El TJUE desgrana las claves de los tratamientos trasfronterizos de datos

17-06-2021 — AR/2021/085

La sentencia analiza la aplicación del concepto de «ventanilla única», recogido en el RGPD, y regula el ejercicio de las competencias de las autoridades de control de protección de los Estados miembros, cuando el tratamiento afecta a varios de ellos.

La sentencia de 15-6-2021 del Tribunal de Justicia de la Unión Europea (en adelante, TJUE), caso C-645/19, analiza los problemas planteados en la aplicación del denominado mecanismo de «ventanilla única»» o «one stop shop» del Reglamento General de Protección de Datos (RGPD); esto es, el sistema que regula el ejercicio de competencias por las autoridades de control de protección de datos cuando el tratamiento afecta a varios Estados miembros.

Resumimos a continuación las principales cuestiones que trata esta sentencia.

Origen del caso y alcance

El caso tiene su origen en la oposición de Facebook Inc. en Irlanda a reconocer la competencia de la autoridad de control de protección de datos de Bélgica para acometer acciones contra ella.

El tratamiento trasfronterizo de datos sucede cuando la actividad del responsable o el encargado del tratamiento alcanza a residentes en un Estado miembro diferente del que alberga su sede.

Esto puede suceder cuando un único establecimiento desarrolla su actividad en más de un Estado miembro o cuando un establecimiento principal establece una sucursal o una filial en otro de ellos. Se excluyen de este concepto los tratamientos desarrollados únicamente y de manera sustancial a interesados de un Estado miembro.

Para articular el mecanismo de «ventanilla única», el RGPD atribuye el carácter de principal a la autoridad de control del Estado miembro desde donde el establecimiento único desarrolla la actividad o, en caso de actuar mediante sucursales o filiales, el establecimiento principal dirige la actividad de las secundarias.

Si no hay una dirección de la actividad, se atribuye el carácter de autoridad de control principal a la del Estado miembro en el que esté establecida la filial o sucursal que desarrolle el mayor volumen de actividad.

Relaciones entre las autoridades de control

Ejercicio de competencias de las autoridades

La sentencia que comentamos resalta las principales reglas que articulan entre las autoridades de control afectadas el ejercicio de sus respectivas competencias:

  1. Cada autoridad de control tiene la competencia exclusiva sobre su respectivo territorio.
  2. Las autoridades de control, principal e interesadas, están obligadas a colaborar entre sí para llegar a un consenso y a una decisión única vinculante para todas ellas en caso de tratamientos trasfronterizos.
  3. Si la autoridad principal no atiende la asistencia solicitada por una interesada, esta podrá acordar medidas provisionales que darán lugar al procedimiento de resolución de conflictos del Comité Europeo de Protección de Datos mediante un dictamen vinculante.
  4. La autoridad principal es el único interlocutor frente al establecimiento principal o único, y debe atender las observaciones e iniciativas de las interesadas y responderlas razonadamente.
  5. Las autoridades interesadas tienen que actuar siempre por medio de la principal y frente al responsable o al encargado principal. No pueden actuar frente al responsable o el encargado del tratamiento de su jurisdicción, salvo en el caso excepcional de que la principal no haya atendido la asistencia solicitada en el plazo de un mes.
  6. El establecimiento principal o único debe cumplir la resolución de la autoridad principal y hacerla cumplir a las interesadas.
  7. Si una autoridad interesada discrepa de la decisión de la principal, de actuar o no actuar frente al establecimiento principal, puede solicitar la resolución del conflicto al Comité Europeo de Protección de Datos, mediante un dictamen vinculante para todas ellas.

Ejercicio de competencias de las autoridades de control

Este mecanismo de «ventanilla única» —manifiesta el TJUE— se vería comprometido si una autoridad de control que no sea la principal respecto de un tratamiento de datos trasfronterizo pudiera ejercer, sin respetar las reglas de reparto de competencias previstas, la facultad de instar a la autoridad judicial de su jurisdicción a perseguir las infracciones del RGPD o iniciar o ejercitar de otro modo acciones judiciales para hacer cumplir el reglamento.

Es decir, aunque el artículo 58.5 del RGPD atribuye a las autoridades de control la competencia para instar o ejercer acciones judiciales de forma incondicional, debe entenderse como sometida a las reglas enumeradas del mecanismo de «ventanilla única».

En consecuencia, la sentencia pone de manifiesto que la aplicación de estas reglas determina que el ejercicio de la facultad de una autoridad de control de un Estado miembro de dirigirse a los órganos jurisdiccionales de su Estado no puede excluirse cuando la autoridad principal no haya atendido el requerimiento de asistencia mutua.

Esta situación legitima a la autoridad de control para tomar medidas provisionales en su Estado y solicitar al Comité Europeo de Protección de Datos un dictamen vinculante.

Si este comité lo ve conforme, la autoridad puede ejercer las acciones judiciales oportunas para asegurar el cumplimiento del RGPD en su Estado.

Además, podrá ejercer esta competencia, limitada a su territorio nacional, aunque el responsable o el encargado no residan en él e, incluso, aunque su normativa orgánica no le atribuyan esta competencia, pues el RGPD tiene efecto directo en este aspecto y no precisa de una norma de implantación.