jueves, 5 de agosto de 2021

SENTENCIA DEL TRIBUNAL DE JUSTICIA EUROPEO SOBRE FACULTADES DE AUTORIDAD PARA INICIO DE ACCIONES CONTRA INFRACCIONES DE TRATAMIENTO TRANSFRONTERIZO AL RGPD.

Por: Carlos A. FERREYROS SOTO

        Doctor en Derecho
        Université de Montpellier I Francia.
        M. Sc. Institut Agronomique Méditerranéen

        cferreyros@hotmail.com

SINTESIS

La principal Cuestión Prejudiciable es: ¿Deben interpretarse los artículos [55, apartado 1], 56 a 58 y 60 a 66 del Reglamento n.o 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/C (en lo sucesivo, «RGPD»), en relación con los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, en el sentido de que una autoridad de control que, en virtud de la legislación nacional adoptada en ejecución del artículo [58, apartado 5], de dicho Reglamento, está facultada para iniciar acciones judiciales contra infracciones de este Reglamento ante un tribunal de su Estado miembro, no puede ejercitar tal facultad en relación con un tratamiento transfronterizo si no es la autoridad de control principal en materia de tratamiento transfronterizo?                                                           

Según la Sentencia, los artículos 55, apartado 1, 56 a 58 y 60 a 66 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), en relación con los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, deben interpretarse en el sentido de que una autoridad de control de un Estado miembro que, en virtud de la legislación nacional adoptada en ejecución del artículo 58, apartado 5, de dicho Reglamento, está facultada para poner en conocimiento de los órganos jurisdiccionales de ese Estado miembro cualquier supuesta infracción de dicho Reglamento y, si procede, para iniciar o ejercitar acciones judiciales puede ejercer esta facultad en lo que respecta a un tratamiento de datos transfronterizo aunque no sea la «autoridad de control principal», en el sentido del artículo 56, apartado 1, del mismo Reglamento, en lo referente a tal tratamiento de datos, siempre que sea en alguna de las situaciones en la que el Reglamento 2016/679 confiere a esa autoridad de control competencia para adoptar una decisión en la que se declare que dicho tratamiento incumple las normas que el Reglamento contiene y siempre que se respeten los procedimientos de cooperación y de coherencia establecidos por dicho Reglamento.

__________________________________________________________

Sentencia del Tribunal de Justicia (Gran Sala) de 15 de junio de 2021 (petición de decisión prejudicial planteada por el hof van beroep te Brussel — Bélgica) — Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA / Gegevensbeschermingsautoriteit

(Asunto C-645/19) (1)

(Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Carta de los Derechos Fundamentales de la Unión Europea - Artículos 7, 8 y 47 - Reglamento (UE) 2016/679 - Tratamiento transfronterizo de datos personales - Mecanismo de «ventanilla única» - Cooperación leal y efectiva entre las autoridades de control - Competencias y poderes - Facultad de iniciar o ejercitar acciones judiciales)

(2021/C 310/03)

Lengua de procedimiento: neerlandés

Órgano jurisdiccional remitente

Hof van beroep te Brussel

Partes en el procedimiento principal

Recurrentes: Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA

Recurrida: Gegevensbeschermingsautoriteit

Fallo

1)

Los artículos 55, apartado 1, 56 a 58 y 60 a 66 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en relación con los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, deben interpretarse en el sentido de que una autoridad de control de un Estado miembro que, en virtud de la legislación nacional adoptada en ejecución del artículo 58, apartado 5, de dicho Reglamento, está facultada para poner en conocimiento de los órganos jurisdiccionales de ese Estado miembro cualquier supuesta infracción de dicho Reglamento y, si procede, para iniciar o ejercitar acciones judiciales puede ejercer esta facultad en lo que respecta a un tratamiento de datos transfronterizo aunque no sea la «autoridad de control principal», en el sentido del artículo 56, apartado 1, del mismo Reglamento, en lo referente a tal tratamiento de datos, siempre que sea en alguna de las situaciones en la que el Reglamento 2016/679 confiere a esa autoridad de control competencia para adoptar una decisión en la que se declare que dicho tratamiento incumple las normas que el Reglamento contiene y siempre que se respeten los procedimientos de cooperación y de coherencia establecidos por dicho Reglamento.

2)

El artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que, en caso de tratamiento de datos transfronterizo, el ejercicio de la facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de iniciar o ejercitar acciones judiciales, en el sentido de esta disposición, no exige que el responsable o encargado del tratamiento transfronterizo de datos personales contra el que se ejercite dicha acción disponga de un establecimiento principal u otro establecimiento en el territorio de dicho Estado miembro.

