El Tribunal de Justicia precisa los requisitos de las autoridades nacionales de control con respecto al tratamiento transfronterizo de datos

• Autor: vLex

En determinadas condiciones, una autoridad nacional de control puede ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción del RGPD, aunque no sea la autoridad de control principal en lo referente a ese tratamiento.

Acción de cesación, infracciones y recurso de apelación

El 11 de septiembre de 2015, el presidente de la Comisión belga de protección de la vida privada («CPVP») ejercitó ante el Tribunal de Primera Instancia Neerlandófono de Bruselas, Bélgica, una acción de cesación contra Facebook Ireland, Facebook Inc. y Facebook Belgium, destinada a poner fin a infracciones de la legislación en materia de protección de datos supuestamente cometidas por Facebook.

Estas infracciones consistían, entre otras, en la recogida y utilización de información sobre los hábitos de navegación de los internautas belgas, poseedores o no de una cuenta Facebook, mediante diferentes tecnologías, como cookies, complementos sociales o píxeles.

El 16 de febrero de 2018, dicho órgano jurisdiccional se declaró competente para conocer de esa acción y, se pronunció sobre el fondo del asunto, declaró que la red social Facebook no había informado suficientemente a los internautas belgas de la recogida y del uso de dicha información. Además, no se consideró válido el consentimiento dado por los internautas para la recogida y el tratamiento de la información.

El 2 de marzo de 2018, Facebook Ireland, Facebook Inc. y Facebook Belgium interpusieron recurso de apelación contra esa sentencia ante el Hof van beroep te Brussel (Tribunal de Apelación de Bruselas, Bélgica), órgano jurisdiccional remitente en el presente asunto.

Ante este órgano jurisdiccional, la Autoridad de Protección de Datos belga («APD») ha actuado como sucesor legal del presidente de la CPVP. El órgano jurisdiccional remitente sólo se ha declarado competente para conocer del recurso de apelación interpuesto por Facebook Belgium. El órgano jurisdiccional remitente alberga dudas acerca de los efectos de la aplicación del mecanismo de «ventanilla única» previsto por el RGPD en las competencias de la APD y, más concretamente, se pregunta si, con respecto a los hechos posteriores a la entrada en vigor del RGPD, a saber, el 25 de mayo de 2018, la APD puede ejercitar acciones judiciales contra Facebook Belgium, dado que Facebook Ireland ha sido identificada como la responsable del tratamiento de los datos en cuestión.

En efecto, desde esta fecha y, en particular, en aplicación del principio de «ventanilla única» establecido por el RGPD, el Comisario irlandés de protección de datos es el único competente para ejercitar una acción de cesación, bajo el control de los órganos jurisdiccionales irlandeses.

Faculta a las autoridades nacionales de control

En su sentencia, dictada por la Gran Sala, el Tribunal de Justicia precisa las facultades de las autoridades nacionales de control en el marco del RGPD. De este modo declara en particular que, en determinadas condiciones, este Reglamento autoriza a una autoridad de control de un Estado miembro a ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de ese Estado miembro cualquier supuesta infracción del RGPD y de iniciar o ejercitar acciones judiciales con respecto a un tratamiento de datos transfronterizo, aunque no sea la autoridad de control principal en lo referente a ese tratamiento.

Apreciación del Tribunal de Justicia

En primer lugar, el Tribunal de Justicia precisa las condiciones en las que una autoridad nacional de control, que no tiene la condición de autoridad principal con respecto a un tratamiento transfronterizo, debe ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción del RGPD y, si procede, iniciar o ejercitar acciones judiciales para garantizar la aplicación de este Reglamento.

Así, por una parte, el RGPD debe conferir a dicha autoridad de control competencia para adoptar una decisión en la que se declare que dicho tratamiento incumple las normas que contiene este Reglamento y, por otra parte, esa facultad debe ejercerse respetando los procedimientos de cooperación y de coherencia establecidos por el Reglamento.

En efecto, en el caso de los tratamientos transfronterizos, el RGPD establece el mecanismo de «ventanilla única», basado en un reparto de competencias entre una «autoridad de control principal» y las demás autoridades de control interesadas. Este mecanismo exige una cooperación estrecha, leal y efectiva entre estas autoridades, para garantizar una protección coherente y homogénea de las normas relativas a la protección de datos personales y preservar así su efecto útil.

El RGPD establece a este respecto la competencia de principio de la autoridad de control principal para adoptar una decisión en la que se declare que un tratamiento transfronterizo incumple las normas establecidas en dicho Reglamento, mientras que la competencia de las demás autoridades nacionales de control para adoptar tal decisión, incluso con carácter provisional, constituye la excepción.

No obstante, en el ejercicio de sus competencias, la autoridad de control principal no puede prescindir de un diálogo indispensable y de una cooperación leal y efectiva con las demás autoridades de control interesadas. Por ello, en el marco de esta cooperación, la autoridad de control principal no puede pasar por alto los criterios de las demás autoridades de control interesadas, y toda objeción pertinente y motivada formulada por una de estas últimas autoridades tiene por efecto bloquear, al menos temporalmente, la adopción del proyecto de decisión de la autoridad de control principal.

El Tribunal de Justicia precisa, además, que el hecho de que una autoridad de control de un Estado miembro que no sea la autoridad de control principal con respecto a un tratamiento de datos transfronterizo sólo pueda ejercer la facultad de poner en conocimiento de los órganos jurisdiccionales de ese Estado miembro cualquier supuesta infracción del RGPD y de iniciar o ejercitar acciones judiciales respetando las reglas de reparto de la competencias decisorias entre la autoridad de control principal y las demás autoridades de control es conforme con los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, que garantizan al interesado, respectivamente, el derecho a la protección de datos de carácter personal y el derecho a la tutela judicial efectiva.

Fuente: Tribunal de Justicia de la Unión Europea

Documentos relacionados

Dosier

• Dosier Legislativo vLex del Reglamento General de Protección de Datos.

• Dosier legislativo de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Libros

• Reglamento (UE) 2016/679 del Parlamento Europeo y del consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• Protección de datos personales. Esquemas (2020). Escrito por María Burzaco Samper

Sentencias

• STJ GS 15 junio 2021 CURIA – Documentos (europa.eu)

Legislación

• Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. (Ley Orgánica 3/2018, de 5 de diciembre)
• Carta de los derechos fundamentales de la Unión Europea
• Directiva 95/46/CE del parlamento europeo y del consejo de 24. de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos