miércoles, 11 de mayo de 2016

Aspectos internacionales del Reglamento general de protección de datos de la UE (I): cuestiones de competencia

            A partir del 25 de mayo de 2018 será aplicable el Reglamento (UE) 2016/679, de 27 de abril de 2016, general deprotección de datos, que deroga la Directiva 95/46/CE y sustituirá desde entonces, en las materias que regula, a las legislaciones nacionales sobre protección de datos, sin perjuicio de que en ocasiones puntuales el Reglamento contemple que sus normas puedan ser especificadas o restringidas por el Derecho de los Estados miembros (por ejemplo, en relación con la edad aplicable al consentimiento para el tratamiento por los niños en virtud del art. 8). Aunque el Reglamento se basa en los mismos objetivos y principios que la Directiva que deroga, la transformación tecnológica y social que ha tenido lugar en las últimas dos décadas y muy especialmente el desarrollo de la sociedad de la información condicionan la significativa evolución normativa que representa este Reglamento, como reflejan, por ejemplo, las disposiciones sobre la información que debe facilitarse a los interesados (esp. arts. 13 y 14), la regulación del llamado derecho al olvido (art. 17), el derecho a la portabilidad de los datos (art. 20), el derecho a no ser objeto de la elaboración de perfiles (art. 22), la protección de datos desde el diseño y por defecto (art. 25) o el derecho del interesado a ser informado de la violación de la seguridad de datos que entrañe un alto riesgo para sus derechos y libertades (art. 34). La trascendencia del cambio legislativo se acentúa como consecuencia de la sustitución de un marco basado en la mera armonización por otro de unificación y consiguiente supresión de la diversidad de legislaciones nacionales entre los Estados miembros. El alcance de los cambios que el nuevo Reglamento introduce justifica repartir una primera valoración del mismo, incluso tan sólo de sus aspectos internacionales, en varias entradas, para abordar de manera separada, por ejemplo, las cuestiones que se suscitan en materia de competencia, de determinación de la ley aplicable incluyendo el ámbito territorial de aplicación de la legislación sobre datos personales, o en relación con la trasferencia internacional de datos. Esta primera reseña estará centrada en las cuestiones internacionales relativas a la competencia de las autoridades de control y de los órganos judiciales.


I. Tratamientos transfronterizos y delimitación de la competencia de las autoridades de control

            En el modelo todavía vigente, basado en la armonización de las legislaciones de los Estados miembros, la concreción de la legislación nacional aplicable conforme al artículo 3 de la Directiva 95/46/CE –típicamente la de cada Estado miembro de establecimiento del responsable o de situación de los medios utilizados para el tratamiento- resulta también determinante para fijar el Estado o Estados miembros cuyas autoridades de control son competentes para imponer sanciones, habida cuenta de la limitación territorial del alcance de las competencias de esas autoridades y de la estricta correlación entre ley aplicable y autoridad competente que es característica del ámbito administrativo, como  puso de relieve el Tribunal de Justicia en su sentencia de 1 de octubre de 2015, en el asunto C-230/14, Weltimmo.

            Por el contrario, en el nuevo Reglamento las normas sobre su ámbito territorial contenidas en el artículo 3 –que serán objeto de análisis en otra entrada- no cumplen una función semejante con respecto a la delimitación de las competencias de las autoridades de control de los Estados miembros, habida cuenta de que el Reglamento unifica la normativa sobre protección de datos personales para el conjunto de la Unión, por lo que típicamente no se planteará la cuestión de determinar la legislación nacional de qué concreto Estado miembro aplicable en materia de protección de datos, salvo en aspectos puntuales. Ahora bien, la supervisión de la aplicación del Reglamento –incluida la tramitación de las reclamaciones presentadas por interesados, la práctica de investigaciones y la imposición de sanciones administrativas- es responsabilidad de las autoridades de control de los Estados miembros y no de una autoridad de control de ámbito europeo, de modo que en las situaciones vinculadas con más de un Estado miembro, que el Reglamento engloba bajo la categoría de “tratamiento transfronterizo”, continuará resultando de gran importancia la determinación del concreto Estado miembro cuya autoridad de control es competente.

