viernes, 8 de marzo de 2024

Límites del mecanismo de ventanilla única respecto de los tratamientos transfronterizos de datos personales

 

                El reciente Dictamen 04/2024 del Comité Europeo de Protección de Datos sobre el concepto de establecimiento principal de un responsable del tratamiento en la Unión con arreglo al artículo 4.16(a) RGPD, avala el criterio restrictivo, según el cual el mecanismo de ventanilla única, en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, sólo puede aplicarse cuando uno de esos establecimientos toma las decisiones sobre los fines y medios de las operaciones de tratamiento pertinentes y está facultado para hacer que se ejecuten dichas decisiones. Sólo en tales situaciones entiende el Comité que cabe identificar un “establecimiento principal” a los efectos del artículo 4.16(a) RGPD, lo que resulta determinante para que el responsable en cuestión pueda beneficiarse del criterio de ventanilla única con respecto a los “tratamientos transfronterizos” en el sentido del artículo 4.23 RGPD, de modo que el control de tales tratamientos estará dirigido por una única autoridad de control, teniendo el resto competencias limitadas en el marco de los procedimientos de cooperación y de coherencia establecidos en los artículos 60 y ss RGPD (véase, v.gr, la STJUE de 15 de junio de 2021, C-645/19, Facebook Ireland, EU:C:2021:483, reseñada aquí). El criterio de ventanilla única limita las cargas para el responsable inherentes a que un mismo tratamiento transfronterizo quede sometido simultáneamente al control pleno de múltiples autoridades de control. La principal implicación del criterio que el Dictamen 04/2024 avala es que no pueden beneficiarse del mecanismo de ventanilla única los responsables del tratamiento con varios establecimientos en la Unión, cuando ninguno de esos establecimientos toma las decisiones sobre los fines y medios de las operaciones de tratamiento pertinentes y está facultado para hacer que se ejecuten dichas decisiones, lo que típicamente es consecuencia de que ese poder reside en una entidad establecida en un tercer Estado. En consecuencia, tales responsables, aunque tengan varios establecimientos en la Unión, quedan excluidos del criterio de ventanilla única, como sucede con los responsables que carecen de establecimiento en la Unión. Se trata de un planteamiento que encuentra apoyo en el texto del artículo 4.16(a) RGPD y de su considerando 36, y resulta coherente con el objetivo del RGPD de garantizar una protección eficaz del derecho fundamental de las personas físicas a la protección de los datos personales, habida cuenta de las tradicionales carencias en la aplicación del estricto marco europeo en la materia con respecto a prestadores de servicios en línea cuya matriz está establecida en un tercer Estado. No obstante, la eventual coordinación de este planteamiento con el régimen aplicable a otro tipo de tratamientos transfronterizos que en principio pueden beneficiarse del criterio de ventanilla única puede plantear algunos interrogantes.


                El Dictamen 04/2024 es claro en el sentido de que su contenido debe entenderse sin perjuicio de otros casos en los que pueda resultar de aplicación el mecanismo de ventanilla única, como en situaciones en las que el responsable tiene un único establecimiento en la Unión (así lo recoge expresamente tanto en su apdo. 10 como en su nota a pie 30). Cabe recordar que, conforme al artículo 4.23 RGPD, el concepto de «tratamiento transfronterizo», comprende básicamente dos tipos. De una parte, comprende los realizados en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro (art. 4.23.a). Por otra parte, incluye también aquellos tratamientos realizados en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afectan sustancialmente o es probable que afecten sustancialmente a interesados en más de un Estado miembro (art. 4.23.b). El criterio de ventanilla única se aplica en las dos situaciones, como refleja el artículo 56.1 RGPD, según el cual la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento es la competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado. El Dictamen se limita a los tratamientos transfronterizos contemplados en el artículo 4.23.a) RGPD.

Lo que puede resultar controvertido es que, en contraste con el resultado antes reseñado, quienes únicamente disponen de un establecimiento en la Unión puedan beneficiarse del mecanismo de ventanilla única con respecto a los tratamientos transfronterizos contemplados en el artículo 4.23.b) del RGPD, sin que les resulte de aplicación la exigencia de que su concreto establecimiento en la Unión sea el que tome las decisiones sobre los fines y medios de las operaciones de tratamiento pertinentes y esté facultado para hacer que se ejecuten dichas decisiones.

Cabe recordar que el concepto de establecimiento en el RGPD es particularmente amplio y que conforme a su considerando 22, tal establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables y que la forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto. Se trata de una circunstancia que resulta además determinante de ámbito de aplicación territorial del RGPD, pues conforme a su artículo 3.1 es de aplicación cuando el responsable o el encargado del tratamiento transfronterizo disponga de un establecimiento en el territorio de la Unión (como recordó el Tribunal de Justicia en los apdos. 82 y 83 de la mencionada STJUE en el asunto Facebook Ireland).

En la medida en que la exigencia de que en el concreto establecimiento relevante se adopte las decisiones sobre los fines y los medios del tratamiento y este establecimiento tenga el poder de hacer aplicar tales decisiones, deriva de los criterios para fijar cuál es el establecimiento principal en los casos de responsables con establecimientos en varios Estados miembros, el criterio ampliamente extendido es que esa concreta exigencia no opera en las situaciones del artículo 4.23.b), en las que el mero establecimiento en un Estado de la Unión es lo determinante para beneficiarse del mecanismo de ventanilla única (véanse los apartados 16 y 23 del art. 4 y el artículo 56 del RGPD). Se trata de una interpretación que, más allá del tenor literal de las normas, la expresa referencia a que el Dictamen 4/2024 debe entenderse sin perjuicio de otras situaciones en las que el mecanismo de ventanilla única resulte aplicable conforme al artículo 4.23.b) parece avalar. Ahora bien, a la luz del criterio adoptado en relación con el artículo 4.23.a) RGPD en el Dictamen 4/204, cabe dudar de que esa diferencia de trato sea razonable, en la medida en que permita que un responsable por tener un único establecimiento en la Unión pueda beneficiarse del criterio de ventanilla única con respecto a tratamientos realizado en el contexto de las actividades de su único establecimiento en la Unión que afectan sustancialmente a interesados en más de un Estado miembro, cuando ese establecimiento no adopta las decisiones sobre los fines y los medios del tratamiento y no tiene el poder de hacer aplicar tales decisiones (sino que tales poderes recaen en un establecimiento situado en un fuera de la UE).