lunes, 9 de enero de 2017

Directrices sobre las reglas de competencia del nuevo Reglamento General de Protección de Datos

            Entre los últimos documentos adoptados por el llamado Grupo de Trabajo sobre Protección de Datos del Artículo 29 (GTPD), que reúne a las autoridades europeas de protección de datos, se encuentra uno de gran importancia con respecto a la delimitación de las autoridades de control en el marco de nuevo Reglamento (UE) 2016/679 general de protección de datos (RPD). En concreto, se trata del documento que establece Directrices sobre la identificación de la autoridad de control principal de los responsables y encargados de tratamiento. En el marco del RPD, que será de aplicación a partir del 25 de mayo de 2018, la delimitación de la competencia de las autoridades de control cobra una renovada importancia y se plantea en términos sustancialmente distintos al régimen establecido bajo la Directiva 95/46/CE todavía aplicable. En la Directiva las normas de su artículo 4 sobre legislación nacional aplicable también determinan el Estado o Estados miembros cuyas autoridades de control son competentes para la supervisión. En el RPD las normas sobre ámbito territorial de su artículo 3 no cumplen una función semejante para la determinación de la autoridad de control competente. A pesar de que el RPD unifica la normativa en la materia para el conjunto de la Unión, la supervisión de la aplicación del RPD –incluida la tramitación de reclamaciones, la práctica de investigaciones y la imposición de sanciones administrativas- es responsabilidad de las autoridades de control de los Estados miembros y no de una autoridad de control de ámbito europeo. Frente al régimen anterior, el RPD introduce un modelo de ventanilla única como un régimen específico que se basa en la identificación de una autoridad de control principal en ciertas situaciones vinculadas con dos o más Estados miembros, que evite el sometimiento cumulativo a varias autoridades de control. En este contexto, las Directrices elaboradas ahora por el GTPD incluyen aportaciones relevantes tanto para la concreción de las situaciones a las que resulta de aplicación el modelo de ventanilla única como para la identificación de la autoridad de control principal y en su caso de las autoridades de control interesadas.


            Con respecto a la precisión de la categoría “tratamiento transfroterizo”, definida en el artículo 4.23 del RPD y determinante de la aplicación del mecanismo de ventanilla única (art. 56 del RPD), las Directrices se centran en la segunda de las situaciones que incluye esa categoría, es decir, la relativa al tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro. Las Directrices aclaran que “probable” no incluye situaciones en las que la posibilidad de que se produzcan efectos sustanciales es remota (en concreto afirma que “(t)he substantial effect must be more likely than not”) pero sí situaciones en las que de hecho ninguna persona se haya visto afectada pues la probabilidad de efectos sustanciales resulta suficiente. En todo caso, el documento pone de relieve que la interpretación de si existe una afectación sustancial debe llevarse a cabo por las autoridades de control en función de las circunstancias del caso concreto, limitándose a señalar que habrán de tener en cuenta el contexto del tratamiento, el tipo de datos, los fines del tratamiento y otros factores como si el tratamiento puede: resultar lesivo para personas, menoscabar derechos, afectar al bienestar o la tranquilidad de personas, afectar a su situación económica, dar lugar a discriminación, implicar el análisis de categorías especiales de datos, causar la modificación de conductas de las personas, implicar el tratamiento de una gran variedad de datos personales…
           
            Especial interés presentan las directrices relativas a la identificación de la autoridad de control principal, que en virtud del mecanismo de ventanilla única es la que lidera el procedimiento establecido en el artículo 60 del RPD aplicable con respecto al tratamiento transfronterizo realizado por el responsable o encargado. De acuerdo con lo previsto en el artículo 56 del RPD, la autoridad de control principal es la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento. Por lo tanto, cuando el responsable o encargado tiene establecimientos en más de un Estado miembro resulta de gran importancia la definición de establecimiento principal, contenida en el art. 4.16 del RPD, al permitir concretar cuál es la autoridad de control principal, como categoría distinta del concepto general de establecimiento en la Unión que emplea su artículo 3.1 como elemento determinante del ámbito territorial del RPD.

            El artículo 4.16 del RPD define el concepto de «establecimiento principal» en los siguientes términos:

“a) en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;
b) en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;”

            A partir de lo dispuesto en el apartado a), el GTPD constata que puede haber situaciones –en principio, residuales- en las que respecto de una empresa exista más de un establecimiento principal y, en consecuencia, para tratamientos diversos puedan identificarse autoridades de control principal dispares, en la medida en que existan varios establecimientos con poder para adoptar y aplicar decisiones autónomas sobre los fines y los medios de tratamientos. Tal será el caso, según el GTPD, cuando una empresa con sede en un Estado miembro y establecimiento en varios de ellos se organiza de modo que tiene centros de decisión separados en Estados miembros diferentes respecto de tratamientos diversos. El GTPD aconseja a las empresas que en tales circunstancias identifiquen con precisión dónde se adoptan las decisiones sobre los fines y los medios de los diversos tratamientos.

            Atención específica merece para el GTPD los casos en el que el tratamiento lo lleva a cabo un grupo de empresas, si bien la referencia a “group of undertakings” tiene lugar en el documento en términos un tanto imprecisos, en particular desde la perspectiva del Derecho societario. Las consideraciones del GTPD van referidas especialmente a empresas con un sistema de decisión centralizado, lo que será típicamente el caso cuando se trata de una sociedad con sucursales en diversos Estados miembros. En la medida en que la sede central de la empresa se encuentre en la UE, el establecimiento de la empresa que controla el grupo será considerado típicamente como establecimiento principal del grupo, lo que según el GTPD llevará normalmente a que la sede matriz u operativa del grupo determine el lugar de establecimiento principal ya que es en ese lugar en el que se encuentra su administración central. Más compleja puede ser la situación cuando se trate de un grupo de sociedades, en la medida en que no será extraño que las diferentes filiales sean responsables y cada una pueda decidir sobre los fines y los medios de sus tratamientos respectivos.
           

            Habida cuenta de la importancia especialmente en el contexto de Internet de los operadores internacionales cuya administración central se encuentra fuera de la UE, reviste particular interés valorar cómo debe determinarse el establecimiento principal del responsable en la Unión en esas situaciones. Se trata de algo que sólo resulta relevante en la medida en que esa entidad tenga más de un establecimiento en la UE. En caso de que carezca de establecimiento en la Unión, no se podrá beneficiar del mecanismo de ventanilla única, de modo que el GTPD confirma que puede quedar sometida al control de más de una autoridad nacional en la medida en que la legislación de la UE le sea aplicable conforme a lo previsto en el artículo 3.2 del RPD. Cuando el establecimiento principal no puede determinarse en función del lugar de la administración central –en particular por no hallarse esta en ninguno de los establecimientos situados en la Unión-, lo determinante según el GTPD es, conforme al considerando 36 del RPD, concretar el lugar en el que tiene lugar el ejercicio efectivo y real de actividades de gestión que determinan las principales decisiones en cuanto a los fines y medios del tratamiento a través de modalidades estables. Aunque el propio responsable puede identificar expresamente cuál es ese lugar, tal identificación no resultará necesariamente determinante, pues el GTPD destaca que el RPD no admite el forum shopping a este respecto. No obstante, en relación con empresas con establecimiento en Estados miembros pero con administración central situada fuera de la UE y cuyos establecimientos en la UE no tienen poder de decisión sobre el tratamiento, el GTPD admite como solución pragmática la identificación por la empresa del establecimiento en la UE que actuará como establecimiento principal, que habrá de tener capacidad para aplicar decisiones sobre las actividades de tratamiento y la posibilidad de asumir responsabilidad.