jueves, 12 de enero de 2023

Coordinación entre la aplicación pública y la aplicación privada del RGPD

 

          El Reglamento (UE) 2016/679 general de protección de datos (RGPD) ha ido unido a un reforzamiento de la llamada aplicación privada de la legislación sobre datos personales, contemplada específicamente en su artículo 79, que proclama el derecho de todo interesado a la tutela judicial efectiva cuando considere que sus derechos en virtud del RGPD han sido vulnerados como consecuencia de un tratamiento de sus datos personales. Ahora bien, es de sobra conocido que la aplicación privada coexiste con la pública, como resulta del propio artículo 79, que precisa que el mencionado derecho a la tutela judicial opera “(s)in perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77”. Además, el artículo 78 RGPD recoge el derecho de toda persona a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna. Simplificando, la aplicación privada es la que resulta de lo dispuesto en el artículo 79 RGPD -siendo paradigmáticas las acciones judiciales tendentes a la reparación de los daños y perjuicios con base en su art. 82-, mientras que los artículos 77 y 78 RGPD (junto con la normativa reguladora de las funciones y poderes de las autoridades de control) contemplan la aplicación pública (aunque en el caso del art. 77 tenga lugar como consecuencia de la reclamación de un interesado). En estas dos diferentes vías pueden tramitarse procedimientos relativos a una misma alegación de infracción del RGPD con base en los mismos hechos. En su sentencia de hoy en el asunto Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, el Tribunal de Justicia aborda por primera vez las dificultades inherentes a la coexistencia en el marco del RGPD de estas diferentes vías de recurso y el riesgo de resoluciones contradictorias que suscita. La sentencia constata las limitaciones del RGPD sobre este particular, conduciendo a reforzar la importancia de la legislación nacional como complemento necesario para la aplicación efectiva del RGPD. Aunque la sentencia aborda la necesidad de coordinación únicamente en situaciones internas (I, infra), pone de relieve que la ausencia de regulación sobre el particular en el RGPD contrasta con sus previsiones respecto de situaciones en las que la necesidad de coordinación surge en un contexto transfronterizo (apdos. 37 a 40 de la sentencia), lo que invita a reflexionar sobre las limitaciones del RGPD para dar respuesta también a situaciones en las que los procedimientos sobre los mismos hechos se tramitan en Estados miembros diferentes (II, infra).

                Con carácter previo, cabe señalar que la cuestión prejudicial fue planteada por un órgano jurisdiccional húngaro en el marco de un recurso contra la decisión de la autoridad de control que desestimó una solicitud de acceso con base en el RGPD a cierta información sobre la junta general de una sociedad. Mientras ese recurso, fundado en el artículo 78 RGPD, se encontraba en tramitación, el procedimiento iniciado ante la jurisdicción civil, con base en el artículo 79.1 RGPD, por el mismo interesado frente al mismo responsable del tratamiento y en relación con los mismos hechos, fue resuelto mediante sentencia firme estableciendo la vulneración del derecho de acceso del interesado a sus datos personales. Tras poner de relieve el riesgo de resoluciones contradictorias que genera el ejercicio paralelo de esas vías de recurso, así como que conforme al Derecho procesal nacional el órgano jurisdiccional contencioso-administrativo en cuestión no estaba vinculado por la sentencia del orden civil, se solicitó al Tribunal de Justicia que aclarara la relación existente entre las vías de recurso previstas en los artículos 77 a 79 RGPD.

I. Articulación de las vías de recurso previstas en los artículos 77 a 79 RGPD

                Como punto de partida, el Tribunal de Justicia constata que a la luz del tenor de los artículos 78 y 79 RGPD, las dos vías de tutela previstas en esos artículos “pueden ejercerse de manera concurrente e independiente”, sin que entre ellas exista relación jerárquica o excluyente alguna (apdo. 35 de la sentencia). Entiende el Tribunal que el contexto de esas disposiciones confirma ese planteamiento, en la medida en que, a diferencia de lo que sucede con las vías de recurso previstas en los artículos 77 a 79, el RGPD sí regula la relación entre los recursos en caso de que se acuda simultáneamente a autoridades de control -arts. 60 a 63 RGPD- o a órganos jurisdiccionales -art. 81.2 y 3 RGPD- de varios Estados miembros en relación con un tratamiento de datos personales efectuado por el mismo responsable del tratamiento (apdos. 37 a 40).  Además, en relación con los objetivos perseguidos por el RGPD, el Tribunal pone de relieve que la atribución de la posibilidad de ejercitar de forma concurrente e independiente esas dos vías de tutela se corresponde con los objetivos de garantizar tanto un nivel elevado de protección de datos personales (apdo. 42) como la tutela judicial efectiva en este ámbito (apdos. 43 y 44).

