En el largo proceso de elaboración del Reglamento general de protección de datos de la UE, llamado básicamente a sustituir a la Directiva 95/46, recientemente se ha hecho público el texto (no oficial) de la versión consolidada de la Propuesta aprobado por la Comisión de Libertades Civiles del Parlamento Europeo. La trascendencia de la reforma justifica el éxito de la Jornada organizada para su análisis por la Agencia Española de Protección de Datos y la Asociación Española para el Estudio del Derecho Europeo. Precisamente, al hilo de la publicación del texto de la Propuesta revisada del Reglamento aprobado por la Comisión LIBE del Parlamento Europeo, cabe hacer referencia a que el régimen proyectado contempla no sólo una significativa evolución en lo relativo a la determinación del ámbito de aplicación territorial de la legislación europea en materia de protección de datos personales, sino que además prevé la introducción de normas cuya coordinación con las reglas de competencia judicial internacional e incluso de reconocimiento y ejecución de decisiones del Reglamento Bruselas I merecen atención específica.
En lo que tiene que ver con la determinación del ámbito territorial de la legislación europea sobre datos personales, el artículo 3 de la Propuesta de Reglamento representa una importante evolución (avance) con respecto a la situación previa, en la medida en que sustituye como criterio determinante con respecto a las situaciones en las que el tratamiento de datos no se produce en el marco de un establecimiento del responsable, el que el tratamiento de datos personales de los residentes en la Unión Europea esté relacionado con la oferta de bienes o servicios a esos interesados en la Unión. Esta evolución en gran medida se corresponde con el propósito de hacer depender la aplicación de la legislación en esta materia –como complemento al criterio del establecimiento- de que el responsable dirija la actividad en el marco de la cual tiene lugar el tratamiento al Estado de la residencia del interesado.
Se trata, en principio, de un enfoque que facilita el sometimiento a la legislación europea (y a la competencia de las autoridades administrativas de sus Estados miembros) de quienes no se encuentran establecidos en la Unión, pero tratan datos de residentes en la Unión en circunstancias en las que es apropiado que queden sometidos a la legislación europea. De cara a la interpretación de este criterio y las dudas que su aplicación generará, puede resultar de utilidad la jurisprudencia del Tribunal de Justicia relativa a la concreción del criterio de que la actividad comercial vaya dirigida al Estado de la residencia habitual del consumidor, en el marco del artículo 15.1.c) Reglamento 44/2001. Salvando las distancias, como que esta última disposición presupone la celebración de un contrato, lo que no es el caso en el marco del artículo 3 de la Propuesta de Reglamento, cabe entender que la idea de que la mera accesibilidad de un sitio web en la Unión no equivale a la existencia de una oferta de bienes o servicios en la Unión es aplicable en este ámbito, de modo que no basta esa circunstancia para quedar comprendido en el ámbito de aplicación de la legislación europea. Asimismo, los criterios de vinculación establecidos con carácter indicativo –no exhaustivo- por el Tribunal de Justicia en el asunto Pammer pueden resultar típicamente relevante en este contexto.
Más dudas puede plantear el empleo con carácter alternativo en el artículo 3.2.b) de la Propuesta de Reglamento como criterio delimitador del ámbito de aplicación de la legislación europea a responsables establecidos en terceros Estados, de la circunstancia de que el tratamiento de datos personales de los interesados residentes en la Unión esté relacionado con el control de su conducta. Una interpretación restrictiva de estas situaciones puede resultar apropiada para no conducir a un alcance excesivo de la legislación europea (y de la competencia de las autoridades administrativas), habida cuenta de que los supuestos en los que el control de la conducta se halle conectado a la oferta de bienes o servicios en la Unión quedarían ya comprendidos en el supuesto anterior.
Por otra parte, en la medida en que en relación con la nueva normativa se contempla la adopción de un Reglamento, de las normas sobre su ámbito territorial se elimina la referencia a la determinación de la ley aplicable en las situaciones en las que el responsable esté establecido en un Estado miembro, habida cuenta de que, en principio, la adopción de un Reglamento implica el establecimiento de un régimen unitario para el conjunto de la UE. Ahora bien, esta evolución afecta a la correlación entre ley aplicable y autoridad competente propia del ámbito administrativo, de modo que en el nuevo régimen reviste particular importancia la determinación de los Estados miembros cuyas autoridades de protección de datos son competentes.
