A partir del 25 de mayo de 2018 será
aplicable el Reglamento (UE) 2016/679, de 27 de abril de 2016, general deprotección de datos, que deroga la Directiva 95/46/CE y sustituirá desde
entonces, en las materias que regula, a las legislaciones nacionales sobre
protección de datos, sin perjuicio de que en ocasiones puntuales el Reglamento
contemple que sus normas puedan ser especificadas o restringidas por el Derecho
de los Estados miembros (por ejemplo, en relación con la edad aplicable al
consentimiento para el tratamiento por los niños en virtud del art. 8). Aunque
el Reglamento se basa en los mismos objetivos y principios que la Directiva que
deroga, la transformación tecnológica y social que ha tenido lugar en las
últimas dos décadas y muy especialmente el desarrollo de la sociedad de la
información condicionan la significativa evolución normativa que representa
este Reglamento, como reflejan, por ejemplo, las disposiciones sobre la
información que debe facilitarse a los interesados (esp. arts. 13 y 14), la
regulación del llamado derecho al olvido (art. 17), el derecho a la
portabilidad de los datos (art. 20), el derecho a no ser objeto de la elaboración
de perfiles (art. 22), la protección de datos desde el diseño y por defecto
(art. 25) o el derecho del interesado a ser informado de la violación de la
seguridad de datos que entrañe un alto riesgo para sus derechos y libertades (art.
34). La trascendencia del cambio legislativo se acentúa como consecuencia de la
sustitución de un marco basado en la mera armonización por otro de unificación
y consiguiente supresión de la diversidad de legislaciones nacionales entre los
Estados miembros. El alcance de los cambios que el nuevo Reglamento introduce
justifica repartir una primera valoración del mismo, incluso tan sólo de sus
aspectos internacionales, en varias entradas, para abordar de manera separada,
por ejemplo, las cuestiones que se suscitan en materia de competencia, de
determinación de la ley aplicable incluyendo el ámbito territorial de
aplicación de la legislación sobre datos personales, o en relación con la
trasferencia internacional de datos. Esta primera reseña estará centrada en las
cuestiones internacionales relativas a la competencia de las autoridades de
control y de los órganos judiciales.
I. Tratamientos transfronterizos y
delimitación de la competencia de las autoridades de control
En el modelo todavía vigente, basado
en la armonización de las legislaciones de los Estados miembros, la concreción
de la legislación nacional aplicable conforme al artículo 3 de la Directiva 95/46/CE
–típicamente la de cada Estado miembro de establecimiento del responsable o de
situación de los medios utilizados para el tratamiento- resulta también
determinante para fijar el Estado o Estados miembros cuyas autoridades de
control son competentes para imponer sanciones, habida cuenta de la limitación
territorial del alcance de las competencias de esas autoridades y de la
estricta correlación entre ley aplicable y autoridad competente que es
característica del ámbito administrativo, como
puso de relieve el Tribunal de Justicia en su sentencia de 1 de octubre de 2015, en el asunto C-230/14, Weltimmo.
Por el contrario, en el nuevo
Reglamento las normas sobre su ámbito territorial contenidas en el artículo 3
–que serán objeto de análisis en otra entrada- no cumplen una función semejante
con respecto a la delimitación de las competencias de las autoridades de
control de los Estados miembros, habida cuenta de que el Reglamento unifica la
normativa sobre protección de datos personales para el conjunto de la Unión, por
lo que típicamente no se planteará la cuestión de determinar la legislación
nacional de qué concreto Estado miembro aplicable en materia de protección de
datos, salvo en aspectos puntuales. Ahora bien, la supervisión de la aplicación
del Reglamento –incluida la tramitación de las reclamaciones presentadas por
interesados, la práctica de investigaciones y la imposición de sanciones
administrativas- es responsabilidad de las autoridades de control de los
Estados miembros y no de una autoridad de control de ámbito europeo, de modo
que en las situaciones vinculadas con más de un Estado miembro, que el
Reglamento engloba bajo la categoría de “tratamiento transfronterizo”, continuará
resultando de gran importancia la determinación del concreto Estado miembro
cuya autoridad de control es competente.