                Ante la ausencia de regulación de esas vías de recurso en el RGPD, el Tribunal afirma que corresponde a las legislaciones naciones regularlos, en virtud del principio de autonomía procesal de los Estados miembros (apdo. 45), recordando seguidamente los condicionantes de esa autonomía que resultan de su jurisprudencia previa, con referencia a la obligación de los Estados miembros de establecer vías de recurso que garanticen la tutela judicial efectiva (apdos. 46 a 51). Desde esa perspectiva, el Tribunal aborda los riesgos inherentes a un sistema en el que la tutela pública (art. 78.1 RGPD) y la privada (art. 79.1 RGPD) son independientes y un tribunal contencioso-administrativo no está vinculado por la resolución de un tribunal del orden civil (apdo. 52). Destaca la sentencia que la eventual adopción de decisiones contradictorias acerca de la existencia o no de una infracción del RGPD supone un riesgo para la aplicación coherente y homogénea de las normas sobre protección de datos personales, lo que menoscabaría la protección de este derecho fundamental y sería fuente de inseguridad jurídica (apdos. 53 a 56), para concluir limitándose a afirmar que corresponde a las legislaciones procesales de los Estados miembros “establecer la forma de articular estas vías de recurso para salvaguardar la efectividad de la protección de los derechos garantizados por… (el RGPD), la aplicación coherente y homogénea de las disposiciones de este y el derecho a la tutela judicial efectiva”.

                Más allá de constatar las carencias del RGPD a este respecto y poner de relieve las exigencias más elementales que debe respetar la articulación entre ambas vías, el Tribunal no realiza precisiones con respecto al ejercicio por los Estados miembros de su autonomía procesal. La falta total de previsión sobre el particular en el RGPD supone una carencia significativa, incluso en comparación con otros ámbitos del Derecho de la Unión en los que la coexistencia entre la tutela pública y la privada reviste similar importancia. Cabe pensar, en particular, en el Derecho de la competencia y en el artículo 9 (“Efecto de las resoluciones nacionales”) de la Directiva 2014/104/UE relativa a las acciones por daños por infracciones del Derecho de la competencia (incorporado en el art. 75 de la Ley de Defensa de la Competencia, añadido por el Real Decreto-ley 9/2017).

                Desde la perspectiva española, la ausencia de previsiones en el RGPD parece ir unida a una significativa incertidumbre, habida cuenta del criterio jurisprudencial según el cual, por ejemplo, en el ámbito civil “difícilmente puede atribuirse efectos de cosa juzgada, siquiera como prejudicial, a lo decidido por otras jurisdicciones”, salvo en cuanto a la fijación de hechos (véase Fdto. de Dcho. Tercero de la STS -Civil- de 14 de septiembre de 2021, ES:TS:2021:3311, con referencia a la doctrina del Tribunal Constitucional). En todo caso, al abordar esta cuestión debe tomarse en consideración que -a diferencia del tradicional presupuesto de análisis de esas situaciones (véase el Fdto. Jdco. de la STC 77/1983, de 3 de octubre, ES:TC:1983:77)- cuando de lo que se trata es de eventuales infracciones del RGPD, típicamente tanto en la jurisdicción civil como en la contenciosa resultan de aplicación las mismas normas. En este contexto, deberá tenerse en cuenta que el criterio jurisprudencial según el cual cabe justificar la existencia de “distintos criterios rectores en las distintas jurisdicciones, por la diversidad de las normativas que con carácter principal se aplican por unas y otras” (apdo. 13 del Fdto. Dcho. Tercero de la STS -Civil- de 5 de abril de 2016, ES:TS:2016:1280), resulta normalmente inadmisible cuando lo que está en juego en uno y otro caso es la aplicación de las mismas normas del RGPD  (véase, en relación con el concepto de responsable del tratamiento de datos de un motor de búsqueda, la valoración critica de la contradictoria doctrina de las Salas de lo Civil y de lo Contencioso-Administrativo del Tribunal Supremo contenida aquí).

II. Perspectiva internacional

                El artículo 81 RGPD (“Suspensión de los procedimientos”) es una norma cuya interpretación no está exenta de dificultades. La nueva sentencia se limita a constatar que esa disposición “establece normas relativas a los casos de interposición de un recurso ante varios órganos jurisdiccionales de Estados miembros diferentes”, lo que contrasta con la ausencia de normas sobre la articulación de vías de recurso diversas interpuestas en un mismo Estado miembro, como sucede en el litigio principal.

                En todo caso, no cabe desconocer que el grado de coherencia y de seguridad jurídica frente a potenciales resoluciones contradictorias de tribunales de distintos Estados miembros que aporta el artículo 81 RGPD es reducido. Esa norma se limita a prever la posibilidad de que cuando se tramitan dos procedimientos relativos a un mismo asunto relativo al tratamiento por el mismo responsable o encargado en más de un Estados miembros, “cualquier tribunal competente distinto de aquel ante el que se ejercitó la acción en primer lugar podrá suspender su procedimiento”, contemplándose además que en ciertos casos pueda inhibirse.

Se trata de una respuesta que contrasta con la obligación de los tribunales de un Estado miembro de suspender de oficio y, en su caso, abstenerse que establece para las situaciones de litispendencia “en materia civil y mercantil” el artículo 29 Reglamento 1215/2012 o Reglamento Bruselas I bis. Esta norma resulta de aplicación preferente cuando se den situaciones de litispendencia como las contempladas en el Reglamento 1215/2012. En principio, en materia civil carece de justificación que el modelo más elaborado de litispendencia y conexidad del RBIbis sea sustituido por el artículo 81 RGPD. Además, del cdo. 144 RGPD cabe derivar que el artículo 81 RGPD va referido tan solo a situaciones en las que está implicado (al menos) un tribunal ante el que se han ejercitado acciones contra una decisión de una autoridad de control en virtud del artículo 78 RGPD (más ampliamente, vid. Derecho privado de Internet, Civitas-Aranzadi, 6ª ed., 2022, pp. 549-550; y, especialmente, Conflict of Laws and the Internet, 2020, Edward Elgar, pp. 162-164).