Una autoridad nacional de control puede ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción del RGPD, aunque no sea la autoridad de control principal.
El TJUE fija criterios para las autoridades nacionales de control en relación al tratamiento transfronterizo de datos
En un asunto sobre el tratamiento de datos que realiza Facebook
|
16/6/2021 06:47
|
Actualizado: 16/6/2021 06:47
|
El Tribunal de Justicia de la Unión Europea (TJUE) ha fijado los requisitos para el ejercicio de las facultades de las autoridades nacionales de control con respecto al tratamiento transfronterizo de datos.
En un asunto en relación a Facebook, ha declarado que una autoridad nacional de control está facultada para poner en conocimiento de los órganos jurisdiccionales de ese Estado miembro cualquier supuesta infracción del Reglamento General de Protección de Datos (RGPD).
Y si procede, agrega, para iniciar o ejercitar acciones judiciales puede ejercer esta facultad en lo que respecta a un tratamiento de datos transfronterizo aunque no sea la autoridad de control principal.
Así lo ha dictado la Gran Sala, con sede en Luxemburgo, en un sentencia (asunto C‑645/19) con fecha de este martes, 15 de junio.
El TJUE resuelve así una petición de decisión prejudicial planteada por un tribunal belga en el contexto de un litigio entre, por una parte, Facebook Irlanda, Facebook Inc. y Facebook Bélgica y, por otra, la Autoridad de Protección de Datos de Bélgica.
El tribunal ha estado integrado por K. Lenaerts -presidente-, R. Silva de Lapuerta, A. Arabadjiev, A. Prechal, M. Vilaras, M. Ilešič, N. Wahl, E. Juhász, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos, P. G. Xuereb y L. S. Rossi- ponente-.
El conflicto surge, tal y como se explica en la sentencia, a partir de una acción de cesación ejercitada por el presidente de la autoridad belga y que tiene por objeto el cese del tratamiento de datos personales de los internautas belgas, efectuado por la red social Facebook, mediante cookies, complementos sociales (‘social plug-ins’) y píxeles.
El 11 de septiembre de 2015, el presidente de la autoridad de protección de datos belga ejercitó ante el Tribunal de Primera Instancia de Bruselas la acción de cesación contra Facebook Irlanda, Facebook Inc. y Facebook Bélgica, destinada a poner fin a infracciones de la legislación en materia de protección de datos supuestamente cometidas por Facebook.
Estas infracciones consistían, entre otras, en la recogida y utilización de información sobre los hábitos de navegación de los internautas belgas, poseedores o no de una cuenta Facebook, mediante diferentes tecnologías, como cookies, complementos sociales como los botones ‘me gusta’ o ‘compartir’ o píxeles.
Dudas sobre los efectos de la aplicación del mecanismo de «ventanilla única» previsto en el RGPD
El tribunal en 2018 declaró que la red social no había informado suficientemente a los internautas belgas de la recogida y del uso de dicha información. Además, no se consideró válido el consentimiento dado por los internautas para la recogida y el tratamiento de la información.
Facebook recurrió la decisión ante el tribunal de apelación, órgano jurisdiccional que ha remitido la cuestión al TJUE al albergar dudas acerca de los efectos de la aplicación del mecanismo de «ventanilla única» previsto por el RGPD.
Se preguntaba si, con respecto a los hechos posteriores a la entrada en vigor del RGPD, el 25 de mayo de 2018, la autoridad de protección de datos belga puede ejercitar acciones judiciales contra Facebook Bélgica, dado que Facebook Irlanda ha sido identificada como la responsable del tratamiento de los datos en cuestión.
El TJUE precisa que una autoridad nacional de control, que no tiene la condición de autoridad principal con respecto a un tratamiento transfronterizo, debe ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción del RGPD y, si procede, iniciar o ejercitar acciones judiciales para garantizar la aplicación de este Reglamento.
Así, por una parte, el RGPD debe conferir a dicha autoridad de control competencia para adoptar una decisión en la que se declare que dicho tratamiento incumple las normas que contiene ese Reglamento y, por otra parte, esa facultad debe ejercerse respetando los procedimientos de cooperación y de coherencia establecidos por el Reglamento.
En efecto, en el caso de los tratamientos transfronterizos, el RGPD establece el mecanismo de «ventanilla única», basado en un reparto de competencias entre una autoridad de control principal y las demás autoridades de control interesadas.