En un plano diverso al de la intervención de las autoridades administrativas, destaca que, a diferencia de la situación en la Directiva 95/46, la Propuesta de Reglamento introduce ciertas normas que parecen presentar especial interés desde la perspectiva de su interacción con las reglas sobre competencia judicial y reconocimiento y ejecución de decisiones en materia de Derecho privado, en concreto el régimen del Reglamento Bruselas I. A este respecto, cabe reseñar que el artículo 75 de la Propuesta establece que, sin perjuicio de los recursos administrativos –y del derecho a un recurso judicial contra una autoridad de control que regula el art. 74-, las personas físicas tendrán derecho a un recurso judicial cuando consideren que los derechos que les asisten en virtud del Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales no conforme con el presente Reglamento. Cabe entender que, entre otras, las acciones a las que se refiere el artículo 75 son las que pueden derivar del artículo 77 de la Propuesta de Reglamento, que (en línea con lo que ya establece el art. 19 LOPD) regula el derecho de quien haya sufrido un perjuicio como consecuencia de una operación de tratamiento ilegal o de un acto incompatible con el Reglamento a recibir del responsable o encargado del tratamiento una indemnización por el perjuicio sufrido. En tales circunstancias, presenta singular interés, el artículo 75.2 de la Propuesta de Reglamento, según el cual: las acciones contra un responsable o encargado deberán ejercitarse ante los órganos jurisdiccionales del Estado miembro en el que el responsable o encargado tenga un establecimiento, estableciendo además que alternativamente, tales acciones podrán ejercitarse ante los órganos jurisdiccionales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable sea una autoridad pública que actúa en ejercicio del poder público.
La interacción de esta norma con el Reglamento Bruselas I puede resultar controvertida. Conforme al artículo 67 Reglamento 44/2001 (y del Reglamento 1215/2012) este Reglamento no prejuzga la aplicación de las disposiciones que, en materias particulares, regulan la competencia judicial, el reconocimiento o la ejecución de las resoluciones contenidas en los actos de la Unión o en las legislaciones nacionales armonizadas en ejecución de dichos actos. Si bien las reglas de competencia judicial establecidas en el artículo 75.2 aportan con respecto a los fueros de competencia del Reglamento Bruselas I la posibilidad con carácter general de que la víctima pueda demandar ante los tribunales de su propia residencia habitual, el alcance de esta aportación con respecto a las acciones de indemnización derivadas de la infracción de la legislación de protección de datos puede resultar cuestionable. En la práctica los criterios del artículo 75.2 de la Propuesta pueden reducir los fueros que tiene a su disposición la víctima, a partir de lo dispuesto en el artículo 2 (fuero general del domicilio del demandado) y 5.3 Reglamento 44/2001, pues este último no sólo permite demandar por el conjunto del daño ante los tribunales del ante los órganos jurisdiccionales del Estado miembro en el que se encuentra su centro de intereses -al menos en relación con ciertos actividades desarrolladas en Internet, con base en la sentencia eDate Advertising- sino también, aunque con un alcance limitado, ante los tribunales de otros lugares de manifestación del daño (por ejemplo, en los que se hayan divulgado los datos).
Más dudas puede generar el apartado 4 del artículo 75 de la Propuesta de Reglamento, que impone que: “Los Estados miembros deberán ejecutar las resoluciones definitivas de los órganos jurisdiccionales mencionados en el presente artículo”, reproduciendo la norma que el artículo 74.5 establece en relación con las resoluciones de los recursos judiciales contra una autoridad de control, que típicamente quedan al margen del ámbito de aplicación del Reglamento Bruselas I. En la medida en que del texto de los apartados anteriores del artículo 75 de la Propuesta y de su ubicación sistemática se desprende la aplicación de este artículo en relación con el ejercicio de acciones civiles, la imposición en esos términos de la ejecución recíproca de las resoluciones judiciales en este ámbito plantea serios interrogantes, vinculados a la marginación y distorsión –aparentemente injustificada- del régimen de reconocimiento y ejecución de resoluciones judiciales del Reglamento Bruselas I. Al margen de otras consideraciones de mayor calado, es llamativo que precisamente se trata de una materia en la que la exclusión del ámbito material del Reglamento Roma II de las obligaciones extracontractuales derivadas de la violación de los derechos relacionados con la personalidad -art. 1.2g) RRII- acentúa los potenciales riesgos de forum shopping.
Para concluir cabe reseñar cómo en la versión aprobada en la Comisión LIBE se ha introducido un nuevo artículo 43a, que establece reglas relativas a la eficacia de resoluciones judiciales de terceros Estados. En concreto, el apartado primero de esa disposición prevé: “No judgment of a court or tribunal and no decision of an administrative authority of a third country requiring a controller or processor to disclose personal data shall be recognized or be enforceable in any manner, without prejudice to a mutual legal assistance treaty or an international agreement in force between the requesting third country and the Union or a Member State.” Se trata de una norma de especial interés en relación con el discovery propio de ciertos sistemas procesales del common law y cuya coordinación con otras normas de cooperación judicial en el orden civil justificaría un análisis detallado de este artículo 43a ahora introducido.