Ciertamente, punto de partida del
Reglamento a estos efectos es la inclusión en su artículo 4.23) de una
definición de “tratamiento transfronterizo”, que incluye dos tipos de
situaciones:
“a) el tratamiento de datos personales realizado
en el contexto de las actividades de establecimientos en más de un Estado
miembro de un responsable o un encargado del tratamiento en la Unión, si el
responsable o el encargado está establecido en más de un Estado miembro, o
b) el tratamiento de datos personales realizado
en el contexto de las actividades de un único establecimiento de un responsable
o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o
es probable que afecte sustancialmente a interesados en más de un Estado
miembro;”
Cabe apreciar que la noción de
“tratamiento transfronterizo” va referida a situaciones intracomunitarias, es
decir vinculadas con dos o más Estados miembros de la UE, dejando al margen los
supuestos conectados con terceros Estados, precisamente porque la categoría se
refiere a aquellas situaciones comprendidas dentro del ámbito territorial de
aplicación del Reglamento (conforme a su artículo 3), en las que pueden
plantearse dificultades con respecto a la determinación del Estado o Estados
miembros cuyas autoridades de control son competentes. Aunque en principio el
ejercicio de los poderes atribuidos a cada autoridad de control determina que
sea competente en relación con el tratamiento en el contexto de las actividades
de un establecimiento del responsable o del encargado en el territorio de su
Estado miembro, el tratamiento que afecte a interesados en su territorio, o el
tratamiento realizado por un responsable o un encargado que no esté establecido
en la Unión cuando sus destinatarios sean interesados residentes en su territorio
(cdo. 122), la determinación de una autoridad como autoridad de control
principal presenta gran importancia. Ello es así en la medida en que el
Reglamento contempla la implantación del llamado mecanismo de ventanilla única,
si bien la coordinación con otras autoridades de control interesadas y las
competencias a estas atribuidas son esenciales de cara a una efectiva
salvaguarda de los derechos de los afectados.
Ciertamente la implantación de un
modelo orientado hacia la ventanilla única plantea riesgos para los afectados
en la medida en que pudiera menoscabar la posibilidad de tramitar una eventual
reclamación ante la autoridad de control del país de su residencia habitual,
por ejemplo, en situaciones en las que el responsable tuviera establecimientos en
varios Estados miembros, al tiempo que podría generar riesgos de
deslocalización de los responsables y encargados del tratamiento, en caso de
existir diferencias significativas en el ejercicio de sus poderes y el
desempeño de sus funciones. En este contexto, como destaca el considerando 129,
las autoridades de control deben tener en todos los Estados miembros las mismas
funciones y poderes efectivos. En todo caso, a lo largo de la tramitación de la
Directiva se matizó de manera significativa el alcance del criterio de
ventanilla única.
La autoridad del establecimiento
principal o del único establecimiento del responsable o del encargado del
tratamiento tiene la consideración de autoridad de control principal en
relación con los tratamientos transfronterizos (art. 56), debiendo actuar
conforme al procedimiento de cooperación con las demás autoridades de control
interesadas previsto en el artículo 60. En consecuencia, cuando el responsable
o encargado tiene establecimientos en más de un Estado miembro resulta de gran
importancia la definición de establecimiento principal, contenida en el
artículo 4.16. Con respecto al responsable del tratamiento, se considera que el
establecimiento principal se halla “en el lugar de su administración central en
la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento
se tomen en otro establecimiento del responsable en la Unión y este último
establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso
el establecimiento que haya adoptado tales decisiones se considerará
establecimiento principal”. El considerando 36 precisa que tal establecimiento “debe
determinarse en función de criterios objetivos y debe implicar el ejercicio
efectivo y real de actividades de gestión que determinen las principales
decisiones en cuanto a los fines y medios del tratamiento a través de
modalidades estables”, así como que no resulta determinante si el tratamiento
de los datos personales se realiza en dicho lugar. Señala además que “(l)a
presencia y utilización de medios técnicos y tecnologías para el tratamiento de
datos personales o las actividades de tratamiento no constituyen, en sí mismas,
establecimiento principal y no son, por lo tanto, criterios determinantes de un
establecimiento principal”.
Por su parte, “autoridad de control
interesada” es cualquiera a la que afecta el tratamiento de datos por estar
establecido en ese Estado miembro el responsable o el encargado del tratamiento,
por resultar afectados o poderlo ser los afectados que residen en ese Estado o
por haberse presentado una reclamación ante esa autoridad de control.
