Asunto C‑645/19
Facebook Ireland Limited,
Facebook Inc.
y
Facebook BelgiumBVBA
contra
Gegevensbeschermingsautoriteit
(Petición de decisión prejudicial planteada por el hof van beroep te Brussel)
Sentencia del Tribunal de Justicia (Gran Sala) de 15 de junio de2021
«Procedimiento prejudicial— Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Carta de los Derechos Fundamentales de la Unión Europea— Artículos 7, 8 y47— Reglamento (UE) 2016/679— Tratamiento transfronterizo de datos personales— Mecanismo de “ventanilla única”— Cooperación leal y efectiva entre las autoridades de control— Competencias y poderes— Facultad de iniciar o ejercitar acciones judiciales»
1.Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Reglamento (UE) 2016/679.— Mecanismo de ventanilla única— Autoridades nacionales de control— Poderes— Facultad de una autoridad de control de un Estado miembro, que no tiene la condición de autoridad de control principal, para iniciar o ejercitar acciones judiciales— Tratamiento de datos transfronterizo— Requisitos para su ejercicio— Competencia de la autoridad de control principal respecto de dicho tratamiento— Cooperación leal y efectiva entre las autoridades de control
[Carta de los Derechos Fundamentales de la Unión Europea, arts.7, 8 y 47; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts.55, ap.1, 56 a 58 y 60 a66]
(véanse los apartados 50 a 53, 56 a 59, 63 a 69 y 75 y el punto 1 del fallo)
2.Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Reglamento (UE) 2016/679— Mecanismo de ventanilla única— Autoridades nacionales de control— Poderes— Facultad de una autoridad de control de un Estado miembro, que no tiene la condición de autoridad de control principal, para iniciar o ejercitar acciones judiciales— Tratamiento de datos transfronterizo— Requisitos para su ejercicio— Necesidad de que el responsable o el encargado del tratamiento afectado dispongan de un establecimiento principal o de otro establecimiento en el territorio de ese Estado miembro— Inexistencia
[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts.3, ap.1, 56, ap.1, y 58, ap.5]
(véanse los apartados 79 a 84 y el punto 2 del fallo)
3.Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Reglamento (UE) 2016/679— Mecanismo de ventanilla única— Autoridades nacionales de control— Poderes— Facultad de una autoridad de control de un Estado miembro, que no tiene la condición de autoridad de control principal, para iniciar o ejercitar acciones judiciales— Tratamiento de datos transfronterizo— Facultad ejercida tanto respecto al establecimiento principal del responsable del tratamiento que se encuentra en el Estado miembro de dicha autoridad como respecto a otro establecimiento de dicho responsable— Requisitos para su ejercicio
[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts.56, ap.1, y 58, ap.5]
(véanse los apartados 88 a 91 y 94 a 96 y el punto 3 del fallo)
4.Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Reglamento (UE) 2016/679— Mecanismo de ventanilla única— Autoridades nacionales de control— Poderes— Autoridad de control de un Estado miembro, que no tiene la condición de autoridad de control principal— Tratamiento de datos transfronterizo— Acción judicial que tiene por objeto dicho tratamiento ejercitada por esa autoridad de control antes de la fecha de entrada en vigor del Reglamento— Incidencia en los requisitos de ejercicio de su facultad de iniciar o ejercitar acciones judiciales— Mantenimiento de dicha acción— Requisitos
[Reglamento (CE) 2016/679 del Parlamento Europeo y del Consejo, arts.56, ap.1, y 58, ap.5; Directiva 95/46/CE del Parlamento Europeo y del Consejo]
(véanse los apartados 99 a 105 y el punto 4 del fallo)
5.Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Reglamento (UE) 2016/679— Autoridades nacionales de control— Poderes— Disposición que consagra la facultad de una autoridad de control de un Estado miembro para iniciar o ejercitar acciones judiciales— Efecto directo
[Art.288TFUE, párr.2; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, art.58, ap.5]
(véanse los apartados 109 a 113 y el punto 5 del fallo)
Resumen
Reglamento General de Protección de Datos (RGPD): El Tribunal de Justicia precisa los requisitos para el ejercicio de los poderes de las autoridades nacionales de control con respecto al tratamiento transfronterizo de datos
En determinadas condiciones, una autoridad de control nacional puede ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de ese Estado miembro cualquier supuesta infracción del RGPD, aunque no sea la autoridad de control principal en lo referente a ese tratamiento
El 11 de septiembre de 2015, el presidente de la Comisión belga de protección de la vida privada (en lo sucesivo, «CPVP») ejercitó ante el Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunal de Primera Instancia Neerlandófono de Bruselas, Bélgica) una acción de cesación contra Facebook Ireland, Facebook Inc. y Facebook Belgium, que tenía por objeto poner fin a infracciones de la legislación en materia de protección de datos supuestamente cometidas por Facebook. Estas infracciones consistían, en particular, en la recogida y utilización de información sobre los hábitos de navegación de los internautas belgas, poseedores o no de una cuenta Facebook, mediante diferentes tecnologías, como cookies, complementos sociales(1) o píxeles.
