El reciente Dictamen 04/2024 del Comité Europeo de Protección de Datos sobre
el concepto de establecimiento principal de un responsable del tratamiento en
la Unión con arreglo al artículo 4.16(a) RGPD, avala el criterio restrictivo, según
el cual el mecanismo de ventanilla única, en lo que se refiere a un responsable
del tratamiento con establecimientos en más de un Estado miembro, sólo puede
aplicarse cuando uno de esos establecimientos toma las decisiones sobre los
fines y medios de las operaciones de tratamiento pertinentes y está facultado
para hacer que se ejecuten dichas decisiones. Sólo en tales situaciones
entiende el Comité que cabe identificar un “establecimiento principal” a los
efectos del artículo 4.16(a) RGPD, lo que resulta determinante para que el
responsable en cuestión pueda beneficiarse del criterio de ventanilla única con
respecto a los “tratamientos transfronterizos” en el sentido del artículo 4.23
RGPD, de modo que el control de tales tratamientos estará dirigido por una
única autoridad de control, teniendo el resto competencias limitadas en el
marco de los procedimientos de cooperación y de coherencia establecidos en los
artículos 60 y ss RGPD (véase, v.gr, la STJUE de 15 de junio de 2021, C-645/19,
Facebook Ireland, EU:C:2021:483, reseñada aquí). El criterio de ventanilla única limita las cargas para el responsable inherentes
a que un mismo tratamiento transfronterizo quede sometido simultáneamente al
control pleno de múltiples autoridades de control. La principal implicación del
criterio que el Dictamen 04/2024 avala es que no pueden beneficiarse del mecanismo
de ventanilla única los responsables del tratamiento con varios establecimientos
en la Unión, cuando ninguno de esos establecimientos toma las decisiones sobre
los fines y medios de las operaciones de tratamiento pertinentes y está
facultado para hacer que se ejecuten dichas decisiones, lo que típicamente es
consecuencia de que ese poder reside en una entidad establecida en un tercer
Estado. En consecuencia, tales responsables, aunque tengan varios establecimientos
en la Unión, quedan excluidos del criterio de ventanilla única, como sucede con
los responsables que carecen de establecimiento en la Unión. Se trata de un
planteamiento que encuentra apoyo en el texto del artículo 4.16(a) RGPD y de su
considerando 36, y resulta coherente con el objetivo del RGPD de garantizar una
protección eficaz del derecho fundamental de las personas físicas a la protección
de los datos personales, habida cuenta de las tradicionales carencias en la
aplicación del estricto marco europeo en la materia con respecto a prestadores
de servicios en línea cuya matriz está establecida en un tercer Estado. No obstante,
la eventual coordinación de este planteamiento con el régimen aplicable a otro tipo
de tratamientos transfronterizos que en principio pueden beneficiarse del criterio de
ventanilla única puede plantear algunos interrogantes.
El Dictamen 04/2024 es
claro en el sentido de que su contenido debe entenderse sin perjuicio de otros
casos en los que pueda resultar de aplicación el mecanismo de ventanilla única,
como en situaciones en las que el responsable tiene un único establecimiento en
la Unión (así lo recoge expresamente tanto en su apdo. 10 como en su nota a pie
30). Cabe recordar que, conforme al artículo 4.23 RGPD, el concepto de «tratamiento
transfronterizo», comprende básicamente dos tipos. De una parte, comprende los realizados
en el contexto de las actividades de establecimientos en más de un Estado
miembro de un responsable o un encargado del tratamiento en la Unión, si el
responsable o el encargado está establecido en más de un Estado miembro (art.
4.23.a). Por otra parte, incluye también aquellos tratamientos realizados en el
contexto de las actividades de un único establecimiento de un responsable o un
encargado del tratamiento en la Unión, pero que afectan sustancialmente o es
probable que afecten sustancialmente a interesados en más de un Estado miembro (art.
4.23.b). El criterio de ventanilla única se aplica en las dos situaciones, como
refleja el artículo 56.1 RGPD, según el cual la autoridad de control del establecimiento
principal o del único establecimiento del responsable o del encargado del
tratamiento es la competente para actuar como autoridad de control principal
para el tratamiento transfronterizo realizado por parte de dicho responsable o
encargado. El Dictamen se limita a los tratamientos transfronterizos
contemplados en el artículo 4.23.a) RGPD.
Lo que puede resultar controvertido es que, en
contraste con el resultado antes reseñado, quienes únicamente disponen de un
establecimiento en la Unión puedan beneficiarse del mecanismo de ventanilla
única con respecto a los tratamientos transfronterizos contemplados en el
artículo 4.23.b) del RGPD, sin que les resulte de aplicación la exigencia de
que su concreto establecimiento en la Unión sea el que tome las decisiones
sobre los fines y medios de las operaciones de tratamiento pertinentes y esté
facultado para hacer que se ejecuten dichas decisiones.
Cabe recordar que el concepto de establecimiento
en el RGPD es particularmente amplio y que conforme a su considerando 22, tal
establecimiento implica el ejercicio de manera efectiva y real de una actividad
a través de modalidades estables y que la forma jurídica que revistan tales modalidades,
ya sea una sucursal o una filial con personalidad jurídica, no es el factor
determinante al respecto. Se trata de una circunstancia que resulta además
determinante de ámbito de aplicación territorial del RGPD, pues conforme a su
artículo 3.1 es de aplicación cuando el responsable o el encargado del
tratamiento transfronterizo disponga de un establecimiento en el territorio de
la Unión (como recordó el Tribunal de Justicia en los apdos. 82 y 83 de la
mencionada STJUE en el asunto Facebook Ireland).
En la medida en que la exigencia de que en el
concreto establecimiento relevante se adopte las
decisiones sobre los fines y los medios del tratamiento y este establecimiento
tenga el poder de hacer aplicar tales decisiones, deriva de los criterios
para fijar cuál es el establecimiento principal en los casos de responsables
con establecimientos en varios Estados miembros, el criterio ampliamente extendido
es que esa concreta exigencia no opera en las situaciones del artículo 4.23.b),
en las que el mero establecimiento en un Estado de la Unión es lo determinante
para beneficiarse del mecanismo de ventanilla única (véanse los apartados 16 y
23 del art. 4 y el artículo 56 del RGPD). Se trata de una interpretación que,
más allá del tenor literal de las normas, la expresa referencia a que el
Dictamen 4/2024 debe entenderse sin perjuicio de otras situaciones en las que
el mecanismo de ventanilla única resulte aplicable conforme al artículo 4.23.b)
parece avalar. Ahora bien, a la luz del criterio adoptado en relación con el
artículo 4.23.a) RGPD en el Dictamen 4/204, cabe dudar de que esa diferencia de
trato sea razonable, en la medida en que permita que un responsable por tener
un único establecimiento en la Unión pueda beneficiarse del criterio de
ventanilla única con respecto a tratamientos realizado en el contexto de las actividades de su único establecimiento
en la Unión que afectan sustancialmente a interesados en más de un Estado
miembro, cuando ese establecimiento no adopta las decisiones sobre los fines y
los medios del tratamiento y no tiene el poder de hacer aplicar tales
decisiones (sino que tales poderes recaen en un establecimiento situado en un fuera
de la UE).
