Tratamientos transfronterizos de datos personales: ¿Qué autoridad resulta competente? Conclusiones del abogado general en el asunto C-645/19

2021-02-16T18:17:00

¿Cuáles son las facultades de las autoridades de control nacionales ante infracciones originadas por tratamientos de datos transfronterizos? Esta es la cuestión fundamental que se debate en el caso C-645/19 (Facebook Ireland y otros), sobre el que recientemente se ha pronunciado con sus Conclusiones el Abogado General del TJUE (“AG”)

Tratamientos transfronterizos de datos personales: ¿Qué autoridad resulta competente? Conclusiones del abogado general en el asunto C-645/19
16 de febrero de 2021

¿Cuáles son las facultades de las autoridades de control nacionales ante infracciones originadas por tratamientos de datos transfronterizos? Esta es la cuestión fundamental que se debate en el caso C-645/19 (Facebook Ireland y otros), sobre el que recientemente se ha pronunciado con sus Conclusiones el Abogado General del TJUE (“AG”)

Los hechos que han dado lugar a la presente cuestión prejudicial son, resumidamente, los siguientes. En 2015, la Autoridad de Protección de Datos belga (“APD”) inició un procedimiento contra varias filiales de la compañía ante el Tribunal de Primera Instancia de Bruselas por presuntas infracciones de la normativa de protección de datos. Inicialmente, el Tribunal belga se consideró competente para conocer del asunto y mediante auto ordenó el cese provisional de ciertas actividades respecto de los usuarios de la plataforma situados en territorio belga.

La demandada recurrió en apelación dicha resolución y, entre los diferentes motivos aducidos, alegó que, tras la entrada en vigor del RGPD y del mecanismo de “ventanilla única”, la APD belga carece de competencia para continuar el procedimiento en cuestión, al no tratarse de la autoridad de control principal. Dado que el establecimiento principal de la compañía en la Unión Europea se encuentra en Irlanda, se defiende que es la autoridad de control irlandesa la única competente para incoar contra ella procedimientos de infracción derivados de tratamientos transfronterizos de datos.

En estas circunstancias, la cuestión principal que se plantea es si el RGPD permite que una autoridad de control que no sea la autoridad de control principal pueda iniciar procedimientos ante los tribunales de su Estado con respecto a tratamientos transfronterizos.

El mecanismo de “ventanilla única” se introdujo como un elemento importante de la armonización del sistema jurídico de la Unión en materia de protección de datos, con el objetivo de aumentar la aplicación coherente de la normativa, proporcionar seguridad jurídica y reducir la carga administrativa de responsables y encargados. Para hacer efectivo este mecanismo, el RGPD establece dos figuras relevantes: la autoridad de control principal (“ACP”), encargada de la coordinación y supervisión de los procedimientos relativos a estos tratamientos transfronterizos y, la autoridad de control interesada (“ACI”) que asume funciones cuando se ve «afectada» por el tratamiento en cuestión (en los términos que recoge el artículo 4.22 del RGPD). No obstante, cuando un determinado tratamiento con componentes transfronterizos tiene especial impacto sobre un Estado Miembro concreto, las autoridades nacionales tienden a asumir las competencias de supervisión.

Tras realizar diversas interpretaciones del texto del RGPD, el AG concluye que la competencia de la ACP en relación con los tratamientos transfronterizos es la regla general, mientras que la competencia de las demás autoridades de control es la excepción. Así, la ACP es el interlocutor principal con el responsable o el encargado del tratamiento, sin obviar que se requiere una cooperación estrecha y consenso con las ACI para tomar decisiones en este ámbito, en los términos establecidos en los artículos 60 y siguientes del RGPD.

En definitiva, el rol de la ACP no constituye una competencia exclusiva, sino que el mecanismo de “ventanilla única” establece una “forma estructurada de cooperación con otras autoridades de control localmente competentes”.

De hecho, el propio RGPD prevé mecanismos para hacer frente a los supuestos de falta de actuación suficiente de la ACP, , incluyendo al menos dos vías diferentes para que las ACI puedan tomar el control de los procedimientos e investigaciones haciendo cumplir la normativa. En este sentido, el AG se refiere a las medidas provisionales y al procedimiento de urgencia (regulados en los artículos 61.8 y 66 del RGPD) y a la solicitud de dictamen al Comité Europeo de Protección de Datos (tal y como se establece en los artículos 64 y 65 del RGPD), si bien es cierto que la efectividad de estas herramientas deberá analizarse en la práctica.

Asimismo, el AG señala que las autoridades de control nacionales pueden interponer acciones ante sus respectivos tribunales, aunque no actúen como ACP, en las siguientes circunstancias:

  1. Cuando el tratamiento no quede incluido en el ámbito material del RGPD;
  2. Cuando se investiguen tratamientos realizados por autoridades públicas o realizados en interés público o en ejercicio de poderes públicos;
  3. Cuando ninguna autoridad de control pueda actuar como ACP, lo que ocurre cuando el responsable o encargado del tratamiento transfronterizo no tiene establecimiento en la UE;
  4. Cuando se adopten medidas urgentes necesarias para proteger los intereses de los afectados ; y
  5. Cuando la ACP correspondiente decida no tratar un caso, de acuerdo con lo previsto en el artículo 56.5 del RGPD.

En resumen, la conclusión provisional del AG es que “la autoridad de control de un Estado miembro está facultada para entablar un procedimiento ante un tribunal de ese Estado por una presunta infracción del RGPD con respecto al tratamiento transfronterizo de datos, pese a no ser la ACP, siempre que lo haga en las situaciones y según los procedimientos establecidos en el RGPD”.

Las conclusiones del AG son provisionales y no vinculan al TJUE en su decisión, aunque constituyen una meditada solución jurídica al caso que suele ser tenida en cuenta por los jueces a la hora de emitir su pronunciamiento. En todo caso, estaremos pendientes ante esta y futuras resoluciones del TJUE al respecto ya que, en un contexto digital donde delimitar fronteras nacionales y supervisar el tratamiento masivo de los datos resulta tan complejo, es de especial importancia dilucidar qué competencias corresponden a cada autoridad de protección de datos.

Autores: Josu Andoni Eguiluz Castañeira y Ainhoa Rey Cendon

16 de febrero de 2021