Entre
los últimos documentos adoptados por el llamado Grupo de Trabajo sobre
Protección de Datos del Artículo 29 (GTPD), que reúne a las autoridades
europeas de protección de datos, se encuentra uno de gran importancia con
respecto a la delimitación de las autoridades de control en el marco de nuevo
Reglamento (UE) 2016/679 general de protección de datos (RPD). En concreto, se
trata del documento que establece Directrices sobre la identificación de la autoridad de control principal de los responsables y encargados de tratamiento. En el marco del RPD, que será de
aplicación a partir del 25 de mayo de 2018, la delimitación de la competencia
de las autoridades de control cobra una renovada importancia y se plantea en
términos sustancialmente distintos al régimen establecido bajo la Directiva
95/46/CE todavía aplicable. En la Directiva las normas de su artículo 4 sobre legislación
nacional aplicable también determinan el Estado o Estados miembros cuyas
autoridades de control son competentes para la supervisión. En el RPD las
normas sobre ámbito territorial de su artículo 3 no cumplen una función
semejante para la determinación de la autoridad de control competente. A pesar
de que el RPD unifica la normativa en la materia para el conjunto de la Unión,
la supervisión de la aplicación del RPD –incluida la tramitación de
reclamaciones, la práctica de investigaciones y la imposición de sanciones
administrativas- es responsabilidad de las autoridades de control de los
Estados miembros y no de una autoridad de control de ámbito europeo. Frente al
régimen anterior, el RPD introduce un modelo de ventanilla única como un
régimen específico que se basa en la identificación de una autoridad de control
principal en ciertas situaciones vinculadas con dos o más Estados miembros, que
evite el sometimiento cumulativo a varias autoridades de control. En este
contexto, las Directrices elaboradas ahora por el GTPD incluyen aportaciones
relevantes tanto para la concreción de las situaciones a las que resulta de
aplicación el modelo de ventanilla única como para la identificación de la
autoridad de control principal y en su caso de las autoridades de control
interesadas.
Con
respecto a la precisión de la categoría “tratamiento transfroterizo”, definida
en el artículo 4.23 del RPD y determinante de la aplicación del mecanismo de
ventanilla única (art. 56 del RPD), las Directrices se centran en la segunda de
las situaciones que incluye esa categoría, es decir, la relativa al tratamiento
de datos personales realizado en el contexto de las actividades de un único
establecimiento de un responsable o un encargado del tratamiento en la Unión,
pero que afecta sustancialmente o es probable que afecte sustancialmente a
interesados en más de un Estado miembro. Las Directrices aclaran que “probable”
no incluye situaciones en las que la posibilidad de que se produzcan efectos
sustanciales es remota (en concreto afirma que “(t)he substantial effect must be more likely than not”) pero sí
situaciones en las que de hecho ninguna persona se haya visto afectada pues la
probabilidad de efectos sustanciales resulta suficiente. En todo caso, el
documento pone de relieve que la interpretación de si existe una afectación
sustancial debe llevarse a cabo por las autoridades de control en función de
las circunstancias del caso concreto, limitándose a señalar que habrán de tener
en cuenta el contexto del tratamiento, el tipo de datos, los fines del
tratamiento y otros factores como si el tratamiento puede: resultar lesivo para
personas, menoscabar derechos, afectar al bienestar o la tranquilidad de
personas, afectar a su situación económica, dar lugar a discriminación,
implicar el análisis de categorías especiales de datos, causar la modificación
de conductas de las personas, implicar el tratamiento de una gran variedad de
datos personales…
Especial
interés presentan las directrices relativas a la identificación de la autoridad
de control principal, que en virtud del mecanismo de ventanilla única es la que
lidera el procedimiento establecido en el artículo 60 del RPD aplicable con
respecto al tratamiento transfronterizo realizado por el responsable o
encargado. De acuerdo con lo previsto en el artículo 56 del RPD, la autoridad
de control principal es la autoridad de control del establecimiento principal o
del único establecimiento del responsable o del encargado del tratamiento. Por
lo tanto, cuando el responsable o encargado tiene establecimientos en más de un
Estado miembro resulta de gran importancia la definición de establecimiento
principal, contenida en el art. 4.16 del RPD, al permitir concretar cuál es la
autoridad de control principal, como categoría distinta del concepto general de
establecimiento en la Unión que emplea su artículo 3.1 como elemento
determinante del ámbito territorial del RPD.
