El marco de aplicación pública del RGPD plantea dificultades específicas respecto de los grandes prestadores de servicios digitales con mayor impacto en el conjunto de la Unión, vinculadas al carácter descentralizado de ese sistema de ejecución. La efectiva supervisión de sus actividades a escala de la Unión se compadece mal con que quede en manos de autoridades nacionales, como refleja la evolución posterior del Derecho de la Unión y la centralización en la Comisión de la supervisión de tales prestadores en el marco del Reglamento de Servicios Digitales, el Reglamento de Mercados Digitales o el Reglamento de Inteligencia Artificial (en relación con los proveedores de modelos de IA de uso general). Cabe recordar que la principal aportación del RGPD con respecto a su aplicación pública fue la introducción de un modelo de ventanilla única, en tanto que régimen específico para la determinación de la autoridad (nacional) de control en ciertas situaciones vinculadas con dos o más Estados miembros, que evita el sometimiento cumulativo a varias autoridades de control, y facilita la actividad de los responsables o encargados objeto de supervisión. Esas situaciones se denominan «tratamientos transfronterizos», noción que engloba con carácter alternativo dos tipos de supuestos: a) el tratamiento realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, y b) el realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado en la Unión, pero que afecta o puede afectar sustancialmente a interesados en más de un Estado miembro (art. 4.23 RGPD). A diferencia del criterio de base estrictamente territorial del artículo 55 RGPD (alcance de la competencia de las autoridades nacionales de control), en relación con los tratamientos transfronterizos opera el régimen especial de competencia previsto a favor de la autoridad de control principal (art. 56), si bien debe cooperar con las autoridades de control interesadas (art. 60) y, eventualmente, someterse al mecanismo de coherencia con intervención del Comité Europeo de Protección de Datos (EDPB o CEPD) (arts. 63-67). Ciertas dificultades procedimentales en lo relativo a la determinación de si un tratamiento es transfronterizo y la tramitación de reclamaciones e investigaciones relativas a tales tratamientos fueron abordadas en el reciente Reglamento (UE) 2025/2518 de 26 de noviembre de 2025 por el que se establecen normas procedimentales adicionales sobre la garantía del cumplimiento del Reglamento (UE) 2016/679.
En el contexto de la aplicación de las normas
del RGPD que regulan el mecanismo de coherencia -que ha sido determinante
de algunas de las sanciones más significativas impuestas por infracción del
RGPD a grandes prestadores de servicios digitales-, resulta de interés la sentencia del TJUE de ayer, WhatsApp Ireland/Comité Europeo de Protección de
Datos, C-97/23 P, ECLI:EU:C:2026:81. Antes de hacer referencia a la
aportación de la nueva sentencia (II, infra), recordaré los elementos
básicos del mecanismo de coherencia del RGPD en cuyo funcionamiento se plantea el
problema (I, infra).
I. Fundamentos: cooperación entre autoridades y mecanismo de coherencia en la aplicación del RGPD
El modelo de ventanilla única se basa en la atribución de una competencia general a la “autoridad de control principal” respecto de los “tratamientos transfronterizos” de datos personales, sin perjuicio de ciertas excepciones. La autoridad de control principal opera como un punto central de ejecución, que desempeña un papel preponderante en los procedimientos de cooperación (art. 60) y coherencia en los que también pueden participar «autoridades de control interesadas».
Como excepción a la aplicación del procedimiento de coordinación del artículo 60 RGPD, liderado por la autoridad de control principal o mecanismo de ventanilla única, se contempla que cada autoridad de control es competente para tratar una reclamación que le sea presentada o una posible infracción del RPD, cuando se refiera únicamente a un establecimiento situado en su Estado o sólo afecte de manera sustancial a interesados en su Estado (art. 56.2), incluso cuando sean procedimientos relativos a responsables o encargados con establecimiento principal en otro Estado miembro. Ahora bien, en estos casos la autoridad de control principal, que debe ser informada por aquella ante la que se ha presentado la reclamación, decidirá si se trata el caso conforme al procedimiento del art. 60, pudiendo la autoridad de control que haya informado presentar un proyecto de decisión. También excepcionalmente una autoridad de control interesada puede adoptar medidas provisionales relativas a su propio territorio.