            Ciertamente, punto de partida del Reglamento a estos efectos es la inclusión en su artículo 4.23) de una definición de “tratamiento transfronterizo”, que incluye dos tipos de situaciones:
“a)  el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o
b)  el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro;”

            Cabe apreciar que la noción de “tratamiento transfronterizo” va referida a situaciones intracomunitarias, es decir vinculadas con dos o más Estados miembros de la UE, dejando al margen los supuestos conectados con terceros Estados, precisamente porque la categoría se refiere a aquellas situaciones comprendidas dentro del ámbito territorial de aplicación del Reglamento (conforme a su artículo 3), en las que pueden plantearse dificultades con respecto a la determinación del Estado o Estados miembros cuyas autoridades de control son competentes. Aunque en principio el ejercicio de los poderes atribuidos a cada autoridad de control determina que sea competente en relación con el tratamiento en el contexto de las actividades de un establecimiento del responsable o del encargado en el territorio de su Estado miembro, el tratamiento que afecte a interesados en su territorio, o el tratamiento realizado por un responsable o un encargado que no esté establecido en la Unión cuando sus destinatarios sean interesados residentes en su territorio (cdo. 122), la determinación de una autoridad como autoridad de control principal presenta gran importancia. Ello es así en la medida en que el Reglamento contempla la implantación del llamado mecanismo de ventanilla única, si bien la coordinación con otras autoridades de control interesadas y las competencias a estas atribuidas son esenciales de cara a una efectiva salvaguarda de los derechos de los afectados.

            Ciertamente la implantación de un modelo orientado hacia la ventanilla única plantea riesgos para los afectados en la medida en que pudiera menoscabar la posibilidad de tramitar una eventual reclamación ante la autoridad de control del país de su residencia habitual, por ejemplo, en situaciones en las que el responsable tuviera establecimientos en varios Estados miembros, al tiempo que podría generar riesgos de deslocalización de los responsables y encargados del tratamiento, en caso de existir diferencias significativas en el ejercicio de sus poderes y el desempeño de sus funciones. En este contexto, como destaca el considerando 129, las autoridades de control deben tener en todos los Estados miembros las mismas funciones y poderes efectivos. En todo caso, a lo largo de la tramitación de la Directiva se matizó de manera significativa el alcance del criterio de ventanilla única.

            La autoridad del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento tiene la consideración de autoridad de control principal en relación con los tratamientos transfronterizos (art. 56), debiendo actuar conforme al procedimiento de cooperación con las demás autoridades de control interesadas previsto en el artículo 60. En consecuencia, cuando el responsable o encargado tiene establecimientos en más de un Estado miembro resulta de gran importancia la definición de establecimiento principal, contenida en el artículo 4.16. Con respecto al responsable del tratamiento, se considera que el establecimiento principal se halla “en el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal”. El considerando 36 precisa que tal establecimiento “debe determinarse en función de criterios objetivos y debe implicar el ejercicio efectivo y real de actividades de gestión que determinen las principales decisiones en cuanto a los fines y medios del tratamiento a través de modalidades estables”, así como que no resulta determinante si el tratamiento de los datos personales se realiza en dicho lugar. Señala además que “(l)a presencia y utilización de medios técnicos y tecnologías para el tratamiento de datos personales o las actividades de tratamiento no constituyen, en sí mismas, establecimiento principal y no son, por lo tanto, criterios determinantes de un establecimiento principal”.

            Por su parte, “autoridad de control interesada” es cualquiera a la que afecta el tratamiento de datos por estar establecido en ese Estado miembro el responsable o el encargado del tratamiento, por resultar afectados o poderlo ser los afectados que residen en ese Estado o por haberse presentado una reclamación ante esa autoridad de control.

