La Gran Sala del Tribunal de Justicia de la Unión Europea (TJUE) sentenció este martes que las autoridades nacionales de control de datos pueden ejercer acciones en sus países contra eventuales infracciones transfronterizas cometidas por plataformas, aunque no sean las autoridades de control principal en la UE, que están en Irlanda.

El caso se refiere, en origen, a un litigio entre la Comisión belga de protección de la vida privada y Facebook.

En su sentencia de este martes, la corte con sede en Luxemburgo precisa así los requisitos para el ejercicio de las facultades de las autoridades nacionales de control con respecto al tratamiento transfronterizo de datos en aplicación del Reglamento General de Protección de Datos (RGPD).

En septiembre de 2015, la Comisión belga de protección de la vida privada (CPVP) ejercitó ante el Tribunal de Primera Instancia Neerlandófono de Bruselas una acción de cesación contra Facebook Ireland, Facebook Inc. y Facebook Belgium, destinada a poner fin a infracciones de la legislación en materia de protección de datos supuestamente cometidas por la empresa estadounidense.

Estas infracciones consistían, entre otras, en la recogida y utilización de información sobre los hábitos de navegación de los internautas belgas, poseedores o no de una cuenta Facebook, mediante diferentes tecnologías, como “cookies”, píxeles o el hecho de pulsar los botones “me gusta” o “compartir”.

Foto Freepik

En febrero de 2018, dicho órgano jurisdiccional se declaró competente para conocer de esa acción y, pronunciándose sobre el fondo del asunto, declaró que la red social Facebook no había informado suficientemente a los internautas belgas de la recogida y del uso de dicha información.

Además, no se consideró válido el consentimiento dado por los internautas para la recogida y el tratamiento de la información.

En marzo de 2018, Facebook Ireland, Facebook Inc. y Facebook Belgium interpusieron recurso de apelación contra esa sentencia ante el Tribunal de Apelación de Bruselas, órgano jurisdiccional remitente en este asunto al TJUE, que solo se declaró competente en el caso de la filial de Facebook en Bélgica.

Ese tribunal envió al TJUE unas cuestiones prejudiciales para resolver dudas sobre el concepto de “ventanilla única” incorporada al RGPD, en vigor desde mayo de 2018, y que señala a las autoridades irlandesas como competentes sobre el “control principal para el tratamiento transfronterizo” de datos en la UE.

En su sentencia, dictada por la Gran Sala, el TJUE Tribunal de Justicia precisa las facultades de las autoridades nacionales de control en el marco del RGPD.

Inicio de sesión en Facebook (Foto Pexels)

Aunque el RGPD establece el mecanismo de “ventanilla única”, basado en un reparto de competencias entre una “autoridad de control principal” y las demás nacionales, el TJUE recuerda este mecanismo exige “una cooperación estrecha, leal y efectiva” entre todas para garantizar una protección “coherente y homogénea de las normas relativas a la protección de datos personales y preservar así su efecto útil”.

En ese sentido añade que, aunque el Reglamento establece que la competencia de las autoridades nacionales en estos asuntos constituye la “excepción”, la autoridad de control principal “no puede prescindir de un diálogo indispensable y de una cooperación leal y efectiva con las demás autoridades de control interesadas.

Por ello, en el marco de esta cooperación, la autoridad de control principal “no puede pasar por alto los criterios de las demás autoridades de control” nacionales, y “toda objeción pertinente y motivada formulada por una de estas últimas autoridades tiene por efecto bloquear, al menos temporalmente, la adopción del proyecto de decisión de la autoridad de control principal”.

El TJUE aclara que en el caso de tratamiento de datos transfronterizo las autoridades nacionales pueden actuar contra una plataforma siempre que disponga de un establecimiento en el territorio de la Unión.

La corte también dispone que las autoridades nacionales pueden actuar en las infracciones de las normas cometidas hasta la fecha de la entrada en vigor del Reglamento, que establece la “ventanilla única”, y que cada autoridad puede invocar una disposición del RGPD que le faculta para “ejercitar o retomar” una acción.

Con información EFE