El artículo 80.2 del Reglamento General de Protección de Datos (RGPD) establece que cualquier estado miembro podrá determinar si una entidad, organización o asociación sin ánimo de lucro tiene derecho a presentar en ese estado miembro reclamaciones ante la autoridad de control competente en materia de protección de datos si considera que los derechos de algún interesado se han visto vulnerados como consecuencia de un tratamiento.
Ahora bien, ¿cuáles son los requisitos para que estas entidades puedan llevar a cabo dichas acciones? Sobre esto se ha pronunciado por primera vez el Tribunal de Justicia de la Unión Europea (TJUE) en la Sentencia TJUE en el asunto C-319/20 (Meta Platforms Ireland).
El TJUE ha declarado que una asociación para la defensa de consumidores podrá llevar a cabo una acción ante una autoridad de control en materia de protección de datos, para el cese de un tratamiento, aún sin contar con un mandato específico de un interesado.
Esto podrá hacerse siempre que la entidad de que se trate alegue que existe un tratamiento de datos que infringe lo establecido por el RGPD, y sin necesidad de que exista un perjuicio real de un interesado concreto. En este sentido, el TJUE entiende que es suficiente con aportar la categoría de interesados que pueden llegar a quedar afectados.