3)

El artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que la facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de poner en conocimiento de los órganos jurisdiccionales de ese Estado cualquier supuesta infracción de dicho Reglamento y, si procede, iniciar o ejercitar acciones judiciales, en el sentido de dicha disposición, puede ejercerse tanto con respecto al establecimiento principal del responsable del tratamiento que se encuentre en el Estado miembro de dicha autoridad como con respecto a otro establecimiento de ese responsable, siempre que la acción judicial tenga por objeto un tratamiento de datos efectuado en el contexto de las actividades de ese establecimiento y que dicha autoridad tenga competencia para ejercer esa facultad, según se ha expuesto en la respuesta a la primera cuestión prejudicial planteada.

4)

El artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que, cuando una autoridad de control de un Estado miembro que no es la «autoridad de control principal», en el sentido del artículo 56, apartado 1, de dicho Reglamento, ha ejercitado antes del 25 de mayo de 2018 una acción judicial cuyo objeto era un tratamiento transfronterizo de datos personales, a saber, antes de la fecha en la que dicho Reglamento comenzó a ser aplicable, esa acción puede mantenerse, desde el punto de vista del Derecho de la Unión, sobre la base de las disposiciones de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que sigue siendo aplicable en lo que se refiere a las infracciones de las normas que establece, cometidas hasta la fecha en que dicha Directiva fue derogada. Además, tal acción puede ser ejercitada por esa autoridad por infracciones cometidas después de esa fecha, sobre la base del artículo 58, apartado 5, del Reglamento 2016/679, siempre que sea en alguna de las situaciones en que, excepcionalmente, dicho Reglamento confiere a una autoridad de control de un Estado miembro que no es la «autoridad de control principal» competencia para adoptar una decisión por la que se declare que el tratamiento de datos en cuestión no cumple las disposiciones del citado Reglamento en lo que se refiere a la protección de los derechos de las personas físicas con respecto al tratamiento de datos personales, y siempre que se respeten los procedimientos de cooperación y coherencia establecidos por el mismo Reglamento, extremo que corresponde comprobar al órgano jurisdiccional remitente.

5)

El artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que esta disposición tiene efecto directo, de modo que una autoridad de control nacional puede invocarla para ejercitar o retomar una acción contra particulares, aun cuando dicha disposición no se haya aplicado específicamente en la legislación del Estado miembro de que se trate.


(1)  DO C 406 de 2.12.2019.

__________________________________________________________


Petición de decisión prejudicial planteada por el Hof van beroep te Brussel (Bélgica) el 30 de agosto de 2019 — Facebook Ireland Limited, Facebook INC, Facebook Belgium BVBA/Gegevensbeschermingsautoriteit

(Asunto C-645/19)

(2019/C 406/17)

Lengua de procedimiento: neerlandés

Órgano jurisdiccional remitente

Hof van beroep te Brussel

Partes en el procedimiento principal

Demandantes: Facebook Ireland Limited, Facebook INC, Facebook Belgium BVBA

Demandada: Gegevensbeschermingsautoriteit

Cuestiones prejudiciales

1)

¿Deben interpretarse los artículos [55, apartado 1], 56 a 58 y 60 a 66 del Reglamento n.o 2016/679, (1) de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en lo sucesivo, «RGPD»), en relación con los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, en el sentido de que una autoridad de control que, en virtud de la legislación nacional adoptada en ejecución del artículo [58, apartado 5], de dicho Reglamento, está facultada para iniciar acciones judiciales contra infracciones de este Reglamento ante un tribunal de su Estado miembro, no puede ejercitar tal facultad en relación con un tratamiento transfronterizo si no es la autoridad de control principal en materia de tratamiento transfronterizo?

2)

¿Tiene alguna incidencia en la respuesta a la anterior cuestión prejudicial si el responsable del tratamiento transfronterizo no tiene su establecimiento principal en ese Estado miembro, pero sí tiene otro establecimiento en el mismo?

3)

¿Tiene alguna incidencia en la respuesta a la primera cuestión prejudicial si la autoridad de control nacional inicia la acción judicial contra el establecimiento principal del responsable del tratamiento o contra el establecimiento en su propio Estado miembro?

4)

¿Tiene alguna incidencia en la respuesta a la primera cuestión prejudicial si la autoridad de control nacional ya inició acciones judiciales antes de la fecha en que este Reglamento resultó aplicable (25 de mayo de 2018)?

5)

En caso de respuesta afirmativa a la primera cuestión prejudicial, ¿tiene efecto directo el artículo [58, apartado 5], del RGPD, de modo que una autoridad de control nacional podrá invocar el citado artículo para iniciar o continuar un procedimiento judicial contra particulares, aun cuando el artículo [58, apartado 5], del RGPD no haya sido transpuesto específicamente a la legislación de los Estados miembros, pese a que se exige tal transposición?

6)

En caso de respuesta afirmativa a las anteriores cuestiones prejudiciales, ¿se opondría el resultado de tales procedimientos a la conclusión contraria de la autoridad de control principal en el caso de que la autoridad de control principal investigue las mismas actividades de tratamiento transfronterizo u otras similares de conformidad con el mecanismo establecido en los artículos 56 y 60 del RGPD?


(1)  DO 2016, L 119, p. 1

No hay comentarios:

Publicar un comentario