Es conocido
que frente a la situación existente en la Directiva 95/46, el RGPD introdujo un
modelo llamado de ventanilla única como un régimen específico para la
determinación de las autoridades de control competentes en ciertas situaciones
vinculadas con dos o más Estados miembros, que evite el sometimiento cumulativo
a varias autoridades de control, lo que facilita la actividad de los responsables
o encargados pero no debe menoscabar la posición de los interesados ubicados en
un Estado miembro distinto de aquel a cuya autoridad de control se atribuye la
competencia. Ciertamente, ese modelo se basa en la atribución de una
competencia general de la «autoridad de control principal» (en el sentido del
art. 56 RGPD) sobre los «tratamientos transfronterizos» (como se definen en el
art. 4.23 RGPD), sin perjuicio de ciertas excepciones. Esa autoridad de control desempeña una papel preponderante
en los procedimientos de cooperación (art. 60) y coherencia en los que también
pueden participar «autoridades de control interesadas». En su sentencia de ayer
en el asunto C-645/19, Facebook Ireland,
EU:C:2021:483, el Tribunal de Justicia aborda por primera vez la interpretación
de las normas del RGPD relativas al modelo de ventanilla única y la interacción
cuando en el marco de ese modelo en lo relativo al ejercicio de sus poderes
entre la autoridad de control principal y autoridades de control interesadas.
Entre otros aspectos, destaca que el Tribunal de Justicia establece que el
reparto de competencias entre esas autoridades presupone la cooperación leal y
efectiva entre las mismas, en particular por parte de la autoridad de control
principal como fundamento de la restricción de las competencias de las demás
autoridades de control (apdo. 72 de la sentencia).
El núcleo de la sentencia va referido a la interpretación del alcance en ese contexto del artículo 58.5 RGPDP, según el cual toda autoridad de control está facultada para poner en conocimiento de las autoridades judiciales las infracciones del RGPD y, si procede, para iniciar o ejercitar acciones judiciales, con el fin de hacer cumplir lo dispuesto en el mismo. En el litigio principal, la interpretación de esa norma resulta relevante básicamente a los efectos de determinar si la autoridad belga puede ejercitar ante los tribunales belgas acciones de cesación frente a Facebook Belgium respecto de ciertas supuestas infracciones de la legislación sobre protección de datos personales relativas a la recogida por la red social de información sobre los hábitos de navegación tanto de los poseedores de una cuenta de Facebook como de las personas que no son usuarias de los servicios de Facebook mediante diferentes tecnologías, como cookies (apdo. 30 de la sentencia). Lógicamente las dudas del tribunal remitente se vinculan con la circunstancia de que el establecimiento principal del responsable en el caso concreto parece estar situado en Irlanda, de modo que la autoridad belga pretende que los tribunales belgas adopten mandamientos de cesación en una situación en la que, en principio, conforme al modelo de ventanilla única, la autoridad belga no tendría posibilidad de actuar salvo en el marco de alguna de las excepciones previstas a la «competencia general» de la autoridad de control principal.
Con
respecto a esa cuestión central del asunto C-645/19, el criterio de la sentencia,
en línea también con el propuesto por el AG Bobek en sus conclusiones, parece
ciertamente resultar una consecuencia necesaria de la configuración del
mecanismo de ventanilla única. En síntesis, el Tribunal confirma que el
ejercicio por una autoridad de control de sus poderes –incluido el previsto en
el artículo 58 RGPDP- presupone que esa concreta autoridad de
control disponga de competencia en lo que respecta al tratamiento de datos
concernido (apdo. 49 de la sentencia). Eso implica en los supuestos de “tratamientos
transfronterizos” respetar el reparto de competencias entre la autoridad de
control principal y las demás autoridades de control interesadas que resulta
especialmente de lo dispuesto en los artículos
56 y 60 a 62 del RGPD, y que lleva a atribuir en principio la competencia
decisoria a la autoridad de control principal, sin perjuicio de que deba
ejercer esa competencia en cooperación con las demás autoridades de control
interesadas conforme al Reglamento.
Como
excepciones a la competencia decisoria de la autoridad de control principal, y
situaciones en las que, por lo tanto, otras autoridades de control pueden
ejercer sus competencias, en los
términos del RGPD, respecto de tratamientos transfronterizos, el Tribunal de
Justicia recoge el artículo 56.2 (supuestas infracciones referidas únicamente a
un establecimiento situado en su Estado miembro o que únicamente afecte de
manera sustancial a interesados en su Estado miembro) y el procedimiento de
urgencia para adoptar medidas provisionales limitadas a su territorio establecido
en el artículo 66 como excepción a los mecanismos de cooperación y coherencia
de los artículos 60 y 63 a 65.
En
consecuencia, el criterio de ventanilla única impone que salvo que concurra alguna
de las excepciones previstas en el RGPD la única autoridad de control
competente para iniciar acciones judiciales con base en el artículo 58.5 es la
autoridad de control principal, lo que excluye que las demás autoridades de
control interesadas puedan ejercitarlas (ante sus propios tribunales). Por lo
demás, se trata de un resultado coherente con la correlación característica
entre competencia administrativa y alcance de la jurisdicción de los tribunales
del orden contencioso-administrativo al que responde en nuestro sistema el
artículo 24 LOPJ.
