La reciente sanción impuesta a Facebook Inc. por la Agencia Española de
Protecciónd de Datos (AEPD) es, como se desprende de la Resolución, resultado de un procedimiento en el que el ámbito de
aplicación de la legislación española y en consecuncia la competencia de la
AEPD han resultado controvertidos. La resolución va referida a ciertas
prácticas de Facebook, plataforma accesible a través de la página https://es-es.facebook.com,
a la que reenvía la página www.facebook.es (pág. 60 de la Resolución), y pone
de relieve que se estima que Facebook tiene 21 millones de usuarios en España
(pág. 91). Básicamente, la sanción deriva de la constatación del tratamiento de
datos con fines publicitarias sin recabar el consentimiento así como a
incumplimientos derivados de la no cancelación de la información. El procedimiento
sancionador va dirigido contra la matriz estadounidense, como responsable del
tratamiento de datos personales de los usuarios de Facebook, y no contra la
filial española o irlandesa, pese a que esta última aparece como “controlador
de datos responsable de la información” en la política de protección de datos (pág.
2) y la entidad con la que los usuarios que no residen en EEUU o Canadá
celebran su acuerdo (pág. 3).
Es conocido que el
sometimiento a la legislación española de protección de datos -y la correlativa competencia de las autoridad de control- por parte de la matriz estadounidense -en tanto que responsable del tratamiento
de datos- de un operador que cuenta en España con una filial dedicada
fundamentalmente a tareas de comercialización de publicidad fue avalado por el
Tribunal de Justicia en su célebre sentencia en el asunto Google Spain, referido a la aplicacón del mismo marco normativo que
la Resolución de la AEPD reseñada, pendiente de ser sustituido por el Reglamento
(UE) 2016/679, general de protección de datos (RPD), que deroga la Directiva
95/46/CE con efecto a partir del 25 de
mayo de 2018. La Resolución reseñada, al aplicar el marco normativo todavía
vigente concluye, a partir de la doctrina Google
Spain, que Facebook Inc efectúa el tratamiento como responsable de datos de
usuarios de Facebook en España en el marco de las actividades de un
establecimiento en el territorio español (su filial española), lo que
resultaría determinante de la aplicación de la legislación española conforme al
art. 4.1.a) de la Directiva 95/46/CE.
Pero además añade que Facebook Inc recurre a medios situados en España –como
los propios equipos de los usuarios en los que almacena información mediante
cookies- para el tratamiento. Como es sabido, en el régimen actual esta última
circunstancia es determinante del sometimiento a la legislación
europea/española de los responsables no establecidos en un Estado miembro. Se
trata de un resultado que se corresponde con los criterios prevalentes de
interpretación del artículo 4 de la Directiva 95/46/CE (art. 3 LOPD).
El elemento más peculiar del presente caso parece
vincularse con la eventual interposición como (también) responsable de Facebook
Ireland, al ser una entidad establecida en un Estado miembro, lo que lleva a
Facebook Inc a afirmar que debe ser de aplicación la legislación irlandesa y
competente la autoridad irlandesa de protección de datos. De hecho Facebook Inc
afirma no realizar actividades en España (pág. 54). Ahora bien, a este respecto
la Resolución pone de relieve que el conjunto de la red social se configura en
torno a la matriz, a la que considera responsable última de toda la actividad
en Internet de dicha plataforma; al tiempo que atribuye singular relevancia a
la constatación en su hecho probado séptimo de que “al acceder a la página
www.facebook.es, dominio registrado a nombre de Facebook Ireland, dicha página
no existe, produciéndose un reenvío a la página es-es.facebook.com;
comprobándose que el dominio facebook.com está registrado a nombre de Facebook
Inc.” (págs. 60 y 69 de la Resolución). Más allá de la reproducción de cierta
jurisprudencia relevante, relativa a la consideración de Google Inc. como
responsable del tratamiento de datos en relación con el buscador Google, podría
haber resultado de utilidad hacer también en ese apartado (págs. 69 a 71) referencia
expresa más detallada al papel de Facebook Inc en la determinación de los fines
y los medios del tratamiento.
De cara al futuro, cabe señalar que la aplicación
del Reglamento (UE) 2016/679 y su opción por el modelo de ventanilla única
implica cambios significativos con respecto a la competencia de las autoridades
de control nacionales en situaciones en las que un responsable del tratamiento
de datos tiene establecimientos en más de un Estado miembro de la Unión. En
relación con los tratamientos transfronterizos opera el régimen especial de
competencia previsto a favor de la autoridad de control principal (art. 56), si
bien debe actuar conforme al procedimiento de cooperación con las autoridades
de control interesadas (art. 60). No obstante, el nuevo Reglamento no introduce
reglas específicas sobre la competencia de las autoridades de control respecto
de los responsables que al no tener al menos un establecimiento en la Unión
quedan al margen del mecanismo de ventanilla única, pese a que les pueda
resultar aplicable el Reglamento en virtud de su artículo 3.2, incluso en
situaciones en las que el tratamiento afecte a interesados de varios Estados
miembros, de modo que puede quedar sometida al control de más de una autoridad
nacional de control. Tratándose de operadores internacionales cuya
administración central se encuentra fuera de la UE pero que cuentan con varios
establecimientos en la UE, reviste particular interés valorar cómo debe
determinarse el establecimiento principal del responsable en la Unión.
A esos efectos, el nuevo Reglamento prevé que la
“autoridad de control principal” es la del “establecimiento principal”.
Conforme al artículo 4.16 y el considerando 36 del Reglamento (UE) 2016/679 el
establecimiento principal se halla «en el lugar de su administración central en
la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento
se tomen en otro establecimiento del responsable en la Unión y este último
establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso
el establecimiento que haya adoptado tales decisiones se considerará
establecimiento principal». El cdo. 36 precisa que tal establecimiento «debe
determinarse en función de criterios objetivos y debe implicar el ejercicio
efectivo y real de actividades de gestión que determinen las principales
decisiones en cuanto a los fines y medios del tratamiento a través de
modalidades estables». Por ello, la aplicación práctica de este criterio puede
presentar dificultades, en especial en situaciones en las que la sociedad de un
tercer Estado responsable del tratamiento, pese a contar con varios
establecimientos en la Unión, determina los fines y medios del tratamiento
desde un tercer Estado, sin que en la Unión se lleven a cabo actividades de
gestión que determinen las principales decisiones en cuanto a los fines y
medios del tratamiento.
Cuando el establecimiento principal no puede
determinarse en función del lugar de la administración central –en particular
por no hallarse esta en ninguno de los establecimientos situados en la Unión-, cabe
recordar que según las Directrices
adoptadas por el Grupo de Trabajo sobre Protección de Datos del Artículo 29
(GTPD) lo determinante es, conforme al mencionado considerando 36, concretar el
lugar en el que tiene lugar el ejercicio efectivo y real de actividades de
gestión que determinan las principales decisiones en cuanto a los fines y
medios del tratamiento a través de modalidades estables. Aunque el propio
responsable puede identificar expresamente cuál es ese lugar, tal
identificación no resultará necesariamente determinante, pues el GTPD destaca
que el Reglamento no admite el forum shopping a este respecto. No obstante, en
relación con empresas con establecimiento en Estados miembros pero con
administración central situada fuera de la UE y cuyos establecimientos en la UE
no tienen poder de decisión sobre el tratamiento, el GTPD admite como solución
pragmática la identificación por la empresa del establecimiento en la UE que
actuará como establecimiento principal, que habrá de tener capacidad para
aplicar decisiones sobre las actividades de tratamiento y la posibilidad de
asumir responsabilidad.