El ejercicio por una autoridad de control de sus poderes –incluido el previsto en el artículo 58 RGPDP– presupone que esa concreta autoridad de control disponga de competencia en lo que respecta al tratamiento de datos concernido. Eso implica en los supuestos de «tratamientos transfronterizos» respetar el reparto de competencias entre la autoridad de control principal y las demás autoridades de control interesadas, que resulta especialmente de lo dispuesto en los artículos 56 y 60 a 62 del RGPD, y que lleva a atribuir en principio la competencia decisoria a la autoridad de control principal, sin perjuicio de que deba ejercer esa competencia en cooperación con las demás autoridades de control interesadas (STJUE de 15 de junio de 2021, Facebook Ireland, C-645/19, EU:C:2021:483, reseñada aquí).
La “autoridad de control principal” es la del Estado miembro del establecimiento principal o del único establecimiento del responsable o del encargado. Reciben la consideración de autoridades de control “interesadas” el resto de las autoridades a las que afecta el tratamiento, por estar establecido el responsable o encargado en el territorio de su Estado miembro (sin tener allí su establecimiento principal), por ser probable que se vean sustancialmente afectados los interesados que residen en su Estado, o por haberse presentado ante ella una reclamación (art. 4.22 RGPD).
En situaciones en las que el responsable o encargado tiene establecimientos en más de un Estado miembro resulta de gran importancia la definición de establecimiento principal, contenida en el art. 4.16 RGPD, al permitir concretar cuál es la autoridad de control principal. Esa definición se diferencia del concepto general de establecimiento en la Unión del art. 3.1 como elemento determinante del ámbito territorial del RGPD. Con respecto al responsable del tratamiento, se considera que el establecimiento principal se halla «en el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal». El cdo. 36 del RGPD precisa que tal establecimiento «debe determinarse en función de criterios objetivos y debe implicar el ejercicio efectivo y real de actividades de gestión que determinen las principales decisiones en cuanto a los fines y medios del tratamiento a través de modalidades estables», así como que no resulta determinante si el tratamiento se realiza en dicho lugar. La concreción del establecimiento principal, e incluso la determinación de si realmente se encuentra en la UE en el caso de los tratamientos de datos personales de ciertos grandes prestadores de servicios digitales ha resultado controvertida. Cabe recordar que el Dictamen 04/2024 del CEPD sobre el concepto de establecimiento principal de un responsable del tratamiento en la Unión con arreglo al artículo 4.16(a) RGPD, avala un criterio restrictivo, según el cual el mecanismo de ventanilla única, en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, sólo puede aplicarse cuando uno de esos establecimientos toma las decisiones sobre los fines y medios de las operaciones de tratamiento pertinentes y está facultado para hacer que se ejecuten dichas decisiones. En consecuencia, tales responsables, aunque tengan varios establecimientos en la Unión, quedan excluidos del criterio de ventanilla única, como sucede con los responsables que carecen de establecimiento en la Unión.
El modelo de ventanilla única limita las cargas para el responsable inherentes a que un mismo tratamiento transfronterizo quede sometido simultáneamente al control pleno de múltiples autoridades de control, pero va unido a ciertos riesgos para los interesados (en el sentido del art. 4.1 RGPD) que condicionaron su diseño en el RGPD. Entre los riesgos para los interesados pueden resultar de la implantación de un modelo de ventanilla única, destaca su potencial para menoscabar la posibilidad de tramitar una reclamación ante la autoridad de control del país de su residencia habitual, en las situaciones en las que el establecimiento principal del responsable se localice en otro Estados miembro. Asimismo, un modelo de ese tipo también puede ir asociado a riesgos de deslocalización de los responsables y encargados del tratamiento, en caso de existir diferencias significativas en el desempeño de sus funciones entre las autoridades de control. Para hacer frente a esos riesgos, en la redacción final del RPD se introdujeron ciertas matizaciones en el funcionamiento del criterio de ventanilla única y se trató de asegurar que las autoridades de todos los Estados miembros tengan los mismos poderes y dispongan de medios apropiados (cdo. 129).
Desde la perspectiva de la posición de los interesados, resulta muy relevante que el artículo 77 RGPD adopta un criterio flexible acerca de la autoridad de control ante la que un interesado puede presentar su reclamación, con el objetivo de facilitar la protección de sus derechos, lo que se ve reforzada por el papel atribuido a esa autoridad, en la medida en que será considerada «autoridad de control interesada». La reclamación por el interesado puede presentarse, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción. Esta vía de reclamación, sometida a menores costes y esfuerzos para el reclamante que el ejercicio de acciones judiciales, constituye un mecanismo esencial para que los afectados puedan solicitar la protección de sus derechos. Desde la perspectiva de la protección de los interesados, el RGPD no solo garantiza la posibilidad de que presenten la reclamación ante la autoridad de control de su entorno más próximo o más vinculada con la actividad de que se trate. La determinación de la autoridad nacional que posteriormente adopta la decisión tiene singular trascendencia en relación con el derecho a la tutela judicial frente a esa decisión (art. 78 RGPD). De ahí la importancia de que cuando la decisión desestime o rechace una reclamación, sea la autoridad de control ante la que se haya presentado –y no la principal– la que formalmente adopte la decisión, lo que resultará determinante de la competencia de los tribunales de dicho Estado –en la práctica el elegido por el interesado para presentar su reclamación– para conocer de las acciones que puedan ejercitarse en vía judicial, típicamente por el afectado, frente a la desestimación de la reclamación.