Como excepción a la aplicación del
procedimiento de coordinación liderado por la autoridad de control principal
previsto en el artículo 60 o “mecanismo de ventanilla única”, se contempla que
cada autoridad de control es competente para tratar una reclamación que le sea
presentada o una posible infracción del Reglamento, cuando se refiera
únicamente a un establecimiento situado en su Estado o sólo afecte de manera
sustancial a interesados en su Estado (art. 56.2), pese a tratarse de
procedimientos transfronterizos relativos a responsables o encargados cuyo
establecimiento principal se encuentra en otro Estado miembro. Ahora bien, en
estos casos la autoridad de control principal, que debe ser informada por la
autoridad de control ante la que se ha presentado la reclamación, decidirá si se
trata o no el caso de conformidad con el procedimiento establecido en el
artículo 60, pudiendo la autoridad de control que haya informado presentar un
proyecto de decisión a la autoridad de control principal, en caso de que se
recurra al artículo 60.
El procedimiento típico en relación
con los tratamientos transfronterizos es el de cooperación establecido en el
artículo 60, que fija el marco en el que la autoridad de control principal debe
cooperar con las demás autoridades de control interesadas para esforzarse en
llegar a un consenso de cara a adoptar una decisión vinculante, para la que
ella es la competente salvo cuando la decisión rechace la reclamación del
interesado, que deberá ser adoptada por la autoridad de control ante la que se
presentó la reclamación. La autoridad de control principal puede solicitar
asistencia mutua (art. 61) y la realización de operaciones conjuntas (art. 62)
y es a ella a quien corresponde preparar un proyecto de decisión. En caso de
que cualquiera de las autoridades de control interesadas formule una objeción
pertinente y motivada en un plazo de cuatro semanas, la autoridad de control
principal puede optar por seguir lo indicado en la objeción y adoptar la
decisión vinculante en la que estén de acuerdo todas las autoridades implicadas
en el procedimiento, que además notificará al establecimiento principal del
responsable o encargado, mientras que la autoridad de control ante la que se
haya presentado una reclamación informará de la decisión al reclamante. En el
supuesto de que la decisión sea desestimar o rechazar una reclamación, será la
autoridad de control ante la que se haya presentado la que adopte la decisión,
la notifique al reclamante e informe al responsable del tratamiento, lo que
condiciona la autoridad competente en relación con el derecho a la tutela
judicial efectiva contra una autoridad de control (vid. II, infra).
Si en el marco del procedimiento de
cooperación, alguna de las demás autoridades de control interesadas ha
presentado objeciones al proyecto de decisión con las que no esté de acuerdo la
autoridad de control principal, ésta habrá de someter el asunto al mecanismo de
coherencia del artículo 63, orientado a facilitar la aplicación coherente del
Reglamento en toda la Unión. Dicho mecanismo contempla que el Comité Europeo de
Protección de Datos (“Comité”, que sustituirá al llamado Grupo del artículo 29
creado por la Directiva 95/46/CE) adopte decisiones vinculantes, entre otros
casos, en aquellas situaciones en las que haya puntos de vista enfrentados
sobre cuál de las autoridades de control interesadas es competente para el
establecimiento principal; así como cuando en un procedimiento de cooperación del
artículo 60, una autoridad de control interesada haya manifestado una objeción
pertinente y motivada a un proyecto de decisión de la autoridad principal, o
esta haya rechazado dicha objeción por no ser pertinente o no estar motivada,
en estos supuestos, la autoridad de control principal o, en su caso, la
autoridad de control ante la que se presentó la reclamación adoptará su decisión
definitiva sobre la base de esa decisión (art. 65). Sólo en situaciones
excepcionales se contempla que una autoridad de control interesada que
considere que es urgente intervenir para proteger los derechos y las libertades
de interesados, pueda como excepción al mecanismo de coherencia o al
procedimiento de cooperación del artículo 60, adoptar inmediatamente medidas
provisionales destinadas a producir efectos jurídicos en su propio territorio,
con un periodo de validez determinado que no podrá ser superior a tres meses.
Habida cuenta de la complejidad
inherente a la aplicación del Reglamento por una pluralidad de autoridades de
control de los Estados miembros, así como de la configuración del procedimiento
de cooperación y del mecanismo de coherencia, cabe esperar que la actividad del
Comité resulte determinante, lo que también se proyectará sobre otros
importantes aspectos del Reglamento, respecto de los que entre las funciones
del Comité se encuentra emitir directrices, recomendaciones y buenas prácticas
(art. 70).