            Como excepción a la aplicación del procedimiento de coordinación liderado por la autoridad de control principal previsto en el artículo 60 o “mecanismo de ventanilla única”, se contempla que cada autoridad de control es competente para tratar una reclamación que le sea presentada o una posible infracción del Reglamento, cuando se refiera únicamente a un establecimiento situado en su Estado o sólo afecte de manera sustancial a interesados en su Estado (art. 56.2), pese a tratarse de procedimientos transfronterizos relativos a responsables o encargados cuyo establecimiento principal se encuentra en otro Estado miembro. Ahora bien, en estos casos la autoridad de control principal, que debe ser informada por la autoridad de control ante la que se ha presentado la reclamación, decidirá si se trata o no el caso de conformidad con el procedimiento establecido en el artículo 60, pudiendo la autoridad de control que haya informado presentar un proyecto de decisión a la autoridad de control principal, en caso de que se recurra al artículo 60.

            El procedimiento típico en relación con los tratamientos transfronterizos es el de cooperación establecido en el artículo 60, que fija el marco en el que la autoridad de control principal debe cooperar con las demás autoridades de control interesadas para esforzarse en llegar a un consenso de cara a adoptar una decisión vinculante, para la que ella es la competente salvo cuando la decisión rechace la reclamación del interesado, que deberá ser adoptada por la autoridad de control ante la que se presentó la reclamación. La autoridad de control principal puede solicitar asistencia mutua (art. 61) y la realización de operaciones conjuntas (art. 62) y es a ella a quien corresponde preparar un proyecto de decisión. En caso de que cualquiera de las autoridades de control interesadas formule una objeción pertinente y motivada en un plazo de cuatro semanas, la autoridad de control principal puede optar por seguir lo indicado en la objeción y adoptar la decisión vinculante en la que estén de acuerdo todas las autoridades implicadas en el procedimiento, que además notificará al establecimiento principal del responsable o encargado, mientras que la autoridad de control ante la que se haya presentado una reclamación informará de la decisión al reclamante. En el supuesto de que la decisión sea desestimar o rechazar una reclamación, será la autoridad de control ante la que se haya presentado la que adopte la decisión, la notifique al reclamante e informe al responsable del tratamiento, lo que condiciona la autoridad competente en relación con el derecho a la tutela judicial efectiva contra una autoridad de control (vid. II, infra).

            Si en el marco del procedimiento de cooperación, alguna de las demás autoridades de control interesadas ha presentado objeciones al proyecto de decisión con las que no esté de acuerdo la autoridad de control principal, ésta habrá de someter el asunto al mecanismo de coherencia del artículo 63, orientado a facilitar la aplicación coherente del Reglamento en toda la Unión. Dicho mecanismo contempla que el Comité Europeo de Protección de Datos (“Comité”, que sustituirá al llamado Grupo del artículo 29 creado por la Directiva 95/46/CE) adopte decisiones vinculantes, entre otros casos, en aquellas situaciones en las que haya puntos de vista enfrentados sobre cuál de las autoridades de control interesadas es competente para el establecimiento principal; así como cuando en un procedimiento de cooperación del artículo 60, una autoridad de control interesada haya manifestado una objeción pertinente y motivada a un proyecto de decisión de la autoridad principal, o esta haya rechazado dicha objeción por no ser pertinente o no estar motivada, en estos supuestos, la autoridad de control principal o, en su caso, la autoridad de control ante la que se presentó la reclamación adoptará su decisión definitiva sobre la base de esa decisión (art. 65). Sólo en situaciones excepcionales se contempla que una autoridad de control interesada que considere que es urgente intervenir para proteger los derechos y las libertades de interesados, pueda como excepción al mecanismo de coherencia o al procedimiento de cooperación del artículo 60, adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio, con un periodo de validez determinado que no podrá ser superior a tres meses.

            Habida cuenta de la complejidad inherente a la aplicación del Reglamento por una pluralidad de autoridades de control de los Estados miembros, así como de la configuración del procedimiento de cooperación y del mecanismo de coherencia, cabe esperar que la actividad del Comité resulte determinante, lo que también se proyectará sobre otros importantes aspectos del Reglamento, respecto de los que entre las funciones del Comité se encuentra emitir directrices, recomendaciones y buenas prácticas (art. 70).


II. Reclamaciones ante las autoridades de control y tutela contra dichas autoridades

            Con carácter general, el artículo 77.1 del Reglamento establece el derecho de todo a interesado a presentar una reclamación ante una autoridad de control si considera que el tratamiento de datos personales que le conciernen infringe el Reglamento, previendo expresamente que tal reclamación puede presentarse, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción. Es bien conocido que esta vía de reclamación, sometida a menores costes y esfuerzos para el reclamante que el ejercicio de acciones judiciales, constituye un mecanismo esencial para que los afectados puedan solicitar la protección de sus derechos. El artículo 77 adopta un criterio flexible en lo relativo a la autoridad en la que el interesado puede presentar su reclamación, con el objetivo de facilitar la protección de sus derechos, que se ve reforzada por el significado atribuido a esa autoridad, en la medida en que será considerada “autoridad de control interesada” a los efectos de los procedimientos antes reseñados, en los que se prevé que en el supuesto de que la decisión sea desestimar o rechazar una reclamación, será la autoridad de control ante la que se haya presentado la que adopte la decisión. Ahora bien, cuando la autoridad ante la que se presenta la reclamación no da curso a la misma, sólo se reconoce al interesado el derecho a ejercitar acciones contra la autoridad de control si está es competente en virtud de los artículos 55 y 56 del Reglamento.

            La determinación de la autoridad nacional que adopta la decisión tiene singular relevancia en relación con la tutela judicial contra una autoridad de control, a la que se refiere el artículo 78 del Reglamento, que proclama que toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna. El artículo 78.3 del Reglamento, como es propio del ejercicio de acciones frente a actos administrativos, establece que las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que esté establecida dicha autoridad, lo que está en línea con lo previsto en la legislación española por el artículo 24 de la LOPJ con respecto a la extensión de la jurisdicción de los tribunales españoles del orden contencioso-administrativo, según el cual será competente, en todo caso, la jurisdicción española cuando la pretensión que se deduzca se refiera… a actos de las Administraciones Públicas españolas o vayan referidas a actos de los poderes públicos españoles. De ahí la importancia la previsión en el Reglamento de que cuando la decisión sea desestimar o rechazar una reclamación, será la autoridad de control ante la que se haya presentado la que adopte la decisión, lo que resultará determinante de la competencia de los tribunales de dicho Estado para conocer de las acciones que puedan ejercitarse en vía judicial, típicamente por el afectado, frente a la desestimación de la reclamación.


III. Competencia judicial en materia de acciones contra un responsable o encargado del tratamiento

            El artículo 79 del Reglamento aparece dedicado a regular la tutela judicial efectiva contra un responsable o encargado del tratamiento, que resulta de importancia especialmente con respecto al derecho de toda persona que sufra daños y perjuicios materiales o inmateriales como consecuencia de una infracción del Reglamento a recibir del responsable o el encargado del tratamiento una indemnización (art. 82).

            Desde la perspectiva de la competencia internacional destaca de manera muy singular la previsión de normas especiales de competencia judicial internacional, que prevalecerán en esta materia sobe las del Reglamento Bruselas I bis (y la LOPJ), como expresamente prevé el considerando 147 y se desprende del propio artículo 67 RBIbis, al tratarse de disposiciones del Derecho de la UE que regulan la competencia en materias particulares.

