el artículo 13, apartado 1, letras c) y e), del [RGPD], está alegando una vulneración de derechos [de un interesado] “como consecuencia de un tratamiento”, en el sentido del artículo 80, apartado 2, de dicho Reglamento?»

38

Mediante su cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 80, apartado 2, del RGPD debe interpretarse en el sentido de que se cumple el requisito según el cual, para ejercitar una acción de representación con arreglo a esta disposición, una entidad legitimada debe alegar que considera que los derechos conferidos por este Reglamento a un interesado afectado por un tratamiento de datos personales han sido vulnerados «como consecuencia de un tratamiento», en el sentido de esta disposición, cuando tal acción se basa en el incumplimiento de la obligación que incumbe al responsable del tratamiento en virtud de los artículos 12, apartado 1, primera frase, y 13, apartado 1, letras c) y e), del referido Reglamento de comunicar al interesado, de forma concisa, transparente, inteligible y fácilmente accesible, con un lenguaje claro y sencillo, la información relativa a los fines de ese tratamiento de datos y a los destinatarios de los mismos, a más tardar en el momento de su recogida.

39

Para responder a esta cuestión, procede señalar con carácter preliminar que el RGPD regula, en particular, los recursos que permiten proteger los derechos del interesado cuando los datos personales que le conciernen han sido objeto de un tratamiento supuestamente contrario a las disposiciones de dicho Reglamento. Así pues, la protección de estos derechos puede hacerse valer, bien directamente por el interesado, que tiene derecho a presentar él mismo una reclamación ante una autoridad de control de un Estado miembro, de conformidad con el artículo 77 del RGPD, o un recurso ante los órganos jurisdiccionales nacionales, en virtud de los artículos 78 y 79 de dicho Reglamento, bien por una entidad legitimada, con o sin mandato a tal fin, con arreglo al artículo 80 de ese Reglamento.

40

En particular, el artículo 80, apartado 2, del RGPD ofrece a los Estados miembros la posibilidad de contemplar el mecanismo de la acción de representación contra el presunto infractor de la normativa en materia de protección de datos personales, sin un mandato del interesado, estableciendo al mismo tiempo una serie de requisitos relativos al ámbito de aplicación personal y material que deben cumplirse a tal fin (sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 63).

41

A tal efecto y por lo que respecta, en primer lugar, al ámbito de aplicación personal de tal mecanismo, se reconoce legitimación activa a una entidad, organización o asociación que reúna los criterios enumerados en el artículo 80, apartado 1, del RGPD. En particular, como ya ha declarado el Tribunal de Justicia, una asociación de defensa de los intereses de los consumidores, como la Federación, puede estar comprendida en ese concepto en la medida en que persigue un objetivo de interés público consistente en garantizar los derechos y libertades de los interesados en su condición de consumidores, en tanto en cuanto la consecución de tal objetivo puede estar vinculada a la protección de los datos personales de estos (sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartados 64 y 65).

42

Por lo que respecta, en segundo lugar, al ámbito de aplicación material de dicho mecanismo, el ejercicio de la acción de representación prevista en el artículo 80, apartado 2, del RGPD por una entidad que reúna los requisitos mencionados en el apartado 1 de ese artículo presupone que dicha entidad, con independencia del mandato del interesado, «considera que los derechos del interesado con arreglo [a ese] Reglamento han sido vulnerados como consecuencia de un tratamiento» de sus datos personales (sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 67).

43

En relación con lo anterior, el Tribunal de Justicia ha aclarado que el ejercicio de una acción de representación no está supeditado, en particular, a la existencia de una «vulneración concreta» de los derechos que las normas en materia de protección de datos personales confieren a una persona, de modo que, para reconocer la legitimación activa de tal entidad, basta con alegar que el tratamiento de datos de que se trate puede afectar a los derechos que dicho Reglamento confiere a personas físicas identificadas o identificables, sin que sea necesario probar un perjuicio real sufrido por el interesado, en una situación determinada, por la vulneración de sus derechos (sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartados 70 y 72).

44

No obstante, como ya ha declarado el Tribunal de Justicia, el ejercicio de una acción de representación presupone que la entidad de que se trate «considera» que los derechos de un interesado previstos en el RGPD han sido vulnerados como consecuencia del tratamiento de sus datos personales y, por tanto, alega «la existencia de un tratamiento de datos» que estima contrario a las disposiciones de dicho Reglamento (véase, en este sentido, la sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 71), sin que tal tratamiento pueda tener un carácter meramente hipotético, como ha señalado el Abogado General en el punto 48 de sus conclusiones.

45

Concretamente, según se desprende del tenor del artículo 80, apartado 2, del RGPD, el ejercicio de una acción de representación sobre la base de esta disposición implica que la vulneración de los derechos que ese Reglamento confiere al interesado se produzca con ocasión de un tratamiento de datos personales.

46

Esta interpretación se ve corroborada por la comparación de las diferentes versiones lingüísticas del artículo 80, apartado 2, del RGPD y por su considerando 142, según el cual las entidades que cumplan los requisitos mencionados en el artículo 80, apartado 1, de dicho Reglamento deben tener motivos para creer que se han vulnerado los derechos de un interesado con arreglo al referido Reglamento «como consecuencia de un tratamiento de datos personales que sea contrario al [mismo] Reglamento».

