Uno de los objetivos fundamentales, sino el principal, del Reglamento General de Protección de Datos («RGPD») fue crear una regulación garantista y unitaria en la Unión Europea («UE») para contribuir, conjuntamente, a la creación de un espacio único de libertad, seguridad y justicia y a la consolidación de un mercado único y competitivo en la Unión. Desde esta perspectiva, la Comisión Europea ya dejó patente en la Propuesta Inicial de RGPD (considerando 97) que era necesario que los responsables y encargados, que operaban en distintos Estados miembros de la UE, pudieran responder ante una sola autoridad de control «a fin de potenciar una aplicación coherente, proporcionar seguridad jurídica y reducir la carga administrativa que soportan dichos responsables y encargados». Esta necesidad se satisfizo a través de la creación del mecanismo denominado One Stop Shop («OSS»).
El art. 56.1 del RGPD dispone que la autoridad de control del establecimiento principal o único del responsable o encargado (autoridad de control principal) será competente para actuar en relación con los tratamientos transfronterizos de datos del responsable o encargado que la haya designado en condición de tal. En resumidas cuentas, la autoridad de control principal es la responsable primera en lo que se refiere a tratamientos transfronterizos de datos personales. En primer lugar, hay que destacar que el tratamiento transfronterizo de datos es aquel que se realiza en el contexto de actividades en establecimientos sitos en más de un Estado miembro o aquel que se realiza en el contexto de actividades de un único establecimiento pero que afecta sustancialmente (o es probable que lo haga) a interesados de más de un Estado miembro.
Asumida la concurrencia del presupuesto objetivo (existencia de tratamientos transfronterizos) la clave se centra en determinar qué autoridad puede ser designada como autoridad de control principal. Resulta de utilidad, para profundizar sobre este punto, el estudio de la Guía del European Data Protection Board («EDPB») sobre la Autoridad de Control Principal[L-A1] . A efectos del RGPD la autoridad de control principal será la agencia del Estado miembro en el que el responsable o encargado tenga su establecimiento principal o único. Si la organización tiene un único establecimiento en la UE, éste podrá ser pacíficamente considerado como establecimiento principal. Para el supuesto de que exista más de un establecimiento en la UE, art. 4.16 RGPD define el establecimiento principal del responsable como aquel en donde se encuentre su administración central en la Unión, salvo que las decisiones sobre los fines y medios del tratamiento se tomen y ordenen ejecutar desde otro establecimiento distinto (dentro de la UE). Por su parte el establecimiento principal del encargado será aquel en el que éste tenga la administración central o, si careciere de ella, el establecimiento en que se realizan las principales actividades de tratamiento.
Hay que tener presente que el término «administración central» no ha sido elegido de manera aleatoria ya que fue motivo de un intenso debate directamente proporcional a su importancia. El uso del término administración central permite abarcar en el mecanismo OSS a organizaciones tanto residentes como no residentes en la UE, pero dado que no se eligió el término «sede en la UE» el legislador ha optado por una opción más funcional, flexible y consecuentemente maleable al caso concreto.
Al margen de la interpretación de algunas agencias (ver los apartados 21 a 56 de la Resolución de 21 de enero de 2019 sobre la sanción económica impuesta por la CNIL a Google Inc.) la administración central no debe entenderse necesariamente como el establecimiento desde el que se toman las decisiones, pues en tal caso no tendría sentido la distinción que hace el legislador en el art. 4.16.a RGPD. Además, de haber sido ésta la voluntad del legislador, no se comprende que se pretenda admitir la aplicación del mecanismo OSS a empresas no residente en la UE; pues es difícil imaginar un supuesto en el cual una empresa no residente en la UE no tome las decisiones desde su sede principal (fuera de la UE). En este sentido entendemos que el término «administración central» se refiere al establecimiento, dentro de la UE, desde el que se ejercita el control corporativo tal y como se desprende de la interpretación de los considerandos 36 y 37 del RGPD.
Partiendo de estos presupuestos es precisa unan breve referencia al funcionamiento del OSS, regulado en los art. 60 a 62 RGPD. El mecanismo de cooperación permite a las empresas responder de forma directa ante una sola agencia. Por otro lado, fomenta el trabajo conjunto de la autoridad de control competente y la autoridad de control principal. Así, debiendo ser previamente informada la autoridad de control principal de cualquier procedimiento iniciado contra una organización dentro de su ámbito competencial, deberán llevar a cabo conjuntamente las labores de investigación y no será posible la toma de ninguna decisión sin consenso al respecto de las medidas que se han de imponer. En caso de que no logren ponerse de acuerdo, podrán remitir una consulta al anteriormente citado EDPB a cerca de como proceder.
Dicho esto, hay que señalar que serán las propias organizaciones las que tengan que tomar la iniciativa de comunicar a la autoridad de control principal que desean hacer uso del mecanismo OSS. En tal caso, podrán servirse de una herramienta que les permite tratar con una sola autoridad de control; con los enormes beneficios que esto puede reportar a empresas que operen en variedad de Estados miembros de la Unión.
Dicho lo cual, hemos de señalar que la posición que mantiene la agencia francesa (entre otras) tan sólo se comprende desde el punto de vista de la defensa del control nacional, en materia de protección de datos, frente a la centralización a nivel europeo de la labor de control. Esto se explica debido a que, como la práctica ha evidenciado, existen Estados miembros en donde, por unos u otros motivos, se establecen más frecuentemente las sociedades dedicadas a actividades relacionadas con el tratamiento de datos personales. Es por ello que algunas agencias nacionales buscan asegurar que el control efectivo de la privacidad de sus ciudadanos no acabe siendo únicamente ejecutado desde otros Estados. Sin embargo, en aras de la plena consecución del objetivo fundamental de la Unión de lograr un mercado único es preciso reforzar y fomentar el uso de este tipo de mecanismos.
Por último, tan sólo destacar que, si bien es cierto que el mecanismo OSS no ha sido tan utilizado como inicialmente se preveía, actualmente está resurgiendo como modo de facilitar sustancialmente la operatividad en la Unión de aquellas organizaciones cuya actividad precisa el tratamiento de datos personales.
Luís Rojas, Legal Team, Legal Army.