El 16 de febrero de 2018, dicho órgano jurisdiccional se declaró competente para conocer de esa acción y, en cuanto al fondo, declaró que la red social Facebook no había informado suficientemente a los internautas belgas de la recogida y del uso de dicha información. Además, no se consideró válido el consentimiento dado por los internautas para la recogida y el tratamiento de la información.
El 2 de marzo de 2018, Facebook Ireland, Facebook Inc. y Facebook Belgium interpusieron recurso de apelación contra esa sentencia ante el Hof van beroep te Brussel (Tribunal de Apelación de Bruselas, Bélgica), que es el órgano jurisdiccional remitente en el presente asunto. Ante este órgano jurisdiccional, la Autoridad de Protección de Datos belga (en lo sucesivo, «APD») ha actuado como sucesor legal del presidente de la CPVP. El órgano jurisdiccional remitente solo se ha declarado competente para conocer del recurso de apelación interpuesto por Facebook Belgium.
El órgano jurisdiccional remitente alberga dudas acerca de los efectos de la aplicación del mecanismo de «ventanilla única» previsto por el Reglamento relativo a la protección de datos(2) en las competencias de la APD y, más concretamente, se pregunta si, con respecto a los hechos posteriores a la entrada en vigor del RGPD, a saber, el 25 de mayo de 2018, la APD puede ejercitar acciones judiciales contra Facebook Belgium, dado que Facebook Ireland ha sido identificada como la responsable del tratamiento de los datos en cuestión. En efecto, desde esta fecha y, en particular, en aplicación del principio de «ventanilla única» establecido por el RGPD, el Comisario irlandés de protección de datos es el único competente para ejercitar una acción de cesación, bajo el control de los órganos jurisdiccionales irlandeses.
En su sentencia, dictada por la Gran Sala, el Tribunal de Justicia precisa los poderes de las autoridades nacionales de control en el marco del RGPD. De este modo, declara, en particular, que, en determinadas condiciones, este Reglamento autoriza a una autoridad de control de un Estado miembro a ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de ese Estado miembro cualquier supuesta infracción de RGPD y de iniciar o ejercitar acciones judiciales con respecto a un tratamiento de datos transfronterizo,(3) aunque no sea la autoridad de control principal en lo referente a ese tratamiento.
Apreciación del Tribunal de Justicia
En primer lugar, el Tribunal de Justicia precisa las condiciones en las que una autoridad nacional de control, que no tiene la condición de autoridad principal con respecto a un tratamiento transfronterizo, debe ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción del RGPD y, si procede, iniciar o ejercitar acciones judiciales para garantizar la aplicación de este Reglamento. Así, por una parte, el RGPD debe conferir a dicha autoridad de control una competencia para adoptar una decisión en la que se declare que dicho tratamiento incumple las normas que contiene ese Reglamento y, por otra parte, esa facultad debe ejercerse respetando los procedimientos de cooperación y de coherencia establecidos por dicho Reglamento.(4)
En efecto, en el caso de los tratamientos transfronterizos, el RGPD establece el mecanismo de «ventanilla única»,(5) basado en un reparto de competencias entre una «autoridad de control principal» y las demás autoridades de control interesadas. Este mecanismo exige una cooperación estrecha, leal y efectiva entre estas autoridades, para garantizar una protección coherente y homogénea de las normas relativas a la protección de datos personales y preservar así su efecto útil. El RGPD establece a este respecto la competencia de principio de la autoridad de control principal para adoptar una decisión en la que se declare que un tratamiento transfronterizo incumple las normas establecidas en dicho Reglamento,(6) mientras que la competencia de las demás autoridades nacionales de control para adoptar tal decisión, incluso con carácter provisional, constituye la excepción.(7) No obstante, en el ejercicio de sus competencias, la autoridad de control principal no puede prescindir de un diálogo indispensable y de una cooperación leal y efectiva con las demás autoridades de control interesadas. Por ello, en el marco de esta cooperación, la autoridad de control principal no puede pasar por alto los criterios de las demás autoridades de control interesadas, y toda objeción pertinente y motivada formulada por una de estas últimas autoridades tiene por efecto bloquear, al menos temporalmente, la adopción del proyecto de decisión de la autoridad de control principal.
