En las conclusiones de 13 de enero de 2021, asunto C-645/19 (Facebook vs DPA Belga), el Abogado General de la UE recuerda que la competencia para interponer acciones por la presunta infracción en relación con el tratamiento transfronterizo de datos la tiene, con carácter general, la autoridad de protección de datos del Estado en el que el responsable o el encargado del tratamiento de los datos tenga su establecimiento principal en la Unión Europea.
No obstante, según el Abogado General del Tribunal de Justicia de la UE, el Reglamento General de Protección de Datos (RGPD) permite que, en situaciones específicas, la autoridad de protección de datos de un Estado miembro ejercite acciones judiciales por una supuesta infracción en relación con un tratamiento transfronterizo de datos tanto en el país donde la presunta empresa infractora tenga su sede principal, como en las de los países donde haya delegaciones.
Así se ha pronunciado el checo Michal Bobek, sobre la pregunta planteada por el Tribunal de Apelación de Bruselas sobre si el RGPD impide realmente que la autoridad nacional de protección de datos belga entable un procedimiento judicial en su Estado miembro por un tratamiento transfronterizo de datos realizado por Facebook, con delegación en Bélgica pero cuya sede europea se encuentra en Irlanda (Conclusiones de 13 de enero de 2021, asunto C-645/19, Facebook vs DPA Belga).
El origen del conflicto
En septiembre de 2015, la autoridad de protección de datos belga inició un procedimiento contra varias empresas del grupo Facebook: Facebook INC, Facebook Ireland Ltd - que es la sede principal del grupo en la UE- y Facebook Belgium BVBA.
En su demanda, la autoridad de protección de datos solicitó que se requiriera a Facebook para que dejase de insertar, sin el consentimiento de los usuarios de Internet establecidos en Bélgica, determinadas cookies en los dispositivos utilizados por estos cuando navegan por una página web en el dominio Facebook.com o cuando acaban en el sitio web de un tercero, así como para que dejase de recopilar datos de forma excesiva mediante social plug-ins (complementos sociales) y píxeles en sitios web de terceros. Asimismo, la autoridad belga solicitó la destrucción de todos los datos personales obtenidos mediante cookies y social plug-ins relativos a cada usuario de Internet establecido en el territorio belga.
Presentada la demanda, el Tribunal de Apelación de Bruselas determinó que carecía de competencia para conocer de las pretensiones formuladas frente a Facebook INC y Facebook Ireland Ltd, por lo que el procedimiento quedó restringido a Facebook Belgium. Así las cosas, la filial belga de la red social afirma que, en virtud del RGPD, la única autoridad de protección de datos facultada para incoar un procedimiento en relación con el tratamiento transfronterizo de datos es la Comisión de Protección de Datos de Irlanda (DPC), ya que la sede europea de la empresa está en Dublín.
Las conclusiones del Abogado General
En sus conclusiones, el Abogado General considera, en primer lugar, que de la redacción del RGPD se desprende que la autoridad principal de protección de datos tiene una competencia general sobre el tratamiento transfronterizo de datos, incluido el inicio de un procedimiento judicial por la violación del RGPD y, por implicación, las demás autoridades de protección de datos afectadas gozan de una facultad más limitada para actuar a este respecto
En segundo lugar, recuerda que la razón misma de la introducción del mecanismo de ventanilla única del RGPD fue resolver algunas deficiencias derivadas de la normativa anterior, que obligaba a los operadores a interactuar con todas las autoridades nacionales de protección de datos, lo que resultaba "costoso, oneroso y lento", y era fuente de "incertidumbre y de conflictos".
No obstante, el Sr. Bobek subraya que, aunque el RGPD otorga un papel importante a la autoridad de protección de datos principal, esta no puede ser considerada la única encargada de velar por el cumplimiento del RGPD en situaciones transfronterizas. Así, el Abogado General señala que debe cooperar estrechamente con las demás autoridades en cuatro situaciones específicas. En primer lugar, cuando las autoridades nacionales de protección de datos actúen fuera del ámbito material del RGPD; en segundo lugar, cuando investiguen tratamientos transfronterizos de datos efectuados por autoridades públicas, en interés público, en el ejercicio de poderes públicos o por responsables del tratamiento que no tengan un establecimiento en la Unión; en tercer lugar, cuando adopten medidas urgentes, y, en cuarto lugar, cuando intervengan como consecuencia de la decisión de la autoridad de protección de datos principal de no tratar un caso.
Por consiguiente, con estas conclusiones el abogado general pretende aclarar qué autoridad es competente para actuar ante las infracciones de protección datos en Internet, aunque su opinión no vincula al Tribunal de Justicia, que comenzará ahora sus deliberaciones sobre este asunto.