Introducción a la advertencia de protección de datos
La advertencia de protección de datos es un instrumento central en el derecho de protección de datos para hacer cumplir el Reglamento General de Protección de Datos (RGPD). Desde la entrada en vigor del RGPD en 2018, las empresas y organizaciones están obligadas a manejar con el máximo cuidado los datos personales. Si se produce una infracción de estas directrices —por ejemplo, mediante una información insuficiente a los usuarios o un procesamiento indebido de datos—, se puede emitir una advertencia. Esta puede ser iniciada no solo por autoridades de protección de datos, sino también por competidores, asociaciones de consumidores, e incluso por las propias personas afectadas. El objetivo de una advertencia de protección de datos es influir a la empresa para que cese la infracción de privacidad y cumpla con los derechos de protección de datos. Para las empresas, esto significa revisar y adaptar regularmente sus procesos y la gestión de datos personales para evitar advertencias y posibles demandas posteriores.
Bases legales
Las bases legales para las advertencias en el ámbito de la protección de datos se encuentran principalmente en el RGPD y en la Ley contra la Competencia Desleal (UWG). El RGPD regula de manera detallada cómo deben recopilarse, almacenarse y procesarse los datos personales. Las infracciones a estas disposiciones, como el procesamiento indebido o la falta de transparencia, pueden ser perseguidas no solo por autoridades de protección de datos, sino también en el marco del derecho de competencia. La UWG protege la competencia de prácticas comerciales desleales y estipula que una infracción de protección de datos también puede considerarse una infracción de la UWG si una empresa obtiene una ventaja desleal. Por lo tanto, las advertencias por infracciones de protección de datos pueden emitirse tanto sobre la base del RGPD como de la UWG. Las empresas deben asegurarse de cumplir estrictamente con las disposiciones legales sobre el procesamiento de datos personales para evitar advertencias y otras consecuencias legales.
Competidores pueden advertir – Fallos del BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Los competidores y las asociaciones de consumidores pueden advertir sobre infracciones de protección de datos de empresas; el tribunal juega un papel central en la decisión sobre advertencias por infracciones de protección de datos. Así lo decidió el Tribunal Supremo Federal en varios fallos del 27 de marzo de 2025 (Az. I ZR 186/17, I ZR 222/19, I ZR 223/19). Diferentes tribunales han tenido distintas decisiones sobre la facultad de advertencia en infracciones de protección de datos en el pasado. La gran cantidad de casos de infracciones de protección de datos muestra la relevancia práctica de este tema. El fallo actual del BGH aclara que también los competidores y las asociaciones de consumidores pueden actuar activamente. Los fallos del BGH de marzo de 2025 son de gran importancia para la práctica de advertencias, ya que permiten la persecución de infracciones de protección de datos por asociaciones de consumidores y competidores ante tribunales civiles. Una advertencia RGPD es una forma específica de advertencia que se refiere a infracciones del Reglamento General de Protección de Datos y se diferencia de otras advertencias por su relación con la protección de datos. La asociación de consumidores juega un papel importante en la aplicación de los derechos de protección de datos. Las asociaciones de consumidores están fundamentalmente involucradas en la advertencia de infracciones de protección de datos. Los competidores también pueden perseguir infracciones de protección de datos y así proteger la competencia. El fallo del BGH tiene importantes implicaciones para la práctica y la evaluación legal de infracciones de protección de datos.
Las infracciones de protección de datos no solo pueden ser sancionadas por las autoridades de supervisión. La competencia de decisión de los tribunales en infracciones de protección de datos es de importancia central. Como muestran las decisiones del BGH, los competidores y las asociaciones de consumidores también pueden actuar contra las infracciones. En el marco de tales procedimientos, también la parte demandada juega un papel importante. Para las empresas, esto puede tener consecuencias considerables, especialmente en el comercio online y al procesar datos sensibles, según el bufete MTR Legal Rechtsanwälte, que asesora entre otras cosas en derecho IT y derecho de protección de datos. Las infracciones RGPD pueden dar lugar a consecuencias legales significativas, especialmente cuando se reclaman demandas de cesación. En caso de infracción reiterada del RGPD se enfrentan sanciones agravadas y otras medidas. La persecución de infracciones de protección de datos ocurre tanto por tribunales como por asociaciones. La importancia de la oración 1 y oración 1 No. en los párrafos relevantes es decisiva para la evaluación legal. El asunto tiene gran importancia para el desarrollo del derecho de protección de datos y la aplicación de los derechos del consumidor.
