La compañía de productos de belleza Sephora USA, Inc. (“Sephora”) llegó a un acuerdo el pasado agosto, mediante el cual pagaría 1,2 millones de dólares para resolver las reclamaciones del Estado de California por la venta de datos personales de sus consumidores, en contra de lo estipulado en la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act of 2018) (“CCPA”). Este acuerdo marca, no sólo el fin del caso The People of the State of California v. Sephora USA, Inc., sino el claro inicio de una tendencia a reclamaciones masivas.
1. Sephora y el CPRA
En el litigio, se acusó a Sephora de vender a terceros los datos personales de sus consumidores al utilizar tecnologías de seguimiento online, como cookies. Esto contravenía las disposiciones relativas al tratamiento de información personal de los consumidores del CCPA, recogidas en la sección 1798.100 y siguientes del Código Civil de California (“CCC”). Como parte de un conjunto de medidas correctivas, se instó a Sephora al cumplimiento de la neonata Ley de Derechos de Privacidad de California (California Privacy Rights Act of 2020) (“CPRA”), que entrará en vigor el 1 de enero de 2023.
La CPRA destaca por emular en ciertos aspectos a la ya asentada normativa de la Unión Europea en materia de privacidad. Como similitud, destaca la constitución de la Agencia de Protección de la Privacidad de California (“APPC”). La APPC contará con poderes administrativos muy similares a los de las autoridades de control europeas; mientras que el Fiscal General de California retendrá plenos poderes respecto de la aplicación normativa.
Parece que, tras dos años de apercibimientos por parte de la Fiscalía General de California a las principales compañías del Estado, en la víspera de la constitución de la APPC y de la entrada en vigor de la CPRA, el mensaje es contundente: los pleitos de daños en materia de privacidad ya son una realidad en Estados Unidos. ¿Y en Europa?
2. El Reglamento General de Protección de Datos
El artículo 79 RGPD reconoce el derecho de los interesados a ejercitar acciones judiciales cuando consideren que se han vulnerado sus derechos en materia de protección de datos por parte de un responsable o encargado del tratamiento. Establece, asimismo, una amplia libertad de foro, ya que estas acciones se podrán ejercitar en los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento o, alternativamente, en los que el interesado tenga su residencia habitual.
Por otro lado, el artículo 80 RGPD establece que los interesados podrán encargar a organizaciones sin ánimo de lucro vinculadas a la privacidad que actúen en su nombre y ejerciten sus derechos; incluyendo su derecho a obtener una indemnización. Además, los Estados miembros podrán autorizar a ciertas entidades de esta naturaleza a presentar reclamaciones judiciales en nombre de interesados, sin necesidad de haber obtenido un mandato previo por parte de los afectados.
Así, se reconoce el derecho de los interesados a presentar en sede judicial, bien en nombre propio, o bien a través de organizaciones sin ánimo de lucro, reclamaciones sin necesidad de demostrar culpa o negligencia por parte de los responsables/encargados cuando se considere (i) que una autoridad de control no ha dado curso o no ha informado al interesado en tres meses sobre el resultado de la reclamación; o (ii) cuando considere que los derechos consagrados en el RGPD hayan sido vulnerados.
Con respecto a la responsabilidad, el Reglamento establece un régimen de responsabilidad estricto para los responsables y encargados. Si interviniesen varios responsables o encargados, se considerará que tienen responsabilidad conjunta y solidaria. Así, atendiendo al principio de responsabilidad proactiva, las entidades deberán haber adoptado las medidas técnicas y organizativas documentadas, para poder garantizar y demostrar la adecuación de sus prácticas al RGPD y evitar la responsabilidad.
En suma, dado el ámbito territorial del RPGD y la amplia libertad de foro, cabe la posibilidad de que emerjan pleitos masa interestatales, incluyendo individuos que no estén situados en la Unión Europea, dejando a las compañías potencialmente expuestas a continuos litigios en materias de privacidad.
3. El ordenamiento español
La falta de regulación expresa en el ordenamiento español del artículo 80 RGPD ha dado lugar a una gran variedad de incógnitas respecto de la litigación en masa en cuestiones de protección de datos. Debido al silencio de la LOPDGDD sobre las posibles acciones colectivas, se ha de acudir a lo estipulado en la Ley de Enjuiciamiento Civil y, en particular, a lo recogido en materias de consumidores y usuarios.
Si bien es cierto que son dos ámbitos distintos – el de la protección de datos y el de los consumidores – puede haber supuestos en los que la vulneración del RGPD afecte a los consumidores. Sería entonces el momento en el que las reglas contenidas en la LEC cobrarían particular relevancia.
Así, existe un contraste entre la legitimación activa reconocida por el artículo 11 LEC y las reglas del artículo 80 RGPD. La ley nacional es más amplia que la europea, y prevé la legitimación de asociaciones que defiendan los intereses de la asociación, incluso cuando velen por los intereses generales de los usuarios que trasciendan cuestiones de privacidad. Por lo que parecería que el ordenamiento español permite que cualquier entidad dedicada a los consumidores y usuarios pueda personarse en este tipo de pleitos.
En suma, la falta de resolución de las incógnitas del Reglamento dificulta el análisis del futuro de los pleitos masivos en materia de protección de datos. El silencio legislativo relativo al artículo 80 RGPD reconduce los pleitos de daños en materia de protección de datos al ámbito de los consumidores y usuarios, creando potencialmente un sistema híbrido de litigación no exento de complejidades y, en ocasiones, de seguridad jurídica para las compañías.
4. Conclusiones
El caso de Sephora, la constitución de la APPC y la inminente entrada en vigor de la CPRA hacen pensar que Estados Unidos está acercándose a una regulación en materia de privacidad similar a la europea que, sin duda, dará lugar al nacimiento de pleitos colectivos en materias de privacidad.
A nivel tanto europeo como español, las complejidades legislativas y procesales del RGPD y del silencio de la LOPDGDD constatan una necesidad inminente de pronunciamientos sobre este tipo de pleitos en todas las esferas y, en particular, del Comité Europeo de Protección de Datos. Al reconocerse el posible litigio interestatal contra un mismo responsable, no cabe sino cuestionarse: ¿hasta qué punto será suficiente la responsabilidad proactiva?
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación