El marco de aplicación pública del RGPD plantea dificultades específicas respecto de los grandes prestadores de servicios digitales con mayor impacto en el conjunto de la Unión, vinculadas al carácter descentralizado de ese sistema de ejecución. La efectiva supervisión de sus actividades a escala de la Unión se compadece mal con que quede en manos de autoridades nacionales, como refleja la evolución posterior del Derecho de la Unión y la centralización en la Comisión de la supervisión de tales prestadores en el marco del Reglamento de Servicios Digitales, el Reglamento de Mercados Digitales o el Reglamento de Inteligencia Artificial (en relación con los proveedores de modelos de IA de uso general). Cabe recordar que la principal aportación del RGPD con respecto a su aplicación pública fue la introducción de un modelo de ventanilla única, en tanto que régimen específico para la determinación de la autoridad (nacional) de control en ciertas situaciones vinculadas con dos o más Estados miembros, que evita el sometimiento cumulativo a varias autoridades de control, y facilita la actividad de los responsables o encargados objeto de supervisión. Esas situaciones se denominan «tratamientos transfronterizos», noción que engloba con carácter alternativo dos tipos de supuestos: a) el tratamiento realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, y b) el realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado en la Unión, pero que afecta o puede afectar sustancialmente a interesados en más de un Estado miembro (art. 4.23 RGPD). A diferencia del criterio de base estrictamente territorial del artículo 55 RGPD (alcance de la competencia de las autoridades nacionales de control), en relación con los tratamientos transfronterizos opera el régimen especial de competencia previsto a favor de la autoridad de control principal (art. 56), si bien debe cooperar con las autoridades de control interesadas (art. 60) y, eventualmente, someterse al mecanismo de coherencia con intervención del Comité Europeo de Protección de Datos (EDPB o CEPD) (arts. 63-67). Ciertas dificultades procedimentales en lo relativo a la determinación de si un tratamiento es transfronterizo y la tramitación de reclamaciones e investigaciones relativas a tales tratamientos fueron abordadas en el reciente Reglamento (UE) 2025/2518 de 26 de noviembre de 2025 por el que se establecen normas procedimentales adicionales sobre la garantía del cumplimiento del Reglamento (UE) 2016/679.
En el contexto de la aplicación de las normas
del RGPD que regulan el mecanismo de coherencia -que ha sido determinante
de algunas de las sanciones más significativas impuestas por infracción del
RGPD a grandes prestadores de servicios digitales-, resulta de interés la sentencia del TJUE de ayer, WhatsApp Ireland/Comité Europeo de Protección de
Datos, C-97/23 P, ECLI:EU:C:2026:81. Antes de hacer referencia a la
aportación de la nueva sentencia (II, infra), recordaré los elementos
básicos del mecanismo de coherencia del RGPD en cuyo funcionamiento se plantea el
problema (I, infra).