El
artículo 4.16 del RPD define el concepto de «establecimiento principal» en los
siguientes términos:
“a) en lo que se refiere a un
responsable del tratamiento con establecimientos en más de un Estado miembro,
el lugar de su administración central en la Unión, salvo que las decisiones
sobre los fines y los medios del tratamiento se tomen en otro establecimiento
del responsable en la Unión y este último establecimiento tenga el poder de
hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya
adoptado tales decisiones se considerará establecimiento principal;
b) en lo que se refiere a un
encargado del tratamiento con establecimientos en más de un Estado miembro, el
lugar de su administración central en la Unión o, si careciera de esta, el
establecimiento del encargado en la Unión en el que se realicen las principales
actividades de tratamiento en el contexto de las actividades de un
establecimiento del encargado en la medida en que el encargado esté sujeto a
obligaciones específicas con arreglo al presente Reglamento;”
A
partir de lo dispuesto en el apartado a), el GTPD constata que puede haber
situaciones –en principio, residuales- en las que respecto de una empresa
exista más de un establecimiento principal y, en consecuencia, para
tratamientos diversos puedan identificarse autoridades de control principal
dispares, en la medida en que existan varios establecimientos con poder para
adoptar y aplicar decisiones autónomas sobre los fines y los medios de
tratamientos. Tal será el caso, según el GTPD, cuando una empresa con sede en
un Estado miembro y establecimiento en varios de ellos se organiza de modo que
tiene centros de decisión separados en Estados miembros diferentes respecto de
tratamientos diversos. El GTPD aconseja a las empresas que en tales
circunstancias identifiquen con precisión dónde se adoptan las decisiones sobre
los fines y los medios de los diversos tratamientos.
Atención
específica merece para el GTPD los casos en el que el tratamiento lo lleva a
cabo un grupo de empresas, si bien la referencia a “group of undertakings”
tiene lugar en el documento en términos un tanto imprecisos, en particular
desde la perspectiva del Derecho societario. Las consideraciones del GTPD van
referidas especialmente a empresas con un sistema de decisión centralizado, lo
que será típicamente el caso cuando se trata de una sociedad con sucursales en
diversos Estados miembros. En la medida en que la sede central de la empresa se
encuentre en la UE, el establecimiento de la empresa que controla el grupo será
considerado típicamente como establecimiento principal del grupo, lo que según
el GTPD llevará normalmente a que la sede matriz u operativa del grupo
determine el lugar de establecimiento principal ya que es en ese lugar en el
que se encuentra su administración central. Más compleja puede ser la situación
cuando se trate de un grupo de sociedades, en la medida en que no será extraño
que las diferentes filiales sean responsables y cada una pueda decidir sobre
los fines y los medios de sus tratamientos respectivos.
Habida
cuenta de la importancia especialmente en el contexto de Internet de los
operadores internacionales cuya administración central se encuentra fuera de la
UE, reviste particular interés valorar cómo debe determinarse el
establecimiento principal del responsable en la Unión en esas situaciones. Se
trata de algo que sólo resulta relevante en la medida en que esa entidad tenga
más de un establecimiento en la UE. En caso de que carezca de establecimiento
en la Unión, no se podrá beneficiar del mecanismo de ventanilla única, de modo
que el GTPD confirma que puede quedar sometida al control de más de una
autoridad nacional en la medida en que la legislación de la UE le sea aplicable
conforme a lo previsto en el artículo 3.2 del RPD. Cuando el establecimiento
principal no puede determinarse en función del lugar de la administración
central –en particular por no hallarse esta en ninguno de los establecimientos
situados en la Unión-, lo determinante según el GTPD es, conforme al
considerando 36 del RPD, concretar el lugar en el que tiene lugar el ejercicio
efectivo y real de actividades de gestión que determinan las principales
decisiones en cuanto a los fines y medios del tratamiento a través de
modalidades estables. Aunque el propio responsable puede identificar
expresamente cuál es ese lugar, tal identificación no resultará necesariamente
determinante, pues el GTPD destaca que el RPD no admite el forum shopping a
este respecto. No obstante, en relación con empresas con establecimiento en
Estados miembros pero con administración central situada fuera de la UE y cuyos
establecimientos en la UE no tienen poder de decisión sobre el tratamiento, el
GTPD admite como solución pragmática la identificación por la empresa del
establecimiento en la UE que actuará como establecimiento principal, que habrá
de tener capacidad para aplicar decisiones sobre las actividades de tratamiento
y la posibilidad de asumir responsabilidad.
