- Bogota D.C - Calle 67 N° 7-94 Oficina 604
- 3138834959 - 601 7953297 Ext. 120
Menú
El Tribunal de Justicia de la Unión Europea, en su sentencia de 15 de junio de 2021, asunto C-645/19 (Facebook vs DPA Belga), confirma el poder de las autoridades nacionales de protección de datos frente a Facebook y establece las condiciones para que las autoridades nacionales de control de datos de un Estado miembro puedan iniciar acciones judiciales por el tratamiento transfronterizo de protección de datos.
En el caso, que enfrentaba a la autoridad de datos belga y la multinacional tecnológica de Mark Zuckerberg desde hace más de cinco años, la filial belga de la red social afirmaba en su recurso de apelación que, en virtud de la normativa europea, la única autoridad de protección de datos facultada para incoar un procedimiento en relación con el tratamiento transfronterizo de datos era la Comisión de Protección de Datos de Irlanda (DPC), ya que la sede europea de la empresa está en Dublín. Sin embargo, el TJUE acepta que la autoridad belga sea competente en estos casos.
Si bien es cierto que con carácter general la competencia para interponer acciones la tiene la autoridad de protección de datos del Estado miembro en el que el responsable tiene su establecimiento principal, en su pronunciamiento el TJUE considera que si la legislación nacional de un Estado miembro faculta a su autoridad de control de datos para iniciar o ejercitar acciones judiciales por cualquier supuesta infracción del Reglamento Europeo de Protección de Datos (RGPD), esta también podrá ejercer esa facultad en lo que respecta a un tratamiento de datos transfronterizos aunque no sea la “autoridad de control principal”, en el sentido del artículo 56, apartado 1, del mismo Reglamento.
La máxima instancia judicial europea responde así a la pregunta planteada por el Tribunal de Apelación de Bruselas sobre si el RGPD impide realmente que la autoridad nacional de protección de datos belga entable un procedimiento judicial en su Estado miembro por un tratamiento transfronterizo de datos realizado por Facebook, cuya sede europea se encuentra en Irlanda.
En septiembre de 2015, la autoridad de protección de datos belga inició un procedimiento contra varias empresas del grupo Facebook: Facebook INC, Facebook Ireland Ltd -que es la sede principal del grupo en la UE- y Facebook Belgium BVBA.
En su demanda, la autoridad de protección de datos solicitó que se requiriera a Facebook para que dejase de insertar, sin el consentimiento de los usuarios de Internet establecidos en Bélgica, determinadas cookies en los dispositivos utilizados por estos cuando navegan por una página web en el dominio Facebook.com o cuando acaban en el sitio web de un tercero. También pedía que la tecnológica dejase de recopilar datos de forma excesiva mediante social plug-ins (por ejemplo, los botones “Me gusta” o “Compartir”) y píxeles en sitios web de terceros. Estos elementos permitían a la red social obtener determinados datos, como la dirección de esa página, la “dirección IP” del visitante de dicha página y la fecha y la hora de la consulta en cuestión.
Thank you for watching
El Tribunal de Primera Instancia Neerlandófono de Bruselas declaró que la red social en cuestión no informaba suficientemente a los internautas belgas del uso de la información, por lo que requirió a Facebook que cesara en dicha conducta y destruyese todos los datos personales obtenidos mediante cookies y complementos sociales relativos a cada usuario de Internet establecido en el territorio belga.
Así las cosas, el Tribunal de Apelación de Bruselas planteó cuestión prejudicial para dilucidar si el RGPD, tras la implantación del principio de ventanilla única, impide realmente que la autoridad nacional de protección de datos belga entable un procedimiento judicial en su Estado miembro por un tratamiento transfronterizo de datos realizado por Facebook, con delegación en Bélgica pero cuyo responsable del tratamiento de los datos en cuestión se encuentra en Irlanda.
La sentencia recuerda que el RGPD prevé el mecanismo de «ventanilla única», cuya finalidad es “garantizar una protección coherente y homogénea de las normas de protección de datos personales, y preservar así su eficacia”. Este procedimiento implica que los responsables o encargados de tratamiento establecidos en varios Estados miembros o que, estando en un solo Estado miembro, realicen tratamientos que sea probable que afecten sustancialmente a ciudadanos en varios Estados de la UE, puedan tener una única autoridad de protección de datos como interlocutora. “Esta autoridad interlocutora actuará como autoridad de control principal y será, por lo general, la autoridad del establecimiento principal del Responsable o Encargado de Tratamiento”, apunta Tamara Vizcaíno, abogada experta en protección de datos en Grupo Adaptalia.
En el caso de la sentencia indicada, Facebook alegaba la prevalencia de este sistema, a los efectos de que la Autoridad de Control Irlandesa fuera considerada como Autoridad Principal. Sin embargo, el TJUE ha declarado que, en determinadas condiciones, la normativa «autoriza a una autoridad de control de un Estado miembro a ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción del RGPD y de iniciar o ejercitar acciones judiciales con respecto a un tratamiento de datos transfronterizo aunque no sea la autoridad de control principal en lo referente a ese tratamiento». Así, en opinión de Vizcaníno, “el sistema de ventanilla única se ha visto comprometido y limitado, al reconocer el Alto Tribunal la existencia de excepciones con relación a su aplicación directa, no pudiendo aplicarse en todos los supuestos”.
El Tribunal de Justicia recuerda que el ejercicio de una acción judicial por una autoridad de control de un Estado miembro debe estar comprendido en el ámbito de aplicación territorial del RGPD y reconoce el efecto directo de la disposición del RGPD según la cual cada Estado puede establecer por ley que su autoridad de control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones de dicho Reglamento y, en su caso, poder iniciar o participar de otro modo en un procedimiento judicial.
Con este pronunciamiento en perjuicio de Facebook las grandes empresas tecnológicas (como Amazon o Google) podrían resultar gravemente perjudicadas. Según la experta en protección de datos Tamara Vizcaíno, “podría suponer un aumento considerable del número de Autoridades de Supervisión con competencia para iniciar actividades inspectoras y sancionadoras, sobre todo si tenemos en cuenta que todas realizan tratamientos de datos a gran escala en la mayoría de países de la Unión Europea”.
Además, la sentencia incrementará la tutela judicial efectiva de todos los interesados. “Proporcionará una mayor garantía para todos los usuarios y una mayor facilidad a la hora de denunciar las actividades que pudieran infringir tanto el RGPD como la normativa nacional de cada Estado Miembro”, opina Vizcaíno, “dando un paso adicional en la consecución de una Unión sin fronteras legislativas y eliminando cualquier barrera que pudiera impedir que la ubicación de una concreta organización, merme el derecho a la protección de datos cualquier ciudadano”.