Este mecanismo exige una cooperación estrecha, leal y efectiva entre estas autoridades, para garantizar una protección coherente y homogénea de las normas relativas a la protección de datos personales y preservar así su efecto útil.
«La autoridad de control principal no puede pasar por alto los criterios de las demás autoridades de control interesadas»
El tribunal recuerda que el RGPD establece a este respecto la competencia de principio de la autoridad de control principal para adoptar una decisión en la que se declare que un tratamiento transfronterizo incumple las normas establecidas en dicho Reglamento, mientras que la competencia de las demás autoridades nacionales de control para adoptar tal decisión, incluso con carácter provisional, constituye la excepción.
No obstante, en el ejercicio de sus competencias, «la autoridad de control principal no puede prescindir de un diálogo indispensable y de una cooperación leal y efectiva con las demás autoridades de control interesadas».
Por ello, en el marco de esta cooperación, «la autoridad de control principal no puede pasar por alto los criterios de las demás autoridades de control interesadas, y toda objeción pertinente y motivada formulada por una de estas últimas autoridades tiene por efecto bloquear, al menos temporalmente, la adopción del proyecto de decisión de la autoridad de control principal».
El tribunal declara que, en caso de tratamiento de datos transfronterizo, el ejercicio de la facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de iniciar o ejercitar acciones judiciales «no exige que el responsable o encargado del tratamiento transfronterizo de datos personales contra el que se ejercite dicha acción disponga de un establecimiento principal u otro establecimiento en el territorio de dicho Estado miembro».
Sin embargo, el ejercicio de esta facultad debe estar comprendida en el ámbito de aplicación territorial del RGPD, lo que supone que el responsable o el encargado del tratamiento transfronterizo disponga de un establecimiento en el territorio de la Unión.
Por otro lado, el tribunal indica que, en caso de tratamiento de datos transfronterizo, la facultad de una autoridad de control de un Estado miembro, puede ejercerse tanto con respecto al establecimiento principal del responsable del tratamiento que se encuentra en el Estado miembro de dicha autoridad como con respecto a otro establecimiento de ese responsable.
Eso sí, subraya, siempre que la acción judicial tenga por objeto un tratamiento de datos efectuado en el contexto de las actividades de ese establecimiento y que dicha autoridad tenga competencia para ejercer esa facultad.
Sin embargo, el Tribunal de Justicia precisa que el ejercicio de esta facultad presupone que el RGPD sea aplicable.
En este asunto, dado que las actividades del establecimiento del grupo Facebook situado en Bélgica están indisociablemente vinculadas al tratamiento de los datos personales de que se trata en el litigio principal, de los que Facebook Ireland es el responsable en lo que se refiere al territorio de la Unión, este tratamiento se realiza «en el contexto de las actividades de un establecimiento del responsable» y, por tanto, está efectivamente comprendido en el ámbito de aplicación del RGPD.
En relación al hecho de que la autoridad de control que no es la principal haya ejercitado, antes de la fecha de entrada en vigor del RGPD, una acción judicial cuyo objeto sea un tratamiento transfronterizo de datos personales, el tribunal señala que dicha acción puede mantenerse.
Y ello, sobre la base de las disposiciones de la Directiva relativa a la protección de datos, que sigue siendo aplicable en lo que se refiere a las infracciones de las normas que establece, cometidas hasta la fecha en la que dicha Directiva fue derogada.
Además, la citada acción puede ser ejercitada por esa autoridad por infracciones cometidas después de la fecha de entrada en vigor del RGPD, siempre que sea en una de las situaciones en las que, excepcionalmente, dicho Reglamento confiere a esa misma autoridad competencia para adoptar una decisión por la que se declare que el tratamiento de datos de que se trata no cumple las disposiciones de dicho Reglamento y siempre que se respeten los procedimientos de cooperación que este último establece.
Por último, reconoce el efecto directo de la disposición del RGPD en virtud de la cual cada Estado miembro dispondrá por ley que su autoridad de control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones de ese Reglamento y, si procede, para iniciar o ejercitar de otro modo acciones judiciales.
Por consiguiente, tal autoridad puede invocar dicha disposición para ejercitar o retomar una acción contra particulares, aun cuando dicha disposición no se haya aplicado específicamente en la legislación del Estado miembro de que se trate.
Noticias Relacionadas:
