Tratamientos transfronterizos de datos personales y alcance del criterio de ventanilla única

Es conocido que frente a la situación existente en la Directiva 95/46, el RGPD introdujo un modelo llamado de ventanilla única como un régimen específico para la determinación de las autoridades de control competentes en ciertas situaciones vinculadas con dos o más Estados miembros, que evite el sometimiento cumulativo a varias autoridades de control, lo que facilita la actividad de los responsables o encargados pero no debe menoscabar la posición de los interesados ubicados en un Estado miembro distinto de aquel a cuya autoridad de control se atribuye la competencia. Ciertamente, ese modelo se basa en la atribución de una competencia general de la «autoridad de control principal» (en el sentido del art. 56 RGPD) sobre los «tratamientos transfronterizos» (como se definen en el art. 4.23 RGPD), sin perjuicio de ciertas excepciones.  Esa autoridad  de control desempeña una papel preponderante en los procedimientos de cooperación (art. 60) y coherencia en los que también pueden participar «autoridades de control interesadas». En su sentencia de ayer en el asunto C-645/19, Facebook Ireland, EU:C:2021:483, el Tribunal de Justicia aborda por primera vez la interpretación de las normas del RGPD relativas al modelo de ventanilla única y la interacción cuando en el marco de ese modelo en lo relativo al ejercicio de sus poderes entre la autoridad de control principal y autoridades de control interesadas. Entre otros aspectos, destaca que el Tribunal de Justicia establece que el reparto de competencias entre esas autoridades presupone la cooperación leal y efectiva entre las mismas, en particular por parte de la autoridad de control principal como fundamento de la restricción de las competencias de las demás autoridades de control (apdo. 72 de la sentencia).

Responsabilidad por productos: exclusión de los medios con información incorrecta

 

En su sentencia de hoy en el asunto KRONE — Verlag el Tribunal de Justicia no solo constata que la prestación de servicios –como el suministro de información o el asesoramiento- se encuentran excluidos del régimen específico de responsabilidad por los daños causados por productos defectuosos contenido en la Directiva 85/374/CEE sino también que esa conclusión no se ve modificada por la circunstancia de que el servicio se preste mediante la inclusión de la información incorrecta en un soporte que constituya un bien mueble, como un periódico impreso. En concreto, en el litigio principal la demandante pretende exigir responsabilidad a un editor a partir de la consideración como  producto defectuoso de un periódico en relación con la información errónea de un consejo de salud publicado en el mismo, con base en el criterio de que el suministro de información incorrecta cuando aparece recogida en un bien mueble –por ejemplo, en un periódico o un libro- puede dar lugar a que el estricto régimen de responsabilidad objetiva de la Directiva sea de aplicación al autor de la información y al editor del medio en el que se difunde.

Facebook, sus “new enforcement protocols” y los límites de sus “normas comunitarias”

 

            Cuando se trata de determinar qué contenidos de sus usuarios pueden tener cabida en una red social y cuáles pueden o incluso deben ser vetados por la propia red social, sin duda, un elemento relevante son las propias reglas que la entidad que presta el servicio –en ejercicio, entre otros de su derecho a la libertad de empresa- pueda haber establecido, siempre, por cierto, que el contenido de esas reglas y su aplicación sean conformes con la legislación nacional aplicable al caso concreto (y difícilmente podrá pretenderse que sean vinculantes las que al parecer ni siquiera se ponen a disposición del usuario en el idioma en el que se le presta el servicio, por ejemplo en https://www.facebook.com/communitystandards/introduction puede leerse: “Ten en cuenta que la versión en inglés estadounidense de las Normas comunitarias incluye el conjunto más actualizado de estas políticas, por lo que debería usarse como documento de referencia principal.”). Ahora bien, otro elemento determinante es que, al margen de los estándares fijados por la propia empresa, la red social debe respetar las prohibiciones que en cada caso resulten de la legislación nacional aplicable.

Reutilización de información por agregadores de Internet y límites del derecho sui generis sobre bases de datos: la sentencia CV-Online

 

               En su sentencia de hoy en el asunto CV-Online Latvia, C-762/19, EU:C:2021:434, el Tribunal de Justicia ha seguido fielmente los aspectos esenciales de la propuesta formulada por el AG Szpunar en sus conclusiones, a las que ya dediqué una reseña cuando fueron publicadas. El litigio principal tenía su origen en la demanda interpuesta por la sociedad que explota un sitio de Internet que contiene una base de datos con anuncios de empleo publicados por empresarios frente a la sociedad que explota un motor de búsqueda especializado en anuncios de trabajo. Como es propio de los agregadores, el funcionamiento del sitio de la demandada coincide con el de los motores de búsqueda, de modo que copia e indexa en su servidor el contenido de los sitios accesibles en Internet –como el de la demandante- cuya información utiliza para permitir seguidamente a sus usuarios realizar búsquedas en esas bases de datos en el propio sitio de Internet del agregador (apdo. 19 de la sentencia), que se caracteriza por indexar únicamente sitios de Internet de su concreto ámbito de especialización. La demandante considera que esa utilización de sus contenidos por parte del agregador constituye una vulneración de su derecho sui generis en tanto que fabricante de la base de datos en virtud del artículo 7 de la Directiva 96/9 (art. 133 TRLPI en el Derecho español). En virtud de esa norma el fabricante queda facultado para prohibir la extracción y reutilización de la totalidad o de una parte sustancial del contenido de la base de datos, evaluada cualitativa o cuantitativamente, cuando la obtención, la verificación o la presentación de dicho contenido representen una inversión sustancial desde el punto de vista cuantitativo o cualitativo. La sentencia de hoy resulta de interés respecto de una cuestión tan relevante en el entorno del llamado big data como la posibilidad de reutilización de información, datos y contenidos que figuran en bases de datos accesibles a través de Internet.