Aplicación de juegos publica datos
En el caso con el número de expediente I ZR 186/17, se trataba de un llamado “Centro de Aplicaciones” en una red social donde terceros proveedores ofrecían juegos. El Centro de Aplicaciones sirve como plataforma central donde se ofrecen varias aplicaciones de terceros. En el Centro de Aplicaciones, los juegos online juegan un papel significativo, ya que constituyen gran parte de la oferta. Al utilizar la aplicación, también pueden procesarse datos personales como tu dirección de correo electrónico. Antes de que un usuario pudiera empezar a jugar, se le mostraba que la aplicación recibía ciertos permisos, p. ej., para publicar actualizaciones de estado. Sin embargo, estas advertencias eran vagas y no informaban sobre qué datos concretos se procesaban, quiénes eran los destinatarios y con qué propósito se hacía esto. Contra esto, la Confederación de Centros de Consumidores de los Estados Federales demandó con éxito.
El BGH dejó claro que tal información vaga y general no cumple con los requisitos del Reglamento General de Protección de Datos (RGPD). Desde la recopilación de datos por la aplicación, los usuarios deben ser informados de manera integral. También el alcance de los datos recopilados y procesados debe presentarse de forma transparente. La formulación jurídicamente segura de los propósitos de uso en la declaración de privacidad es de particular importancia. Las obligaciones de información según el Art. 12 y 13 del RGPD requieren una comunicación clara, precisa y comprensible para las personas afectadas. Como estas disposiciones del RGPD también regulan el comportamiento en el mercado en el sentido del derecho de la competencia (§ 3a UWG), el incumplimiento representa una infracción de la competencia. Por lo tanto, los competidores o asociaciones de consumidores cualificadas pueden actuar civilmente contra tales infracciones de protección de datos, según el BGH. Esto se aplica independientemente de si un usuario se ha quejado.
Farmacéuticos venden medicamentos por internet
Preguntas similares se trataron en los procedimientos con los números de expediente I ZR 222/19 y I ZR 223/19. Aquí, dos farmacias habían vendido medicamentos a través de la plataforma Amazon. Se procesaron datos personales de los clientes, incluidos datos de salud, como nombre, dirección o medicamentos pedidos junto con información sobre su personalización. La recopilación de estos datos de salud por parte de las farmacias fue un tema central de los procedimientos. Hubo numerosos casos de infracciones de protección de datos en el ámbito de las farmacias que fueron relevantes en este contexto. Otros farmacéuticos demandaron al respecto. Estas demandas también tuvieron éxito: el BGH dejó claro que los datos de pedido en el sentido del Art. 9 Párrafo 1 del RGPD constituyen datos de salud. Esto se aplica incluso si los medicamentos no son de prescripción obligatoria. Los datos solo pueden procesarse si existe un consentimiento expreso de los clientes, que los farmacéuticos no habían obtenido.
El BGH confirmó la valoración del Tribunal de Justicia de la Unión Europea, que ya existen datos de salud si del pedido se pueden deducir conclusiones sobre el estado de salud o la medicación. En los procedimientos, la parte demandada jugó un papel central ya que era responsable del procesamiento de datos. Se subrayó especialmente la importancia de la protección de la persona afectada en el procesamiento de datos de salud. También aquí el BGH vio una infracción de la competencia. El Art. 9 Párrafo 1 del RGPD es una regulación del comportamiento en el mercado en el sentido de § 3a UWG, por lo que la violación de esta disposición puede ser perseguida por un competidor a través de una demanda por competencia ante los tribunales civiles, según los jueces de Karlsruhe. Se destacó explícitamente la importancia de la oración 1 y oración 1 No. en los párrafos pertinentes.