II. Reclamaciones ante las autoridades de
control y tutela contra dichas autoridades
Con
carácter general, el artículo 77.1 del Reglamento establece el derecho de todo
a interesado a presentar una reclamación ante una autoridad de control si
considera que el tratamiento de datos personales que le conciernen infringe el
Reglamento, previendo expresamente que tal reclamación puede presentarse, en
particular en el Estado miembro en el que tenga su residencia habitual, lugar
de trabajo o lugar de la supuesta infracción. Es bien conocido que esta vía de
reclamación, sometida a menores costes y esfuerzos para el reclamante que el
ejercicio de acciones judiciales, constituye un mecanismo esencial para que los
afectados puedan solicitar la protección de sus derechos. El artículo 77 adopta
un criterio flexible en lo relativo a la autoridad en la que el interesado
puede presentar su reclamación, con el objetivo de facilitar la protección de
sus derechos, que se ve reforzada por el significado atribuido a esa autoridad,
en la medida en que será considerada “autoridad de control interesada” a los
efectos de los procedimientos antes reseñados, en los que se prevé que en el
supuesto de que la decisión sea desestimar o rechazar una reclamación, será la
autoridad de control ante la que se haya presentado la que adopte la decisión. Ahora
bien, cuando la autoridad ante la que se presenta la reclamación no da curso a
la misma, sólo se reconoce al interesado el derecho a ejercitar acciones contra
la autoridad de control si está es competente en virtud de los artículos 55 y
56 del Reglamento.
La determinación de la autoridad
nacional que adopta la decisión tiene singular relevancia en relación con la
tutela judicial contra una autoridad de control, a la que se refiere el
artículo 78 del Reglamento, que proclama que toda persona física o jurídica
tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente
vinculante de una autoridad de control que le concierna. El artículo 78.3 del
Reglamento, como es propio del ejercicio de acciones frente a actos
administrativos, establece que las acciones contra una autoridad de control
deberán ejercitarse ante los tribunales del Estado miembro en que esté
establecida dicha autoridad, lo que está en línea con lo previsto en la
legislación española por el artículo 24 de la LOPJ con respecto a la extensión de
la jurisdicción de los tribunales españoles del orden
contencioso-administrativo, según el cual será competente, en todo caso, la
jurisdicción española cuando la pretensión que se deduzca se refiera… a actos
de las Administraciones Públicas españolas o vayan referidas a actos de los
poderes públicos españoles. De ahí la importancia la previsión en el Reglamento
de que cuando la decisión sea desestimar o rechazar una reclamación, será la
autoridad de control ante la que se haya presentado la que adopte la decisión,
lo que resultará determinante de la competencia de los tribunales de dicho
Estado para conocer de las acciones que puedan ejercitarse en vía judicial,
típicamente por el afectado, frente a la desestimación de la reclamación.
III. Competencia judicial en materia de
acciones contra un responsable o encargado del tratamiento
El artículo 79 del Reglamento
aparece dedicado a regular la tutela judicial efectiva contra un responsable o
encargado del tratamiento, que resulta de importancia especialmente con
respecto al derecho de toda persona que sufra daños y perjuicios materiales o
inmateriales como consecuencia de una infracción del Reglamento a recibir del
responsable o el encargado del tratamiento una indemnización (art. 82).
Desde la perspectiva de la
competencia internacional destaca de manera muy singular la previsión de normas
especiales de competencia judicial internacional, que prevalecerán en esta
materia sobe las del Reglamento Bruselas I bis (y la LOPJ), como expresamente
prevé el considerando 147 y se desprende del propio artículo 67 RBIbis, al tratarse
de disposiciones del Derecho de la UE que regulan la competencia en materias
particulares.
