El Reglamento (UE) 2016/679 general de protección de datos (RGPD) ha ido
unido a un reforzamiento de la llamada aplicación privada de la legislación
sobre datos personales, contemplada específicamente en su artículo 79, que proclama
el derecho de todo interesado a la tutela judicial efectiva cuando considere
que sus derechos en virtud del RGPD han sido vulnerados como consecuencia de un
tratamiento de sus datos personales. Ahora bien, es de sobra conocido que la aplicación
privada coexiste con la pública, como resulta del propio artículo 79, que precisa
que el mencionado derecho a la tutela judicial opera “(s)in perjuicio de los
recursos administrativos o extrajudiciales disponibles, incluido el derecho a
presentar una reclamación ante una autoridad de control en virtud del artículo
77”. Además, el artículo 78 RGPD recoge el derecho de toda persona a la tutela
judicial efectiva contra una decisión jurídicamente vinculante de una autoridad
de control que le concierna. Simplificando, la aplicación privada es la que
resulta de lo dispuesto en el artículo 79 RGPD -siendo paradigmáticas las
acciones judiciales tendentes a la reparación de los daños y perjuicios con
base en su art. 82-, mientras que los artículos 77 y 78 RGPD (junto con la
normativa reguladora de las funciones y poderes de las autoridades de control) contemplan
la aplicación pública (aunque en el caso del art. 77 tenga lugar como consecuencia
de la reclamación de un interesado). En estas dos diferentes vías pueden tramitarse
procedimientos relativos a una misma alegación de infracción del RGPD con base
en los mismos hechos. En su sentencia de hoy en el asunto Nemzeti Adatvédelmi és Információszabadság
Hatóság, C-132/21, EU:C:2023:2, el Tribunal de
Justicia aborda por primera vez las dificultades inherentes a la coexistencia
en el marco del RGPD de estas diferentes vías de recurso y el riesgo de
resoluciones contradictorias que suscita. La sentencia constata las
limitaciones del RGPD sobre este particular, conduciendo a reforzar la
importancia de la legislación nacional como complemento necesario para la aplicación
efectiva del RGPD. Aunque la sentencia aborda la necesidad de coordinación
únicamente en situaciones internas (I, infra), pone de relieve que la
ausencia de regulación sobre el particular en el RGPD contrasta con sus
previsiones respecto de situaciones en las que la necesidad de coordinación surge
en un contexto transfronterizo (apdos. 37 a 40 de la sentencia), lo que invita a
reflexionar sobre las limitaciones del RGPD para dar respuesta también a situaciones
en las que los procedimientos sobre los mismos hechos se tramitan en Estados
miembros diferentes (II, infra).
Con carácter previo, cabe
señalar que la cuestión prejudicial fue planteada por un órgano jurisdiccional húngaro
en el marco de un recurso contra la decisión de la autoridad de control que desestimó
una solicitud de acceso con base en el RGPD a cierta información sobre la junta
general de una sociedad. Mientras ese recurso, fundado en el artículo 78 RGPD,
se encontraba en tramitación, el procedimiento iniciado ante la jurisdicción
civil, con base en el artículo 79.1 RGPD, por el mismo interesado frente al mismo
responsable del tratamiento y en relación con los mismos hechos, fue resuelto
mediante sentencia firme estableciendo la vulneración del derecho de acceso del
interesado a sus datos personales. Tras poner de relieve el riesgo de resoluciones
contradictorias que genera el ejercicio paralelo de esas vías de recurso, así
como que conforme al Derecho procesal nacional el órgano jurisdiccional contencioso-administrativo
en cuestión no estaba vinculado por la sentencia del orden civil, se solicitó al Tribunal
de Justicia que aclarara la relación existente entre las vías de recurso
previstas en los artículos 77 a 79 RGPD.
I.
Articulación de las vías de recurso previstas en los artículos 77 a 79 RGPD
Como punto de partida, el Tribunal de Justicia constata que a la luz del
tenor de los artículos 78 y 79 RGPD, las dos vías de tutela previstas en esos
artículos “pueden ejercerse de manera concurrente e independiente”, sin que entre
ellas exista relación jerárquica o excluyente alguna (apdo. 35 de la sentencia).
Entiende el Tribunal que el contexto de esas disposiciones confirma ese
planteamiento, en la medida en que, a diferencia de lo que sucede con las vías
de recurso previstas en los artículos 77 a 79, el RGPD sí regula la relación
entre los recursos en caso de que se acuda simultáneamente a autoridades de
control -arts. 60 a 63 RGPD- o a órganos jurisdiccionales -art. 81.2 y 3 RGPD- de
varios Estados miembros en relación con un tratamiento de datos personales
efectuado por el mismo responsable del tratamiento (apdos. 37 a 40). Además, en relación con los objetivos
perseguidos por el RGPD, el Tribunal pone de relieve que la atribución de la
posibilidad de ejercitar de forma concurrente e independiente esas dos vías de
tutela se corresponde con los objetivos de garantizar tanto un nivel elevado de
protección de datos personales (apdo. 42) como la tutela judicial efectiva en
este ámbito (apdos. 43 y 44).
Ante la ausencia de regulación de esas vías de recurso en el RGPD, el Tribunal afirma que corresponde
a las legislaciones naciones regularlos, en virtud del principio de autonomía procesal
de los Estados miembros (apdo. 45), recordando seguidamente los condicionantes de
esa autonomía que resultan de su jurisprudencia previa, con referencia a la
obligación de los Estados miembros de establecer vías de recurso que garanticen
la tutela judicial efectiva (apdos. 46 a 51). Desde esa perspectiva, el Tribunal
aborda los riesgos inherentes a un sistema en el que la tutela pública (art.