            Conforme al artículo 79.2 del Reglamento: “Las acciones contra un responsable o encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos”. Desde la perspectiva de los posibles afectados por el tratamiento, con respecto a la situación actual en el marco del Reglamento Bruselas I bis, el nuevo artículo 79.2 facilita la posibilidad de demandar al responsable o al encargado ante los tribunales de cualquier Estado en el que tengan un establecimiento y contempla con carácter general la posibilidad de que la víctima pueda demandar ante los tribunales de su propia residencia habitual. En la práctica, los criterios del artículo 79.2 del Reglamento la Propuesta dejan al margen ciertas posibilidades que tiene en el marco del artículo 7.2 RBIbis, en la medida en que éste no sólo permite demandar por el conjunto del daño ante los tribunales del Estado miembro del centro de intereses de la víctima -al menos en relación con ciertos actividades desarrolladas en Internet, con base en la sentencia eDate Advertising- sino también, aunque con un alcance limitado, ante los tribunales de otros lugares de manifestación del daño (por ejemplo, en los que se hayan divulgado los datos). En todo caso, la introducción de esta norma de competencia especial en el nuevo Reglamento plantea otras cuestiones de interés, como su eventual aplicación a demandados domiciliados en terceros Estados, a diferencia del artículo 7.2 RBIbis, y su interacción con el resto de reglas del RBIbis.


IV. Litispendencia y conexidad

            Para concluir, cabe reseñar que el artículo 81, bajo la rúbrica “suspensión de los procedimientos”, introduce la siguiente disposición:

1. Cuando un tribunal competente de un Estado miembro tenga información de la pendencia ante un tribunal de otro Estado miembro de un procedimiento relativo a un mismo asunto en relación con el tratamiento por el mismo responsable o encargado, se pondrá en contacto con dicho tribunal de otro Estado miembro para confirmar la existencia de dicho procedimiento.
2. Cuando un procedimiento relativo a un mismo asunto en relación con el tratamiento por el mismo responsable o encargado esté pendiente ante un tribunal de otro Estado miembro, cualquier tribunal competente distinto de aquel ante el que se ejercitó la acción en primer lugar podrá suspender su procedimiento.
3. Cuando dicho procedimiento esté pendiente en primera instancia, cualquier tribunal distinto de aquel ante el que se ejercitó la acción en primer lugar podrá también, a instancia de una de las partes, inhibirse en caso de que el primer tribunal sea competente para su conocimiento y su acumulación sea conforme a Derecho.

            Aunque por la ubicación y redacción de la norma podría resultar controvertido, cabe entender que esta disposición no resulta de aplicación en aquellos casos en los que la litispendencia o conexidad se plantea entre tribunales que conocen de acciones contra un encargado o responsable del tratamiento en materia civil, típicamente relativas a la reclamación de daños y perjuicios derivados de la infracción de las normas sobre protección de datos. En materia civil carece de justificación que el modelo más elaborado y uniforme en materia de litispendencia y conexidad del Reglamento Bruselas I bis sea sustituido por el previsto en el artículo 81 del Reglamento general sobre protección de datos.

            Entre los elementos que avalan esta posición, se encuentra que el considerando 144 al introducir este mecanismo hace referencia a su aplicación “(s)i un tribunal ante el cual se ejercitaron acciones contra una decisión de una autoridad de control tiene motivos para creer que se ejercitaron acciones ante un tribunal competente de otro Estado miembro relativas al mismo tratamiento…”, de modo que parece ir referido a situaciones en las que las acciones se ejercitan contra una autoridad de control. Además, el considerando 147 al contemplar que ciertas normas del nuevo Reglamento priman sobre el Reglamento Bruselas I bis se refiere tan sólo al hecho de que el nuevo Reglamento contiene “normas específicas sobre competencia judicial”. Asimismo, es importante tener presente que las normas sobre litispendencia y conexidad entre tribunales de Estados miembros del Reglamento Bruselas I bis se vinculan con el sistema de reconocimiento y ejecución de resoluciones que establece, por lo que resulta apropiado que esas disposiciones del Reglamento Bruselas I bis sigan siendo aplicables con respecto al ejercicio de acciones de responsabilidad civil por la infracción de la normativa sobre protección de datos personales, habida cuenta de que las resoluciones que se adopten en materia civil serán susceptibles de reconocimiento y ejecución en los demás Estados miembros con base en el Reglamento Bruselas I bis.