No todo queda en Irlanda: las agencias de protección de datos europeas podrán perseguir a las tecnológicas aunque la matriz no esté en su país

Mark Zuckerberg, fundador y CEO de Facebook.
Mark Zuckerberg, fundador y CEO de Facebook.
  • El principio de ventanilla única del RGPD hace que las agencias nacionales solo puedan perseguir infracciones sobre tratamientos de datos transfronterizos en el Estado de la UE en el que el infractor tenga a su responsable de datos.
  • Por esta razón, muchas investigaciones sobre Facebook las suele iniciar la Comisión de Protección de Datos irlandesa. Ahora, el TJUE abre la puerta a que otras agencias, como la española AEPD, puedan abrir sus procedimientos bajo algunas condiciones.
  • Descubre más historias en Business Insider España.

El Tribunal de Justicia de la Unión Europea (TJUE) ha sentenciado que las agencias de los países miembros podrán perseguir a las compañías infractoras del Reglamento General de Protección de Datos (RGPD) aunque estas empresas no tengan a su responsable de protección de datos en su territorio, siempre que se den una serie de condiciones.

Este martes se ha conocido el esperado fallo que nace a raíz de una demanda que interpuso la Comisión belga por la protección de la vida privada (CPVP), predecesora de la actual agencia de protección de datos de Bélgica. El procedimiento arrancó en 2015 al detectar el CVPV que Facebook recopilaba mediante cookies hábitos sobre el uso de internet de usuarios belgas, tuviesen estos cuentas o no en las plataformas de la multinacional (Facebook, Instagram o WhatsApp).

Facebook recurrió en 2018 la sanción del CVPV ante el Tribunal de Apelaciones de Bruselas, y la agencia de protección de datos belga actuó como la sucesora legal del propio CVPV. Sin embargo, el Tribunal de Apelaciones belga trasladó sus dudas al TJUE, ya que el RGPD plantea que hay dos tipos de organismos de protección de datos: los "principales" y los "interesados".

El RGPD, en concreto, plantea un modelo de "ventanilla única" para garantizar certidumbres jurídicas a las multinacionales tecnológicas. De este modo, solo las agencias de protección de datos "principales" son las que tienen la encomienda de perseguir las infracciones en un tratamiento de datos transfronterizo cuando la infractora tiene su matriz en su territorio.

Amazon afronta una propuesta de multa de 350 millones de euros por parte de la autoridad de protección de datos de Luxemburgo, la mayor sanción europea por vulnerar la privacidad

Al encontrarse la matriz europea de Facebook en Irlanda, la autoridad de protección de datos "principal" que le corresponde es la Comisión de Protección de Datos (CPD) irlandesa, que en más de una ocasión ha sido acusada por especialistas y activistas de toda Europa por dejación de funciones. De forma reciente, el CPD ha comenzado a intensificar sus acciones, precisamente contra Facebook.

Ahora, y siguiendo el planteamiento del Abogado General de la Unión Europea, que se conoció el pasado mes de enero, la Gran Sala del TJUE dictamina que las agencias de protección de datos nacionales pueden perseguir las infracciones del RPGD aunque el responsable de tratamiento de datos del infractor esté en otro estado miembro de la Unión.

En un comunicado, el TJUE aclara que se precisan "las facultades de las autoridades nacionales de control" en el marco del RGPD. "En determinadas condiciones, el Reglamento autoriza a una autoridad de control de un Estado miembro" a perseguir cualquier infracción de la norma, "y de iniciar o ejercitar acciones judiciales con respecto a un tratamiento de datos transfronterizo", "aunque no sea la autoridad de control principal".

El mecanismo de ventanilla única "exige una cooperación estrecha, leal y efectiva entre estas autoridades", para "garantizar una protección coherente y homogénea de las normas relativas a la protección de datos personales y preservar así su efecto útil".

Un "comportamiento extraño" en la red y más de 4 gigas de tráfico saliente: este escalofriante relato detalla cómo Quirón detectó y reaccionó ante un ciberataque con 'ransomware'

Si bien el RGPD establece que la autoridad de protección de datos principal es la encomendada para declarar que un tratamiento de datos transfronterizo incumple el RGPD y las decisiones de las demás autoridades nacionales constituyen "la excepción", el TJUE matiza que las autoridades principales "no pueden prescindir de un diálogo indispensable" con el resto.

"En el marco de esta cooperación, la autoridad de control principal no puede pasar por alto los criterios de las demás autoridades de control interesadas", incide.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.