Conforme al artículo 79.2 del
Reglamento: “Las acciones contra un responsable o encargado del tratamiento
deberán ejercitarse ante los tribunales del Estado miembro en el que el
responsable o encargado tenga un establecimiento. Alternativamente, tales
acciones podrán ejercitarse ante los tribunales del Estado miembro en que el
interesado tenga su residencia habitual, a menos que el responsable o el
encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio
de sus poderes públicos”. Desde la perspectiva de los posibles afectados por el
tratamiento, con respecto a la
situación actual en el marco del Reglamento Bruselas I bis, el nuevo artículo 79.2 facilita la posibilidad de demandar al responsable o al encargado ante los
tribunales de cualquier Estado en el que tengan un establecimiento y contempla
con carácter general la posibilidad de que la víctima pueda demandar ante los
tribunales de su propia residencia habitual. En la práctica, los criterios del
artículo 79.2 del Reglamento la Propuesta dejan al margen ciertas posibilidades
que tiene en el marco del artículo 7.2 RBIbis, en la medida en que éste no sólo
permite demandar por el conjunto del daño ante los tribunales del Estado
miembro del centro de intereses de la víctima -al menos en relación con ciertos
actividades desarrolladas en Internet, con base en la sentencia eDate
Advertising- sino también, aunque con un alcance limitado, ante los tribunales
de otros lugares de manifestación del daño (por ejemplo, en los que se hayan
divulgado los datos). En todo caso, la introducción de esta norma de competencia especial en el nuevo Reglamento plantea otras cuestiones de interés, como su eventual aplicación a demandados domiciliados en terceros Estados, a diferencia del artículo 7.2 RBIbis, y su interacción con el resto de reglas del RBIbis.
IV. Litispendencia y conexidad
Para
concluir, cabe reseñar que el artículo 81, bajo la rúbrica “suspensión de los
procedimientos”, introduce la siguiente disposición:
“1. Cuando un tribunal competente de un
Estado miembro tenga información de la pendencia ante un tribunal de otro
Estado miembro de un procedimiento relativo a un mismo asunto en relación con
el tratamiento por el mismo responsable o encargado, se pondrá en contacto con
dicho tribunal de otro Estado miembro para confirmar la existencia de dicho
procedimiento.
2. Cuando un procedimiento relativo a un
mismo asunto en relación con el tratamiento por el mismo responsable o
encargado esté pendiente ante un tribunal de otro Estado miembro, cualquier
tribunal competente distinto de aquel ante el que se ejercitó la acción en
primer lugar podrá suspender su procedimiento.
3. Cuando dicho procedimiento esté pendiente
en primera instancia, cualquier tribunal distinto de aquel ante el que se
ejercitó la acción en primer lugar podrá también, a instancia de una de las
partes, inhibirse en caso de que el primer tribunal sea competente para su
conocimiento y su acumulación sea conforme a Derecho.”
Aunque por la ubicación y redacción
de la norma podría resultar controvertido, cabe entender que esta disposición
no resulta de aplicación en aquellos casos en los que la litispendencia o
conexidad se plantea entre tribunales que conocen de acciones contra un
encargado o responsable del tratamiento en materia civil, típicamente relativas
a la reclamación de daños y perjuicios derivados de la infracción de las normas
sobre protección de datos. En materia civil carece de justificación que el
modelo más elaborado y uniforme en materia de litispendencia y conexidad del
Reglamento Bruselas I bis sea sustituido por el previsto en el artículo 81 del
Reglamento general sobre protección de datos.
Entre los elementos que avalan esta
posición, se encuentra que el considerando 144 al introducir este mecanismo
hace referencia a su aplicación “(s)i un tribunal ante el cual se ejercitaron
acciones contra una decisión de una autoridad de control tiene motivos para
creer que se ejercitaron acciones ante un tribunal competente de otro Estado
miembro relativas al mismo tratamiento…”, de modo que parece ir referido a
situaciones en las que las acciones se ejercitan contra una autoridad de
control. Además, el considerando 147 al contemplar que ciertas normas del nuevo
Reglamento priman sobre el Reglamento Bruselas I bis se refiere tan sólo al
hecho de que el nuevo Reglamento contiene “normas específicas sobre competencia
judicial”. Asimismo, es importante tener presente que las normas sobre
litispendencia y conexidad entre tribunales de Estados miembros del Reglamento
Bruselas I bis se vinculan con el sistema de reconocimiento y ejecución de
resoluciones que establece, por lo que resulta apropiado que esas disposiciones
del Reglamento Bruselas I bis sigan siendo aplicables con respecto al ejercicio
de acciones de responsabilidad civil por la infracción de la normativa sobre
protección de datos personales, habida cuenta de que las resoluciones que se
adopten en materia civil serán susceptibles de reconocimiento y ejecución en
los demás Estados miembros con base en el Reglamento Bruselas I bis.
