En septiembre de 2015, la autoridad de protección de datos belga inició un procedimiento ante los tribunales belgas contra varias empresas del grupo Facebook («Facebook»), a saber, Facebook INC, Facebook Ireland Ltd ―que es el establecimiento principal del grupo en la Unión Europea― y Facebook Belgium BVBA («Facebook Belgium»). En su demanda, la autoridad de protección de datos solicitó que se requiriera a Facebook para que dejase de insertar, sin el consentimiento de los usuarios de Internet establecidos en Bélgica, determinadas cookies en los dispositivos utilizados por estos cuando navegan por una página web en el dominio Facebook.com o cuando acaban en el sitio web de un tercero, así como para que dejase de recopilar datos de forma excesiva mediante social plug-ins (complementos sociales) y píxeles en sitios web de terceros. Además, solicitó la destrucción de todos los datos personales obtenidos mediante cookies y social plug-ins relativos a cada usuario de Internet establecido en el territorio belga.
El procedimiento en cuestión está en estos momentos en tramitación ante el Hof van beroep te Brussel (Tribunal de Apelación de Bruselas, Bélgica), aunque su ámbito ha quedado restringido a Facebook Belgium, ya que dicho tribunal determinó previamente que carece de competencia para conocer de las pretensiones formuladas frente a Facebook INC y Facebook Ireland Ltd. En este contexto, Facebook Belgium sostiene que, desde que es aplicable el Reglamento General de Protección de datos («RGPD»), 1 la autoridad de protección de datos belga dejó de ser competente para continuar con el procedimiento judicial en cuestión contra Facebook. Afirma que, en virtud del RGPD, la única autoridad de protección de datos facultada para incoar un procedimiento contra Facebook por infracciones del RGPD en relación con el tratamiento transfronterizo de datos es la autoridad de protección de datos del Estado en el que está situado el establecimiento principal de Facebook (la denominada autoridad de protección de datos principal en la Unión con respecto a Facebook), es decir, la Data Protection Commission irlandesa.
En estas circunstancias, el Hof van beroep te Brussel pregunta al Tribunal de Justicia si el RGPD impide realmente que una autoridad nacional de protección de datos distinta de la autoridad de protección de datos principal entable un procedimiento judicial en su Estado miembro por infracciones de dicho Reglamento en relación con un tratamiento transfronterizo de datos.
En sus conclusiones presentadas hoy, el Abogado General Michal Bobek considera, en primer lugar, que de la redacción 2 del RGPD se desprende que la autoridad de protección de datos principal tiene una competencia general en el tratamiento transfronterizo de datos, incluyendo la competencia para ejercitar acciones judiciales por infracciones del RGPD, lo que implica que las demás autoridades de protección de datos interesadas tienen unas facultades de actuación más limitadas a estos efectos.
En cuanto al hecho de que el RGPD confiera a todas las autoridades de protección de datos la facultad de ejercitar acciones judiciales por eventuales infracciones que afecten a sus territorios, el Abogado General expone que esta facultad está expresamente restringida en lo que atañe al tratamiento transfronterizo de datos, precisamente para permitir que la autoridad de protección de datos principal ejerza sus funciones a este respecto.
En segundo lugar, el Abogado General recuerda que el motivo por el que se introdujo el mecanismo de ventanilla única establecido en el RGPD, que ha otorgado un papel preeminente a la autoridad de protección de datos principal y ha establecido mecanismos de cooperación para hacer partícipes a otras autoridades de protección de datos, fue precisamente resolver algunas deficiencias derivadas de la normativa anterior. 3 En efecto, los operadores económicos estaban obligados a cumplir toda una serie de disposiciones nacionales de transposición de dicha normativa y, al mismo tiempo, a interactuar con todas las autoridades nacionales de protección de datos, lo que les resultaba costoso, oneroso y lento, además de constituir una fuente inevitable de incertidumbre y de conflictos para ellos y sus clientes.
En cuanto a las alegaciones relativas al acceso a los tribunales de los interesados afectados, el Abogado General recalca que estos interesados pueden ejercitar acciones judiciales directamente contra los responsables o encargados del tratamiento ante, entre otros, los órganos jurisdiccionales del Estado miembro de su residencia. Además, el Abogado General señala que los interesados pueden presentar una reclamación ante la autoridad de protección de datos de su Estado miembro, incluso cuando la autoridad de protección de datos principal sea la autoridad de protección de datos de otro Estado miembro. Si la reclamación es rechazada, la decisión correspondiente será adoptada y notificada al interesado por la autoridad de su Estado miembro, lo que posibilita que el interesado impugne dicha decisión ante los tribunales del Estado de su residencia.
En tercer lugar, el Abogado General subraya que la autoridad de protección de datos principal no puede ser considerada la única encargada de velar por el cumplimiento del RGPD en situaciones transfronterizas y que, en virtud de las disposiciones pertinentes del RGPD y de los plazos establecidos en este, debe cooperar estrechamente con las demás autoridades de protección de datos interesadas, cuya contribución es crucial en este ámbito.
En cuarto lugar, el Abogado General destaca que las autoridades nacionales de protección de datos, incluso cuando no actúen como autoridad principal, pueden ejercitar acciones judiciales ante los tribunales de su respectivo Estado miembro en caso de tratamiento transfronterizo de datos en varias situaciones. Estas son, en particular, las siguientes: en primer lugar, cuando las autoridades nacionales de protección de datos actúen fuera del ámbito material del RGPD; en segundo lugar, cuando investiguen tratamientos transfronterizos de datos efectuados por autoridades públicas, en interés público, en el ejercicio de poderes públicos o por responsables del tratamiento que no tengan un establecimiento en la Unión; en tercer lugar, cuando adopten medidas urgentes, y, en cuarto lugar, cuando intervengan como consecuencia de la decisión de la autoridad de protección de datos principal de no tratar un caso.
En estas circunstancias, el Abogado General considera que el RGPD permite que la autoridad de protección de datos de un Estado miembro ejercite acciones judiciales ante un tribunal de ese Estado por una supuesta infracción del RGPD en relación con un tratamiento transfronterizo de datos, aunque no sea la autoridad de protección de datos principal encargada con carácter general de entablar tal procedimiento, siempre que lo haga en las situaciones en las que el RGPD le confiere competencia específica para ello y con arreglo a los correspondientes procedimientos establecidos en dicho RGPD.