El Tribunal de Justicia precisa, además, que el hecho de que una autoridad de control de un Estado miembro que no sea la autoridad de control principal con respecto a un tratamiento de datos transfronterizo solo pueda ejercer la facultad de poner en conocimiento de los órganos jurisdicciones de ese Estado miembro cualquier supuesta infracción del RGPD y de iniciar o ejercitar acciones judiciales respetando las reglas de reparto de la competencias decisorias entre la autoridad de control principal y las demás autoridades de control(8) es conforme con los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, que garantizan al interesado, respectivamente, el derecho a la protección de datos de carácter personal y el derecho a la tutela judicial efectiva.
En segundo lugar, el Tribunal de Justicia declara que, en caso de tratamiento de datos transfronterizo, el ejercicio de la facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de iniciar o ejercitar acciones judiciales(9) no exige que el responsable o encargado del tratamiento transfronterizo de datos personales contra el que se ejercite dicha acción disponga de un establecimiento principal u otro establecimiento en el territorio de dicho Estado miembro. Sin embargo, el ejercicio de esta facultad debe estar comprendida en el ámbito de aplicación territorial del RGPD,(10) lo que supone que el responsable o el encargado del tratamiento transfronterizo disponga de un establecimiento en el territorio de la Unión.
En tercer lugar, el Tribunal de Justicia declara que, en caso de tratamiento de datos transfronterizo, la facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de poner en conocimiento de los órganos jurisdiccionales de este Estado cualquier supuesta infracción de dicho Reglamento y, si procede, iniciar o ejercitar acciones judiciales puede ejercerse tanto con respecto al establecimiento principal del responsable del tratamiento que se encuentra en el Estado miembro de dicha autoridad como con respecto a otro establecimiento de ese responsable, siempre que la acción judicial tenga por objeto un tratamiento de datos efectuado en el contexto de las actividades de ese establecimiento y que dicha autoridad tenga competencia para ejercer esa facultad.
Sin embargo, el Tribunal de Justicia precisa que el ejercicio de esta facultad supone que el RGPD sea aplicable. En el presente asunto, dado que las actividades del establecimiento del grupo Facebook situado en Bélgica están indisociablemente vinculadas al tratamiento de los datos personales de que se trata en el litigio principal, de los que Facebook Ireland es el responsable en lo que se refiere al territorio de la Unión, este tratamiento se realiza «en el contexto de las actividades de un establecimiento del responsable» y, por tanto, está efectivamente comprendido en el ámbito de aplicación delRGPD.
En cuarto lugar, el Tribunal de Justicia declara que, cuando una autoridad de control de un Estado miembro que no es la «autoridad de control principal» ejercitó, antes de la fecha de entrada en vigor del RGPD, una acción judicial cuyo objeto era un tratamiento transfronterizo de datos personales, dicha acción puede mantenerse, desde el punto de vista del Derecho de la Unión, sobre la base de las disposiciones de la Directiva relativa a la protección de datos,(11) que sigue siendo aplicable en lo que se refiere a las infracciones de las normas que establece, cometidas hasta la fecha en la que dicha Directiva fue derogada. Además, dicha acción puede ser ejercitada por esa autoridad por infracciones cometidas después de la fecha de entrada en vigor del RGPD, siempre que sea en una de las situaciones en las que, excepcionalmente, dicho Reglamento confiere a esa misma autoridad competencia para adoptar una decisión por la que se declare que el tratamiento de datos de que se trata no cumple las disposiciones de dicho Reglamento y siempre que se respeten los procedimientos de cooperación que este último establece.
En quinto y último lugar, el Tribunal de Justicia reconoce el efecto directo de la disposición del RGPD en virtud de la cual cada Estado miembro dispondrá por ley que su autoridad de control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones de ese Reglamento y, si procede, para iniciar o ejercitar de otro modo acciones judiciales. Por consiguiente, tal autoridad puede invocar dicha disposición para ejercitar o retomar una acción contra particulares, aun cuando dicha disposición no se haya aplicado específicamente en la legislación del Estado miembro de que se trate.
1Por ejemplo, los botones «Me gusta» o «Compartir».
2Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L119, p.1; en lo sucesivo, «RGPD»). A tenor del artículo 56, apartado 1, del RGPD, «sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado».
3En el sentido del artículo 4, punto 23, delRGPD.
4Establecidos en los artículos 56 y 60 delRGPD.
5Artículo 56, apartado 1, delRGPD.
6Artículo 60, apartado 7, delRGPD.
7El artículo 56, apartado 2, y el artículo 66 del RGPD establecen las excepciones al principio de la competencia decisoria de la autoridad de control principal.
8Establecidas en los artículos 55 y 56, en combinación con el artículo 60 delRGPD.
9En virtud del artículo 58, apartado 5, delRGPD.
10El artículo 3, apartado 1, del RGPD establece que este Reglamento se aplica al tratamiento de datos personales efectuado «en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión ono».
11Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L281, p.31).