El procedimiento típico en relación con los tratamientos transfronterizos es el de cooperación del artículo 60 RGPD, que fija el marco en el que la autoridad de control principal debe cooperar con las demás autoridades de control interesadas para esforzarse en llegar a un consenso de cara a adoptar una decisión vinculante. La autoridad de control principal puede solicitar asistencia mutua (art. 61) y la realización de operaciones conjuntas (art. 62) y es a ella a quien corresponde preparar un proyecto de decisión. Si la autoridad de control principal prevé seguir lo indicado en la objeciones pertinentes y motivadas recibidas, así como cuando ninguna autoridad de control interesada ha presentado objeciones, la autoridad de control principal adopta y notifica la decisión al establecimiento principal del responsable o encargado, mientras que la autoridad de control ante la que se hubiera presentado la reclamación informa de la decisión al reclamante. En el supuesto de que la decisión sea desestimar o rechazar la reclamación, será la autoridad de control ante la que se haya presentado la que adopte la decisión, la notifique al reclamante e informe al responsable del tratamiento, lo que condiciona la competencia en relación con el derecho a la tutela judicial efectiva contra una autoridad de control (art. 78 RGPD). El EDPB mantiene un registro en el que se publican las decisiones finales adoptadas por las diferentes autoridades de control en el marco del procedimiento de cooperación del artículo 60 RGPD.
Si cualquiera de las autoridades de control interesadas formula una objeción pertinente y motivada en un plazo de cuatro semanas, la autoridad de control principal puede optar por seguir la objeción y adoptar la decisión en la que estén de acuerdo todas las autoridades implicadas, que además notificará al establecimiento principal del responsable o encargado, mientras que la autoridad de control ante la que se haya presentado una reclamación informará de la decisión al reclamante. En el supuesto de que la decisión sea desestimar o rechazar una reclamación, será la autoridad de control ante la que se haya presentado la que adopte la decisión, la notifique al reclamante e informe al responsable del tratamiento, lo que condiciona la competencia en relación con el derecho a la tutela judicial efectiva contra una autoridad de control.
Si alguna de las autoridades de control interesadas ha presentado objeciones al proyecto de decisión con las que no esté de acuerdo la autoridad de control principal, ésta habrá de someter el asunto al mecanismo de coherencia del artículo 63. Dicho mecanismo contempla que el CEPD adopte decisiones vinculantes, entre otros casos, en aquellas situaciones en las que haya divergencias sobre cuál de las autoridades de control «es competente para el establecimiento principal»; así como cuando una autoridad de control interesada haya manifestado una objeción pertinente y motivada a un proyecto de decisión de la autoridad principal. En estos supuestos la autoridad de control principal o, en su caso, la autoridad de control ante la que se presentó la reclamación adoptará su decisión definitiva sobre la base de la decisión del CEPD (art. 65).
Desde la perspectiva de la protección de los interesados, el RGPD no sólo garantiza la posibilidad de que presenten la reclamación ante la autoridad de control de su entorno más próximo o más vinculada con la actividad de que se trate. La determinación de la autoridad nacional que posteriormente adopta la decisión tiene singular trascendencia en relación con el derecho a la tutela judicial frente a esa decisión (art. 78 RGPD). De ahí la importancia de que cuando la decisión desestime o rechace una reclamación, sea la autoridad de control ante la que se haya presentado –y no la principal- la que formalmente adopte la decisión, lo que resultará determinante de la competencia de los tribunales de dicho Estado –en la práctica el elegido por el interesado para presentar su reclamación- para conocer de las acciones que puedan ejercitarse en vía judicial, típicamente por el afectado, frente a la desestimación de la reclamación. Fuera de esas situaciones específicas, es la autoridad de control principal la que adopta la decisión, de modo que las acciones contra tales decisiones deben ejercitarse ante los tribunales del Estado miembro en que esté establecida esa autoridad de control (art. 78.3). Como regla específica, se prevé que cuando se ejercitan acciones contra una decisión de una autoridad de control que ha sido precedida de un dictamen o una decisión del CEPD en el marco del mecanismo de coherencia, la autoridad de control debe remitir al tribunal ese dictamen o decisión. Según el considerando 143 del RPD, en caso de impugnación un tribunal nacional no es competente para declarar inválida la decisión del Comité, debiendo remitirlo al Tribunal de Justicia conforme al art. 267 TFUE.
