El abogado general del Tribunal de Justicia de la Unión Europea ha dicho este miércoles que las autoridades nacionales de protección de datos pueden tomar acciones legales contra plataformas como Facebook aunque su sede principal se encuentre en otro Estado miembro, si bien ha limitado el ámbito de acción a cuatro supuestos y recordado que la 'ventana única' que creó el Reglamento General de Protección de Datos (RGPD) reserva la competencia general al país de la UE en donde se encuentre dicha sede principal.
En concreto, considera que pueden actuar cuando el caso se sitúe fuera del ámbito material del RGPD, si investigan tratamientos transfronterizos de datos por autoridades públicas, en interés público, en el ejercicio de poderes públicos o por responsables del tratamiento que no tengan un establecimiento en la Unión, cuando adopten medidas urgentes y, en último lugar, cuando intervengan como consecuencia de la decisión de la autoridad de protección de datos principal de no tratar un caso.
El dictamen del abogado general responde al caso que la Comisión de Protección de la Vida Privada en Bélgica inició hace varios años contra Facebook por recabar información general de los internautas mientras navegan en Internet, sin informarles de ello adecuadamente.
En 2018, un tribunal de primera instancia obligó a la compañía norteamericana, cuya sede europea se encuentra en Irlanda, a dejar de rastrear datos de sus usuarios belgas hasta cumplir con las reglas de protección de datos de la legislación nacional, aunque su decisión solo tendría efecto sobre Facebook Bélgica, al declararse el tribunal no competente para otras empresas del grupo.
La autoridad belga denunció a la compañía por recabar información sobre el comportamiento en la red no solo de los usuarios con perfil en Facebook sino de otros internautas
La autoridad belga denunció a la compañía de Mark Zuckerberg por recabar información sobre el comportamiento en la red no solo de los usuarios con perfil en Facebook sino de otros internautas, gracias a tecnologías como las 'cookies', los 'plug-in sociales (como los botones de 'Me Gusta' o 'Compartir') o los píxeles.
Ahora, el juez del Tribunal de Apelación que examina el recurso en Bruselas ha preguntado a la Justicia europea si el reglamento europeo impide a las autoridades nacionales de protección de datos de un Estado miembro distinto al que es sede principal de la compañía actuar contra posibles infracciones en el tratamiento transfronterizo de datos personales.
"Competencia general"
En las conclusiones, que no son vinculantes pero suelen marcar la línea en una gran mayoría de las sentencias del TUE, el abogado general Michal Bobek reconoce la "competencia general" de la autoridad de protección de datos "principal" en lo que se refiere al tratamiento transfronterizo de datos, incluida la competencia para emprender acciones legales por infracciones del RGPD.
Pero aclara también que ello implica que las demás autoridades de protección de datos interesadas tienen unas "facultades de actuación más limitadas a estos efectos".
En este sentido, considera que la autoridad de protección de datos principal no puede ser considerada la única encargada de velar por el cumplimiento del RGPD en situaciones transfronterizas y que debe cooperar estrechamente con las demás autoridades de protección de datos interesadas, cuya contribución es crucial en este ámbito.
El reglamento europeo permite que la autoridad de protección de datos de un Estado miembro ejercite acciones judiciales ante un tribunal de ese Estado en relación con un tratamiento transfronterizo de datos
Por ello, concluye en su dictamen el abogado general, el reglamento europeo permite que la autoridad de protección de datos de un Estado miembro ejercite acciones judiciales ante un tribunal de ese Estado en relación con un tratamiento transfronterizo de datos, aunque no sea la autoridad principal, siempre que lo haga en las situaciones en las que el RGPD le confiere competencia específica para ello.