Reglamento (UE) 2021/784 sobre la lucha contra la difusión de contenidos terroristas en línea: primera parte

 

                Este nuevo instrumento regula las obligaciones de los prestadores de servicios de alojamiento de datos para hacer frente a la difusión entre el público a través de sus servicios de contenidos terroristas, como peculiar categoría de contenidos ilícitos asociada a singulares riesgos. El Reglamento incluye deberes de retirada o bloqueo rápido de tales contenidos y otros deberes de diligencia que se imponen a los prestadores de servicios; así como el régimen de adopción de medidas, incluyendo órdenes de retirada, por parte de los Estados miembros en relación con el uso indebido de los servicios de alojamiento de datos en este concreto sector. Esta reseña, tras una referencia a los elementos básicos del Reglamento (I, infra), aborda algunas de las cuestiones de interés que el nuevo instrumento, que será aplicable a partir del 7 de junio de 2022, plantea: ordenes de retirada (II), medidas específicas frente al uso indebido de los servicios de alojamiento (III), obligaciones adicionales de los prestadores de servicios (IV), interacción con otras normas reguladoras del régimen de los prestadores de servicios de alojamiento (V), ámbito territorial (VI) y aplicación por los Estados miembros (VII). 

Reglamento (UE) 2021/784 sobre la lucha contra la difusión de contenidos terroristas en línea: segunda parte

Como continuación de la entrada precedente, en esta se incluyen los apartados relativos a la interacción del nuevo Reglamento con otras normas de la UE reguladoras del régimen de los prestadores de servicios de alojamiento (V), así como al análisis de su ámbito territorial (VI) y de ciertas precisiones respecto de la aplicación por los Estados miembros (VII), junto con un breve epílogo (VIII).

Demandas de accionistas frente a sociedades cotizadas por información inexacta o engañosa: competencia internacional

 

La jurisprudencia del Tribunal de Justicia había reconocido la relevancia del lugar de establecimiento del banco o entidad en cuyo registro está inscrita la cuenta del inversor en la que se produce directamente el perjuicio económico derivado de la pérdida de valor de los activos que figuran en la cuenta, como elemento significativo al determinar el lugar de manifestación del daño a los efectos de atribuir competencia con base en el artículo 7.2 del Reglamento (UE) 1215/2012 o Reglamento Bruselas I bis (RBIbis). Ahora bien, lo había hecho en situaciones en las que la situación presentaba conexiones adicionales con el Estado miembro en el que se localizaba la cuenta. En particular, en la sentencia en el asunto Löber, EU:C:2018:701, en relación con demandas de responsabilidad civil interpuestas por inversores frente a emisores de bonos fundadas en el carácter supuestamente defectuoso del folleto, el Tribunal destacó (apdos. 31 a 35) que concurrían una serie de elementos relevantes al atribuir competencia a los tribunales de ese Estado miembro, en el que no solo se ubicaba el domicilio de la víctima, su cuenta bancaria personal, las cuentas de compensación destinadas a la ejecución de la inversión, sino que además la inversora demandante solo había tenido tratos con bancos de ese Estado miembro, en cuyo mercado secundario había adquirido los certificados con base en información que había sido notificada a la entidad supervisora de ese Estado miembro. Además, el Tribunal recordó que en su sentencia Kolassa, EU:C:2015:37, había atribuido relevancia a la vinculación entre la localización de la cuenta bancaria en la que se materializa directamente el daño y el lugar (o lugares) en los que el emisor decide que se difunda el folleto, al subrayar en su apdo. 56 que este elemento hace previsible para el emisor la posibilidad de ser demandado en ese lugar si no cumple sus obligaciones legales relativas al folleto (si bien esa vinculación entre ambos elementos no se recogió en el fallo de la sentencia ni en el resto de su fundamentación). Por otra parte, su jurisprudencia también había establecido en situaciones de ese tipo, en particular cuando el daño consiste exclusivamente en una pérdida económica que se materializa en la cuenta bancaria de la víctima pero es consecuencia directa de un acto ilícito cometido en otro Estado, que el domicilio de la víctima resulta insuficiente a los efectos de determinar el lugar de manifestación del daño con base en el artículo 7.2 RBIbis (sentencias Kronhofer, EU:C:2004:364, y Universal Music International Holding, EU:C:2016:449). En su sentencia de hoy en el asunto Vereniging van Effectenbezitters, C-709/19, EU:C:2021:377, el Tribunal de Justicia realiza aportaciones adicionales no solo acerca de la insuficiencia del lugar de establecimiento del banco o entidad en cuyo registro está inscrita la cuenta del inversor como elemento determinante del lugar de materialización del daño derivado de la difusión de información engañosa en demandas de accionistas frente a sociedades cotizadas, a los efectos del artículo 7.2 RBIbis, sino también acerca del elemento que por sí solo resulta determinante a efectos de fundamentar la atribución de competencia con base en esa norma en tales situaciones.