II. Aportación de la sentencia WhatsApp
Ireland/Comité Europeo de Protección de Datos
El litigio principal
en esta sentencia tiene su origen en la Decisión vinculante 1/2021 del CEPD en
el marco del conflicto entre las autoridades de control interesadas y la
autoridad principal surgido a raíz del proyecto de decisión referente a
WhatsApp elaborado por la autoridad de control irlandesa. Se enmarca en el contexto
de varios conflictos semejantes en relación con actividades del grupo Meta -las
varias decisiones vinculantes pueden consultarse aquí- que determinaron que la
autoridad de control irlandesa tuviera que adoptar sus decisiones definitivas (art.
65.6 RGPD) sobre la base de la “decisión vinculante” (art. 65.1 RGPD) adoptada
por el CEPD al resolver el conflicto entre autoridades interesadas que habían
formulado objeciones sobre determinados aspectos de los proyecto de decisión de
la autoridad principal (la irlandesa) en el marco del mecanismo de coherencia.
Tales decisiones definitivas se tradujeron en la imposición de medidas más
estrictas y sanciones más elevadas que las previstas en los proyectos de decisión
iniciales de la Comisión.
Tras recibir la notificación
de la decisión definitiva de la autoridad irlandesa resultante de la Decisión
vinculante 1/2022 del CEPD, que, de acuerdo con lo dispuesto en el art. 65.6
RGPD, se incluía adjunta a la decisión definitiva de la autoridad irlandesa, WhatsApp
Ireland optó no sólo por interponer un recurso ante los tribunales irlandeses frente
a la decisión de la autoridad irlandesa, con base en el artículo 78 RGPD, sino,
también, por interponer un recurso de anulación ante el Tribunal General de la
UE frente a la Decisión vinculante 1/2022 del CEPD en virtud del artículo 263
TFUE. Se trata del recurso que permite el control de la legalidad d los actos
de las instituciones, así como de los actos de los órganos u organismos de la
Unión destinados a producir efectos jurídicos frente a terceros, permitiendo establecer
la ilicitud del acto impugnado y expulsarlo del ordenamiento. En
concreto, su párrafo cuarto contempla la posibilidad de que este recurso sea interpuesta
por una persona frente a los actos de
los que sea destinataria o que la afecten directa e individualmente.
El recurso de
anulación interpuesto por WhatsApp Ireland ante el TG fue desestimado por éste.
Básicamente el TG considero que la Decisión vinculante del CEPD era un acto de trámite o intermedio en el procedimiento que finalizaba con la
adopción de la decisión definitiva por la autoridad de control irlandesa, y que
no producía para la recurrente efectos jurídicos autónomos con respecto a esta última
decisión. Además, entendía que la tutela judicial de la recurrente quedaba
salvaguardada por su posibilidad de recurrir frente a la decisión de la autoridad
irlandesa en virtud del artículo 78 RGPD y la posibilidad de que en el marco de
ese procedimiento el juez nacional planteara una cuestión prejudicial ante el
Tribunal de Justicia (apdos. 42 a 50 del auto del TG objeto del recurso).
Frente a ese criterio, el Tribunal de Justicia, establece que la decisión vinculante del CEPD en el marco del mecanismo de coherencia constituye una disposición de un organismo de la Unión destinado a producir efectos jurídicos obligatorios, y, en consecuencia, susceptible de ser recurrido a la luz del artículo 263 TFUE párrafo primero. A este respecto, el TJUE constata que, conforme a lo dispuesto en los artículos 65 y 68 RGPD, la Decisión vinculante del CEPD a la que va referida el recurso es, a los efectos del artículo 263 TFUE, un acto que emana de un órgano de la Unión y que tiene carácter vinculante para terceros, en concreto para la autoridad de control principal y las autoridades de control interesadas (apdo. 71 de la sentencia). Aunque la decisión del CEPD es adoptada en el marco del mecanismo de coherencia que implica varias etapas, a diferencia de los que es propio de una medida intermedia, se trata en este caso de una medida que fija definitivamente la postura del CEPD y agota todas las cuestiones que debe resolver, en particular respecto de la eventual infracción del RGPD (apdo. 72 de la sentencia).