78.1 RGPD) y la privada (art. 79.1 RGPD) son independientes y un tribunal contencioso-administrativo
no está vinculado por la resolución de un tribunal del orden civil (apdo. 52).
Destaca la sentencia que la eventual adopción de decisiones contradictorias
acerca de la existencia o no de una infracción del RGPD supone un riesgo para
la aplicación coherente y homogénea de las normas sobre protección de datos
personales, lo que menoscabaría la protección de este derecho fundamental y
sería fuente de inseguridad jurídica (apdos. 53 a 56), para concluir
limitándose a afirmar que corresponde a las legislaciones procesales de los Estados
miembros “establecer la forma de articular estas vías de recurso para
salvaguardar la efectividad de la protección de los derechos garantizados por… (el
RGPD), la aplicación coherente y homogénea de las disposiciones de este y el
derecho a la tutela judicial efectiva”.
Más allá de constatar las
carencias del RGPD a este respecto y poner de relieve las exigencias más
elementales que debe respetar la articulación entre ambas vías, el Tribunal
no realiza precisiones con respecto al ejercicio por los Estados miembros de su
autonomía procesal. La falta total de previsión sobre el particular en el RGPD
supone una carencia significativa, incluso en comparación con otros ámbitos del
Derecho de la Unión en los que la coexistencia entre la tutela pública y la
privada reviste similar importancia. Cabe pensar, en particular, en el Derecho
de la competencia y en el artículo 9 (“Efecto de las resoluciones nacionales”)
de la Directiva 2014/104/UE relativa a las acciones por daños por infracciones
del Derecho de la competencia (incorporado en el art. 75 de la Ley de Defensa
de la Competencia, añadido por el Real Decreto-ley 9/2017).
Desde la perspectiva española, la
ausencia de previsiones en el RGPD parece ir unida a una significativa incertidumbre,
habida cuenta del criterio jurisprudencial según el cual, por ejemplo, en el
ámbito civil “difícilmente puede atribuirse efectos de cosa juzgada, siquiera
como prejudicial, a lo decidido por otras jurisdicciones”, salvo en cuanto a la
fijación de hechos (véase Fdto. de Dcho. Tercero de la STS -Civil- de 14 de
septiembre de 2021, ES:TS:2021:3311, con
referencia a la doctrina del Tribunal Constitucional). En todo caso, al abordar
esta cuestión debe tomarse en consideración que -a diferencia del tradicional presupuesto
de análisis de esas situaciones (véase el Fdto. Jdco. de la STC 77/1983, de 3
de octubre, ES:TC:1983:77)- cuando de lo que se trata es de eventuales infracciones
del RGPD, típicamente tanto en la jurisdicción civil como en la contenciosa
resultan de aplicación las mismas normas. En este contexto, deberá tenerse en
cuenta que el criterio jurisprudencial según el cual cabe justificar la existencia de “distintos criterios
rectores en las distintas jurisdicciones, por la diversidad de las normativas
que con carácter principal se aplican por unas y otras” (apdo. 13 del Fdto. Dcho. Tercero de la STS -Civil- de 5 de abril de 2016, ES:TS:2016:1280), resulta normalmente
inadmisible cuando lo que está en juego en uno y otro caso es la aplicación de
las mismas normas del RGPD (véase, en
relación con el concepto de responsable del tratamiento de datos de un motor de
búsqueda, la valoración critica de la contradictoria doctrina de las Salas de lo
Civil y de lo Contencioso-Administrativo del Tribunal Supremo contenida aquí).
II.
Perspectiva internacional
El artículo 81 RGPD (“Suspensión
de los procedimientos”) es una norma cuya interpretación no está exenta de
dificultades. La nueva sentencia se limita a constatar que esa disposición “establece
normas relativas a los casos de interposición de un recurso ante varios órganos
jurisdiccionales de Estados miembros diferentes”, lo que contrasta con la ausencia
de normas sobre la articulación de vías de recurso diversas interpuestas en un
mismo Estado miembro, como sucede en el litigio principal.
En todo caso, no cabe desconocer
que el grado de coherencia y de seguridad jurídica frente a potenciales
resoluciones contradictorias de tribunales de distintos Estados miembros que
aporta el artículo 81 RGPD es reducido. Esa norma se limita a prever la
posibilidad de que cuando se tramitan dos procedimientos relativos a un mismo
asunto relativo al tratamiento por el mismo responsable o encargado en más de
un Estados miembros, “cualquier tribunal competente distinto de aquel ante el
que se ejercitó la acción en primer lugar podrá suspender su procedimiento”,
contemplándose además que en ciertos casos pueda inhibirse.
Se trata de una respuesta que contrasta con la obligación de los tribunales
de un Estado miembro de suspender de oficio y, en su caso, abstenerse que
establece para las situaciones de litispendencia “en materia civil y mercantil”
el artículo 29 Reglamento 1215/2012 o Reglamento Bruselas I bis. Esta norma resulta
de aplicación preferente cuando se den situaciones de litispendencia como las
contempladas en el Reglamento 1215/2012. En principio, en materia civil
carece de justificación que el modelo más elaborado de litispendencia y
conexidad del RBIbis sea sustituido por el artículo 81 RGPD. Además, del cdo.
144 RGPD cabe derivar que el artículo 81 RGPD va referido tan solo a
situaciones en las que está implicado (al menos) un tribunal
ante el que se han ejercitado acciones contra una decisión de una autoridad de
control en virtud del artículo 78 RGPD (más ampliamente, vid. Derecho
privado de Internet, Civitas-Aranzadi, 6ª ed., 2022, pp. 549-550; y, especialmente, Conflict of Laws and the Internet, 2020, Edward Elgar, pp. 162-164).