47

Una vez aclarado este extremo, para responder a la cuestión prejudicial, es preciso comprobar además si el incumplimiento de la obligación que incumbe al responsable del tratamiento en virtud de los artículos 12, apartado 1, primera frase, y 13, apartado 1, letras c) y e), del RGPD de comunicar al interesado, de forma concisa, transparente, inteligible y fácilmente accesible, con un lenguaje claro y sencillo, la información relativa a los fines del tratamiento de los datos personales y a los destinatarios de tales datos, a más tardar en el momento de la recogida de dichos datos, constituye una vulneración de los derechos de esa persona «como consecuencia del tratamiento», en el sentido del artículo 80, apartado 2, del RGPD.

48

Con carácter preliminar, procede recordar que el objetivo perseguido por el RGPD, tal como se desprende de su artículo 1 y de sus considerandos 1 y 10, consiste, en particular, en garantizar un nivel elevado de protección de los derechos y libertades fundamentales de las personas físicas, sobre todo de su derecho a la vida privada respecto del tratamiento de los datos personales (véase, en este sentido, la sentencia de 7 de marzo de 2024, IAB Europe, C‑604/22, EU:C:2024:214, apartado 53).

49

A tal fin, los capítulos II y III de ese Reglamento enuncian, respectivamente, los principios que regulan el tratamiento de los datos personales, así como los derechos del interesado que todo tratamiento de tales datos debe respetar. En particular, sin perjuicio de las excepciones establecidas en el artículo 23 de este Reglamento, todo tratamiento de datos personales debe, por una parte, ser conforme con los principios relativos al tratamiento de tales datos enunciados en el artículo 5 del mismo Reglamento y cumplir las condiciones de licitud enumeradas en su artículo 6 y, por otra parte, respetar los derechos del interesado que figuran en los artículos 12 a 22 del RGPD [véanse, en este sentido, las sentencias de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 208, y de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C‑175/20, EU:C:2022:124, apartados 50 y 61 y jurisprudencia citada].

50

A este respecto, procede subrayar que, en virtud del artículo 5, apartado 1, letra a), del RGPD, los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado. Además, de conformidad con el artículo 5, apartado 1, letra b), estos datos serán recogidos con fines determinados, explícitos y legítimos y no serán tratados ulteriormente de manera incompatible con dichos fines.

51

En lo que se refiere a la interpretación del artículo 5, apartado 1, letra b), del RGPD, el Tribunal de Justicia ha declarado que esta disposición exige, en particular, que los fines del tratamiento se indiquen claramente y, a más tardar, en el momento de la recogida de los datos personales [sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C‑175/20, EU:C:2022:124, apartados 64 y 65].

52

Además, de conformidad con el artículo 5, apartado 2, del RGPD, corresponde al responsable del tratamiento probar que dichos datos se recogen con fines determinados, explícitos y legítimos y que son tratados de manera lícita, leal y transparente en relación con el interesado.

53

Por lo tanto, del artículo 5 del RGPD se desprende que un tratamiento de datos personales debe cumplir, en particular, exigencias concretas en materia de transparencia respecto del interesado afectado por tal tratamiento. A tal fin, en su capítulo III, el RGPD, por una parte, establece obligaciones precisas a cargo del responsable del tratamiento y, por otra parte, reconoce toda una serie de derechos al interesado afectado por un tratamiento de datos personales, entre los que figura, en particular, el derecho a obtener del responsable del tratamiento información sobre los fines de dicho tratamiento y sobre los destinatarios concretos a los que hayan sido o vayan a ser comunicados los datos personales que le conciernen (sentencia de 22 de junio de 2023, Pankki S, C‑579/21, EU:C:2023:501, apartado 48).

54

En particular, el artículo 13, apartado 1, letras c) y e), del RGPD establece la obligación del responsable del tratamiento, cuando los datos personales se obtengan del interesado, de informarle, respectivamente, de los fines del tratamiento a que se destinan dichos datos y de la base jurídica de ese tratamiento, así como de los destinatarios o de las categorías de destinatarios de los referidos datos.

55

Además, el artículo 12, apartado 1, de dicho Reglamento exige que el responsable del tratamiento tome las medidas oportunas, en particular, para que la información mencionada en el apartado anterior que se facilite al interesado sea concisa, transparente, inteligible y fácilmente accesible y se formule en un lenguaje claro y sencillo.

56

Como el Tribunal de Justicia ha declarado, el artículo 12, apartado 1, del RGPD, que es la expresión del principio de transparencia, tiene como objetivo garantizar que el interesado esté en condiciones de comprender plenamente la información que se le dirija (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 38).

57

Asimismo, confirma la importancia que reviste el cumplimiento de tal obligación de información el considerando 60 del RGPD, que señala que los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines, destacando que el responsable del tratamiento debe facilitar cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 36).

