Facebook pierde el parapeto legal de Irlanda: la UE abre la puerta a que cada país abra procesos independientes contra la red social

El Abogado General de la Unión Europea, Michal Bobek, derriba uno de los parapetos legales en los que Facebook se ha amparado históricamente.

En unas conclusiones que se han difundido este miércoles a primera hora, el Abogado General detalla que las agencias de protección de datos de todos los países miembros de la Unión Europea pueden emprender acciones legales contra la red social en materia de tratamiento transfronterizo de datos, siempre y cuando se cumplan unas condiciones.

La normativa prevé que cuando un tratamiento de datos afecte a ciudadanos de varios países, la autoridad de datos "principal" que tiene que actuar es aquella en la que la compañía tenga su sede principal. En el caso de Facebook, la autoridad de protección de datos irlandesa. Pero esto, a juicio de Bobek, no es óbice para que otras autoridades puedan emprender acciones.

Facebook duda sobre la continuidad de su negocio en Europa si Irlanda prohíbe finalmente las transferencias de datos de sus usuarios a EEUU

Esto abre la puerta a que la Agencia Española de Protección de Datos (AEPD) pueda, por ejemplo, iniciar procedimientos legales si detecta que Facebook está ejerciendo en España un tratamiento de datos transfronterizo que vulnere el Reglamento de Protección de Datos europeo, el RGPD.

El pronunciamiento de Bobek responde a un caso que se remonta a 2015, cuando la autoridad de protección de datos de Bélgica abrió un procedimiento en este país contra varias sociedades de Facebook: entre ellas, Facebook Belgium BVBA, Facebook INC y Facebook Ireland Ltd —su sede principal en la Unión Europea—.

Con su demanda, la autoridad de protección de datos belga exigía a la red social que dejase de insertar sin permiso varias cookies en los dispositivos de sus usuarios belgas que accedían a páginas de la compañía o a terceras webs. También solicitó a la empresa que dejase de recopilar datos mediante plugins sociales y píxeles. También demandó a Facebook la destrucción de todos los datos recopilados en Bélgica con estos métodos hasta la fecha.

Facebook va a cerrar 3 de las sociedades irlandesas que ha estado utilizando para pagar menos impuestos

Ahora mismo el caso está en curso ante el Tribunal de Apelación de Bruselas, pero solo continúa contra Facebook Belgium. El propio tribunal asumió que no tenía competencias para abordar estas demandas ante Facebook Inc y Facebook Ireland Ltd. 

Ha sido así porque Facebook Belgium 'salvó' a sus filiales arguyendo que el RGPD prevé que la única autoridad de protección de datos que puede obrar contra Facebook Ireland sería la propia Comisión de Protección de Datos irlandesa, la DPC. El juzgado de Bruselas elevó esta cuestión al Tribunal de Justicia de la Unión Europea.

El TJUE todavía no se ha pronunciado, pero el Abogado General Michal Bobek sí. Bobek entiende que, según el RGPD, la autoridad de protección de datos "principal" tiene "una competencia general en el tratamiento transfronterizo de datos".

Facebook reserva 77 millones de euros en su filial irlandesa de WhatsApp para pagar posibles multas por protección de datos en Europa

Esta "autoridad de protección de datos principal" es un organismo que asume las competencias de incoar acciones contra Facebook, por ejemplo, cuando el tratamiento de datos que realiza afecta a ciudadanos de más de un estado miembro. Es uno de los principios del Reglamento de Protección de Datos: el de ventanilla única.

En ese sentido, el Abogado General también recuerda que este principio de ventanilla única se diseñó para evitar incertidumbre y conflictos entre los distintos organismos y agencias de protección de datos de los estados miembros, los ciudadanos y las compañías afectadas.

No obstante, Bobek matiza que esto no se traduce en que la autoridad de protección de datos principal sea "la única encargada de velar por el cumplimiento del RGPD en situaciones transfronterizas". Esta "debe cooperar con las demás autoridades" y el resto de autoridades nacionales, a su vez, "pueden ejercitar acciones judiciales ante los tribunales de su respectivo estado". 

Eso sí, las agencias nacionales pueden hacerlo bajo unos preceptos: cuando tales organismos actúen en un ámbito distinto al RGPD, cuando el tratamiento de datos transfronterizos lo ejerza una autoridad pública o por razones de interés público, cuando se trate de adoptar medidas urgentes o, por último, cuando la autoridad principal decida no tratar un caso.