Volver

¿Hasta dónde alcanza la competencia de las autoridades de control ante infracciones derivadas del tratamiento transfronterizo de datos?

Publicaciones
17-jun-21

El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado en el asunto C-645/19, Facebook Ireland y otros, de 15 de junio de 2021, en relación con las facultades de una autoridad de control no principal en las reclamaciones por infracciones derivadas del tratamiento transfronterizo de datos de carácter personal. En su sentencia, dictada por la Gran Sala, el TJUE precisa estas facultades de las autoridades nacionales de control a la luz del Reglamento General de Protección de Datos (RGPD).

El origen del litigio se remonta a 2015, cuando el presidente de la Autoridad de Protección de Datos Belga inició un procedimiento ante el Tribunal de Primera Instancia de Bruselas contra Facebook Ireland, Facebook Inc. y Facebook Belgium solicitando la cesación de varias acciones llevadas a cabo por Facebook que podrían ser contrarias a la normativa de protección de datos. Las supuestas infracciones consistían en la inserción de determinadas cookies que permanecían activas durante dos años en los dispositivos de los internautas belgas cuando navegaban por una página web bajo el dominio Facebook.com, estuvieran o no registrados en la red social, así como en la recogida y utilización de información de los hábitos de navegación de los usuarios de Internet belgas a través de los denominados complementos sociales (por ejemplo, los botones «Me gusta» o «Compartir»), píxeles o medios tecnológicos similares en sitios web de terceros. A través de estas herramientas, la red social obtenía una serie de datos de aquellos internautas que consultaban una página web, como la dirección de esa página, la dirección IP del visitante y la fecha y hora de la consulta.

Así, el Tribunal de Primera Instancia falló que Facebook no había informado suficientemente a los usuarios belgas de la recogida y el uso de esa información y, en consecuencia, el consentimiento dado por los internautas para la recogida y el tratamiento de esos datos no era válido. Como puede presuponerse, esta resolución fue recurrida por Facebook y las filiales de la compañía ante el Tribunal de Apelación de Bruselas, que solo se declaró competente para conocer del recurso de apelación interpuesto por Facebook Belgium. Dado que el establecimiento principal de la compañía en la Unión Europea se encuentra en Irlanda -y Facebook Belgium alegaba que la Autoridad de Protección de Datos Belga carecía de competencia y legitimación para ejercitar esta acción, en virtud del mecanismo de «ventanilla única» previsto en el RGPD-, este órgano jurisdiccional planteó una petición de cuestión prejudicial para dilucidar si, en el marco del RGPD, una autoridad de control no principal está facultada para iniciar acciones judiciales ante los tribunales de su Estado miembro en relación con un tratamiento de datos transfronterizo. 

Tomando en consideración el mecanismo de «ventanilla única» introducido por el RGPD, que garantiza la cooperación entre las autoridades de protección de datos para el tratamiento de datos transfronterizo, la autoridad de protección de datos competente -o autoridad de protección de datos principal- será la autoridad del país de la Unión Europea en el que se encuentre el establecimiento principal; entendiendo por éste el lugar desde donde se tomen las decisiones sobre los fines y medios del tratamiento. De este modo, tal y como señalaba Facebook Belgium en sus alegaciones, solo el Data Protection Commissioner (Comisario de Protección de Datos de Irlanda) sería la autoridad competente para ejercitar una acción contra Facebook Ireland, al ser el responsable del tratamiento de los datos personales de los usuarios de la red social en la Unión.

Sin embargo, el TJUE pone de manifiesto dos excepciones al principio de la competencia de la autoridad de control principal en el marco del mecanismo de «ventanilla única»: en primer lugar, el apartado 2 del artículo 56 RGPD, que establece que una autoridad de control que no sea la principal será competente en caso de que la posible infracción del RGPD se refiera únicamente a un establecimiento situado en su Estado miembro o afecte de manera sustancial a interesados en su Estado miembro; y en segundo lugar, el procedimiento de urgencia a que se refiere el artículo 66 RGPD.

De este modo, el Alto Tribunal Europeo, en línea con las conclusiones del Abogado General, considera que en determinadas condiciones, una autoridad nacional de control es competente para poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción del RGPD, aunque no sea la autoridad de control principal en lo referente a ese tratamiento, y, si procede, iniciar o ejercitar acciones judiciales siempre que se respeten los procedimientos de cooperación y de coherencia establecidos por el Reglamento. Por consiguiente, señala el Tribunal, la autoridad de control principal no puede pasar por alto los criterios de las demás autoridades de control interesadas. 

Por último, el Tribunal añade que el ejercicio de dicha facultad no exige que el responsable o encargado del tratamiento transfronterizo de datos personales disponga de un establecimiento principal u otro establecimiento en el territorio de dicho Estado miembro, por lo que la reclamación puede ejercerse tanto con respecto al establecimiento principal del responsable del tratamiento que se encuentre en el Estado miembro de dicha autoridad como con respecto a otro establecimiento de ese responsable, siempre que la acción judicial tenga por objeto un tratamiento de datos efectuado en el contexto de las actividades de ese establecimiento y que dicha autoridad tenga competencia para ejercer esa facultad.

En definitiva, el TJUE limita la aplicación del mecanismo de «ventanilla única» y reconoce el efecto directo del apartado 5 del artículo 58 RGPD. En este sentido, basta con que la autoridad de control tenga la posibilidad, con arreglo a la legislación nacional, de poner en conocimiento de las autoridades judiciales las infracciones del RGPD -aun cuando dicha disposición no se haya aplicado específicamente en la legislación del Estado miembro de que se trate y no disponga cuáles son las circunstancias en que las autoridades nacionales de control pueden ejercitar acciones judiciales- y, en su caso, de iniciar o ejercitar acciones judiciales contra particulares con el fin de hacer cumplir lo dispuesto en dicho Reglamento.

Elena Álvarez, Legal Counsel, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
25-04-24
TikTok, o cambia de dueño o tendrá que abandonar Estados Unidos
This is some text inside of a div block.
Leer más
25-04-24
Responsables de la toma de decisiones sobre IA están temerosos por la privacidad y ciberseguridad
This is some text inside of a div block.
Leer más
25-04-24
TikTok cuestionada por la UE
This is some text inside of a div block.
Leer más