58

De lo anterior resulta, en primer lugar, que la obligación de información que incumbe al responsable del tratamiento para con los interesados afectados por un tratamiento de datos personales constituye el corolario del derecho de información que los artículos 12 y 13 del RGPD reconocen a estos interesados y que, por tanto, forma parte de los derechos que la acción de representación prevista en el artículo 80, apartado 2, de dicho Reglamento tiene por objeto proteger. Además, como se desprende de los apartados 56 y 57 de la presente sentencia, el cumplimiento de esta obligación garantiza, de manera más general, el respeto de los principios de transparencia y de lealtad del tratamiento, establecidos en el artículo 5, apartado 1, del referido Reglamento.

59

En segundo lugar, como ha señalado el Abogado General en el punto 47 de sus conclusiones, la supuesta vulneración del derecho de los interesados a ser informados suficientemente de todas las circunstancias relacionadas con un tratamiento de datos personales, en particular sus fines y el destinatario de los datos, puede impedir la manifestación de un consentimiento «informad[o]», en el sentido del artículo 4, punto 11, del RGPD, lo que podría acarrear la ilicitud del tratamiento, en el sentido del artículo 5, apartado 1, de este Reglamento.

60

En efecto, la validez del consentimiento dado por el interesado depende, entre otros elementos, de si obtuvo previamente la información a la que tenía derecho en relación con todas las circunstancias que rodean el tratamiento de los datos en cuestión, según lo dispuesto en los artículos 12 y 13 del RGPD, y que le permite dar su consentimiento con pleno conocimiento de causa.

61

Puesto que un tratamiento de datos personales realizado sin respetar el derecho de información que los artículos 12 y 13 del RGPD confieren al interesado incumple los requisitos establecidos en el artículo 5 de este Reglamento, debe considerarse que la vulneración de ese derecho de información constituye una vulneración de los derechos del interesado «como consecuencia del tratamiento», en el sentido del artículo 80, apartado 2, del referido Reglamento.

62

De ello se deduce que el derecho del interesado afectado por un tratamiento de datos personales, resultante de los artículos 12, apartado 1, primera frase, y 13, apartado 1, letras c) y e), del RGPD, a obtener del responsable del tratamiento, de forma concisa, transparente, inteligible y fácilmente accesible, con un lenguaje claro y sencillo, la información relativa a los fines de tal tratamiento y a los destinatarios de tales datos es un derecho cuya vulneración permite el ejercicio de la acción de representación prevista en el artículo 80, apartado 2, de dicho Reglamento.

63

Esta interpretación se ve confirmada, por un lado, por el objetivo del RGPD, recordado en el apartado 48 de la presente sentencia, de garantizar una protección eficaz de las libertades y de los derechos fundamentales de las personas físicas y, sobre todo, un nivel elevado de protección del derecho de toda persona a la vida privada en lo que respecta al tratamiento de los datos personales que la conciernen.

64

Por otro lado, tal interpretación también es conforme con la función preventiva de la acción de representación, contemplada en el artículo 80, apartado 2, del RGPD, que es ejercitada por asociaciones de defensa de los intereses de los consumidores, como es el caso de la Federación en el presente litigio (sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 76).

65

A la vista de cuanto antecede, procede responder a la cuestión prejudicial que el artículo 80, apartado 2, del RGPD debe interpretarse en el sentido de que se cumple el requisito según el cual, para ejercitar una acción de representación con arreglo a esta disposición, una entidad legitimada debe alegar que considera que los derechos del interesado conferidos por ese Reglamento han sido vulnerados «como consecuencia de un tratamiento», en el sentido de la citada disposición, cuando dicha entidad alega que la vulneración de los derechos de esa persona se produce con ocasión de un tratamiento de datos personales y se deriva del incumplimiento de la obligación que incumbe al responsable del tratamiento, en virtud de los artículos 12, apartado 1, primera frase, y 13, apartado 1, letras c) y e), del referido Reglamento, de comunicar al interesado afectado por ese tratamiento de datos, de forma concisa, transparente, inteligible y fácilmente accesible, con un lenguaje claro y sencillo, la información relativa a los fines de ese tratamiento de datos y a los destinatarios de los mismos, a más tardar en el momento de su recogida.

66

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Cuarta) declara:

El artículo 80, apartado 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

se cumple el requisito según el cual, para ejercitar una acción de representación con arreglo a esta disposición, una entidad legitimada debe alegar que considera que los derechos del interesado conferidos por ese Reglamento han sido vulnerados «como consecuencia de un tratamiento», en el sentido de la citada disposición, cuando dicha entidad alega que la vulneración de los derechos de esa persona se produce con ocasión de un tratamiento de datos personales y se deriva del incumplimiento de la obligación que incumbe al responsable del tratamiento, en virtud de los artículos 12, apartado 1, primera frase, y 13, apartado 1, letras c) y e), del referido Reglamento, de comunicar al interesado afectado por ese tratamiento de datos, de forma concisa, transparente, inteligible y fácilmente accesible, con un lenguaje claro y sencillo, la información relativa a los fines de ese tratamiento de datos y a los destinatarios de los mismos, a más tardar en el momento de su recogida.