También rechaza el Tribunal de Justicia el criterio del Tribunal General acerca del carácter inadmisible del recurso interpuesto por WhatsApp por ir referido a una decisión del CEPD -de la que eran destinatarias la autoridad de control principal y las autoridades de control interesadas- que no afectaba directamente a la recurrente, en el sentido del artículo 263 TFUE, párrafo cuarto. Al abordar esta cuestión, el TJ valora si respecto de la decisión vinculante del CEPD recurrida concurren las dos condiciones acumulativas determinantes para apreciar esa afectación directa: que el acto recurrido surta efectos directamente en la situación jurídica de esa persona y que no deje ningún margen de apreciación a los destinatarios encargados de su aplicación. Para apreciar que en este caso concurre la primera de esas condiciones, considera suficiente el TJ con apreciar que al establecer el CEPD que incumple ciertas disposiciones del RGPD lleva a WhatsApp a tener que modificar los términos en que presta sus servicios, para adaptarlos a la interpretación del CEPD (apdo. 98 de la sentencia). Con respecto al cumplimiento en este caso de la segunda condición acumulativa, el TJ subraya que, conforme a lo dispuesto en los artículos 65 y 70.1.a) RGPD, la decisión del CEPD vinculaba a la autoridad de control principal y a las autoridades de control interesadas, quienes no podían apartarse de la postura fijada por el Comité (apdo. 102-105 de la sentencia, destacando también que la decisión definitiva de la autoridad de control principal constituye un acto distinto de la decisión vinculante del CEPD).
Cabe reseñar que el TJ aborda también una de las posibles dificultades ligadas a su criterio, que tiene que ver con que facilita el desarrollo de procedimientos simultáneos ante el Tribunal General y ante el tribunal nacional competente para conocer del recurso contra la decisión de la autoridad de control principal, sin que el RGPD prevea mecanismos de coordinación. A este respecto, la sentencia hace referencia a que el tribunal nacional ante el que este pendiente la impugnación de la decisión definitiva de la autoridad de control principal, cuya resolución depende de la validez de la decisión vinculante del CEPD, debe -con base en la obligación de cooperación leal- suspender el procedimiento hasta que se dicte una resolución definitiva sobre el recurso de anulación, a no ser que considere que está justificado plantear una cuestión prejudicial al Tribunal de Justicia sobre la validez de esa (apdo. 107 de la sentencia). Además, señala que cuando se acuda simultáneamente al Tribunal General, en el marco de un recurso de anulación, y al Tribunal de Justicia, en el de una petición de decisión prejudicial, el Tribunal de Justicia de la Unión Europea puede suspender su procedimiento en favor del incoado ante el Tribunal General (apdo. 108).
Más allá de las cuestiones abordada por el Tribunal de Justicia en el presente asunto, no cabe descartar que puedan tramitarse otros tipos de procedimientos judiciales simultáneos estrechamente vinculados a la decisión vinculante adoptada por el CEPD. Tales decisiones pueden ser un elemento detonante del ejercicio por perjudicados de eventuales acciones ante tribunales del orden civil frente al responsable del tratamiento respecto de las prácticas que el CEPD establece que infringen el RGPD. Cabe recordar que, como ha establecido el Tribunal de Justicia, la tutela pública y la tutela privada del del derecho a la protección de datos personales son dos vías de tutela que “pueden ejercerse de manera concurrente e independiente”, sin que entre ellas exista relación jerárquica o excluyente alguna (STJUE de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, apdo. 35, reseñada aquí). La obligación de cooperación leal también se proyectará sobre los tribunales nacionales del orden civil en tales situaciones.
Por último, desde la perspectiva de la
práctica futura, la sentencia WhatsApp
Ireland resulta también de
interés por establecer cómo debe computarse en estas situaciones el plazo previsto
en el artículo 263 TFUE, según el cual el recurso de anulación debe interponerse
“en el plazo de dos meses a partir, según los casos, de la publicación del
acto, de su notificación al recurrente o, a falta de ello, desde el día en que
éste haya tenido conocimiento del mismo”. El TJUE precisa que, como la
publicación de la decisión vinculante del CEPD está prevista en el artículo
65.5 RGPD, la fecha que debe tomarse en consideración a estos efectos es la de
esa publicación en el sitio de Internet del CEPD, de manera coherente también
con lo dispuesto en el considerando 143 RGPD (apdo. 48 de la sentencia WhatsApp
Ireland/Comité Europeo de Protección de Datos).