RGPD también relevante para el derecho de competencia
Los fallos muestran que las regulaciones del RGPD, y especialmente las obligaciones de información y las disposiciones sobre el consentimiento, son también relevantes para el derecho de competencia. Bajo ciertas circunstancias, las ganancias obtenidas a través de violaciones de protección de datos pueden ser revocadas; esto está en conexión con multas y otras medidas punitivas que pueden imponerse de acuerdo con la RGPD y la ley. Las empresas que procesen datos personales o sensibles sin suficiente información o sin consentimiento válido actúan de manera desleal. No solo las autoridades de protección de datos, sino también competidores o asociaciones de intereses cualificadas pueden actuar contra tales violaciones. Con esto, el BGH ha ampliado considerablemente el ámbito de aplicación del derecho de competencia. Las empresas que infringen las disposiciones de protección de datos pueden enfrentarse, además de a multas por parte de las autoridades de protección de datos, también a advertencias con costos y demandas de cesación por parte de competidores y asociaciones de protección al consumidor.
Las empresas están bien asesoradas
Por lo tanto, las empresas están bien asesoradas al revisar y cumplir con sus obligaciones de información. Esto incluye informar de manera transparente, comprensible y completa a los usuarios sobre qué datos se procesan con qué propósito, en qué base legal ocurre esto, quiénes son los destinatarios y qué derechos tienen los afectados. Asimismo, antes de procesar datos sensibles –como datos de salud– se debe obtener y documentar un consentimiento explícito. Las cláusulas generales o escondidas no son suficientes.
Mercados en línea y protección de datos
Los mercados en línea como Amazon Marketplace son indispensables en el comercio electrónico moderno. Pero precisamente aquí, el cumplimiento de la protección de datos es de especial importancia. Los proveedores que operan en tales plataformas deben cumplir con las estrictas disposiciones del RGPD al procesar datos de clientes, como nombres, direcciones o datos de pedidos. Las decisiones del BGH en los procedimientos I ZR 186/17, I ZR 222/19 y I ZR 223/19 han dejado claro que las infracciones del RGPD, como el procesamiento de datos de salud sin consentimiento expreso de los clientes, pueden tener consecuencias no solo en materia de protección de datos, sino también en competencia. Las advertencias de competidores o asociaciones de consumidores son posibles en tales casos y pueden tener consecuencias significativas para las empresas. Las sentencias del Tribunal Supremo Federal subrayan que el cumplimiento de la protección de datos en los mercados online no solo es una cuestión de cumplimiento, sino también de competencia.
Consecuencias de una advertencia
Una advertencia de protección de datos puede tener consecuencias de gran alcance para las empresas. Además de la obligación de cesar inmediatamente el procesamiento cuestionado de datos personales, en caso de infracción continua se enfrentan multas significativas o sanciones económicas. El RGPD contempla para ello sumas de hasta 20 millones de euros o el 4% del volumen de negocios anual global –dependiendo de cuál sea mayor. Además, una advertencia también puede dañar de manera sostenible la reputación de una empresa, ya que una infracción de la protección de datos es percibida por los clientes y el público como una grave violación de confianza. Las empresas, por lo tanto, deberían valorar mucho el cumplimiento de las disposiciones de protección de datos no solo por razones legales, sino también de reputación.
Defensa contra advertencias
Para protegerse eficazmente contra advertencias en el área de protección de datos, las empresas deberían revisar regularmente sus prácticas de protección de datos y adaptarlas a los requisitos actuales del RGPD. Esto incluye especialmente la creación de una declaración de privacidad transparente y completa, la obtención de consentimientos expresos para el procesamiento de datos sensibles, así como la implementación de medidas técnicas y organizativas para proteger los datos. En caso de una advertencia, es aconsejable reaccionar rápidamente y obtener asesoramiento legal para defender los propios intereses de la mejor manera posible. Al actuar proactivamente y cumplir consistentemente con las directrices de protección de datos, las empresas pueden reducir significativamente el riesgo de advertencias y otros pasos legales.
MTR Legal Rechtsanwälte asesora sobre protección de datos, el RGPD y otros temas de derecho Informático.
Por favor, contacte con nosotros.