Considera
el Tribunal de Justicia que la eventual adopción por un tribunal de un Estado
miembro distinto al del establecimiento principal del responsable o encargado
de una resolución judicial vinculante sobre ese tratamiento transfronterizo
puede menoscabar la exigencia de aplicación “coherente y homogénea” de la
legislación sobre protección de datos y el efecto útil del mecanismo de
ventanilla única, al tiempo que destaca la importancia esencial para la
salvaguarda del derecho fundamental de protección de datos personales de que
muy especialmente la autoridad de control principal asuma la responsabilidad
que le incumbe conforme al RGPD (apdo. 68 de la sentencia), lo que debe
vincularse con la singular relevancia de la posición que las autoridades de ciertos
Estados miembros –especialmente, Irlanda- ocupan, como consecuencia de las
preferencias de algunos de los grandes actores de Internet de localizar su
establecimiento principal en el territorio de ese Estado miembro.
Reviste
singular importancia la precisión en el apartado 71 de la sentencia acerca de
las situaciones en las que como consecuencia de que la autoridad de control
principal decide que no tratará un caso, puede tratarlo la otra autoridad de
control con arreglo a los artículos 61 y 62 (art. 56.5 RGPD). El Tribunal establece
que en caso de que una autoridad de control haya requerido la asistencia mutua
de la autoridad de control principal y ésta no le haya facilitado la
información solicitada: “la autoridad de control de que se trate podrá adoptar
medidas provisionales en el territorio de su Estado miembro y, si estima que
deben adoptarse medidas definitivas de urgencia, esa autoridad podrá solicitar
al Comité Europeo de Protección de Datos, de conformidad con el artículo 66,
apartado 2… un dictamen con carácter urgente o una decisión vinculante urgente”.
Adicionalmente, el Tribunal de Justicia destaca que cuando una autoridad de
control incumple las obligaciones de asistencia mutua previstas en el artículo
61, la otra autoridad de control puede solicitar al Comité que examine
cualquier cuestión de aplicación general o que surta efecto en más de un Estado
miembro al objeto de que se emita un dictamen (art. 64.2) que serviría de base
para que la autoridad de control en cuestión adopte las medidas necesarias.
Por
cierto, en este contexto, también pone de relieve el Tribunal de Justicia que el
sistema de ventanilla única opera respecto del RGPD, pero no está previsto en
la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas –todavía
en fase de revisión-, de modo que no se proyecta con respecto a las normas de
este último instrumento en materia de cookies (apdo. 74 de la sentencia).
Del resto
de la sentencia, cabe destacar que el Tribunal de Justicia constata que, como
es bien conocido, el mecanismo de ventanilla única solo beneficia a los
responsables y encargados que tengan un establecimiento en la UE. Cuando no se
da esa circunstancia el responsable o encargado de un tratamiento queda
sometido a la competencia de las autoridades de control de todos los Estados
miembros, en la medida en que resulte de aplicación el RGPD. Ciertamente, el
RGPD no introduce reglas específicas sobre la competencia de las autoridades de
control respecto de los responsable y encargados que al no tener al menos un
establecimiento en la Unión quedan al margen del mecanismo de ventanilla única,
lo que repercutirá especialmente en situaciones en las que se aplique el Reglamento
en virtud del apartado 2 de su artículo 3, en particular cuando el tratamiento
afecte a interesados de varios Estados miembros (véase el apdo. 83 de la
sentencia).
Por lo
demás, aunque sea una cuestión que no es objeto de la sentencia, cabe reseñar
que en el marco del RGPD puede haber situaciones excepcionales en las que el derecho
a la tutela judicial efectiva contra una autoridad de control se ejercite por
un interesado ante los tribunales de un Estado miembro distinto del de la
autoridad de control principal competente. Así, cuando resulta de aplicación el
procedimiento de cooperación del artículo 60 RGPD, si la autoridad de control
principal prevé seguir lo indicado en la objeciones pertinentes y motivadas
recibidas, así como cuando ninguna autoridad de control interesada ha
presentado objeciones, la autoridad de control principal adopta y notifica la
decisión adoptada al establecimiento principal del responsable o encargado,
mientras que la autoridad de control ante la que se hubiera presentado la reclamación
informa de la decisión al reclamante. En el supuesto de que la decisión sea
desestimar o rechazar la reclamación, será la autoridad de control ante la que
se haya presentado la que adopte la decisión, la notifique al reclamante e
informe al responsable del tratamiento, lo que condiciona la competencia en
relación con el derecho a la tutela judicial efectiva contra una autoridad de
control.
Por otra parte, puede resultar de interés dejar constancia de que en relación con el ejercicio de acciones por los interesados frente a responsables o encargados del tratamiento por vulneración del RGPD, éste instrumento sí facilita, como elemento relevante para salvaguardar el derecho fundamental a la tutela judicial efectiva, la competencia judicial internacional de tribunales de Estados miembros distintos de aquel cuya autoridad es la autoridad de control principal. Así resulta de la atribución de competencia en su artículo 79.2 a los tribunales del Estado miembro en el que el responsable o encargado “tenga un establecimiento” (y, por lo tanto, no necesariamente su establecimiento principal) y, con carácter alternativo, a los tribunales del Estado miembro “en que el interesado tenga su residencia habitual”. Además, acerca de la interacción entre estas reglas de competencia y la del Reglamento 1215/2012 y la LOPJ, vid. aquí).
