I.
Hechos
En esta sentencia de la Gran Sala (LA LEY 68118/2021) el TJUE resuelve el tema de la intervención de las autoridades de control en los tratamientos de datos transfronterizos. En efecto, el litigio tiene como partes implicadas y por el motivo que a continuación se dirá a Facebook Ireland Ltd Ink (con sede en Irlanda, que es el responsable exclusivo de la recogida y del tratamiento de datos personales por parte de Facebook para todo el territorio de la Unión) a Facebook Belgium BVBA (que se creó, con carácter principal, para permitir a dicho grupo mantener relaciones con las instituciones de la Unión y, con carácter accesorio, para promocionar las actividades publicitarias y de marketing de dicho grupo destinadas a las personas residentes en Bélgica) y a Gegevensbeschermingsautoriteit (Autoridad de protección de datos de Bélgica, en adelante APD) cuyo presidente ejercita una acción de cesación que tiene por objeto el cese del tratamiento de datos personales de los internautas en Bélgica, efectuado por la red social en línea Facebook, mediante cookies, complementos sociales (social plug-ins) y píxeles.
II.
Cuestiones prejudiciales planteadas, argumentación del Tribunal y fallo
Una vez que la acción de cesación ejercitada por la APD belga llega al Tribunal de Apelación de Bruselas éste decide suspender el procedimiento y plantear al TJUE las cuestiones prejudiciales que vamos a examinar, que tienen por objeto la interpretación de los artículos 55, apartado 1 (LA LEY 6637/2016), 56 a (LA LEY 6637/2016)
58 (LA LEY 6637/2016) y 60 a (LA LEY 6637/2016)
66 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016) en relación con los artículos 7 (LA LEY 12415/2007), 8 (LA LEY 12415/2007) y 47 de la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007).
La primera cuestión prejudicial planteada tiene por objeto dilucidar si la autoridad de control nacional de un Estado miembro facultada para ejercitar acciones judiciales ante los tribunales de su Estado contra infracciones al RGPD (art. 58. 5 RGPD (LA LEY 6637/2016)) puede ejercitar esas mismas acciones en relación con un tratamiento transfronterizo si no es la autoridad de control principal respecto de ese tratamiento transfronterizo.
El Comité Europeo de Protección de Datos declaró en su dictamen 5/2019, de 12 de marzo de 2019, que el registro y la lectura de datos personales mediante cookies estaban comprendidos en el ámbito de aplicación de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002 (LA LEY 9590/2002), relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas; en cambio, todas las operaciones anteriores y las actividades posteriores de tratamiento de esos datos personales mediante otras tecnologías, que son a las que precisamente se refiere la demanda de cesación, sí están comprendidas en el ámbito de aplicación del Reglamento 2016/679 (LA LEY 6637/2016).
La demanda de cesación de la autoridad belga de control se refiere a un tratamiento de datos personales comprendido en el ámbito de aplicación del Reglamento 2016/679
Por tanto, la demanda de cesación de la autoridad belga de control se refiere a un tratamiento de datos personales comprendido en el ámbito de aplicación del Reglamento 2016/679 (LA LEY 6637/2016) que tiene carácter transfronterizo en el sentido del art. 4. 23) del RGPD (LA LEY 6637/2016). A este respecto el artículo 56, apartado 1, del RGPD establece para los «tratamientos transfronterizos» el mecanismo de «ventanilla única» que exige una cooperación leal y efectiva entre la autoridad de control principal y las demás autoridades de control interesadas de conformidad con el procedimiento previsto en el artículo 56, apartados 3 a 5, del Reglamento 2016/679 (LA LEY 6637/2016) del que resulta que la competencia para adoptar decisiones en las que se declare que ciertos tratamientos transfronterizos infringen las normas del RGPD corresponde por regla general a la autoridad de control principal y excepcionalmente a las demás autoridades de control que puedan resultar implicadas salvo que después de haber requerido la asistencia mutua de la autoridad de control principal, en virtud del artículo 61 del Reglamento 2016/679 (LA LEY 6637/2016), esta última no facilite la información solicitada a la autoridad de control solicitante. En el presente caso, la APD belga solicitó al Comisario de Protección de Datos irlandés, en abril de 2019, que diera curso a su solicitud lo más rápidamente posible, solicitud que al parecer quedó sin respuesta lo que legitima a la autoridad de control belga a ejercer la facultad que le reconoce el art. 58. 5 del RGPD (LA LEY 6637/2016) y ello, como se resuelve en la cuestión prejudicial segunda, aunque el responsable o encargado del tratamiento transfronterizo de datos personales contra el que se ejercite dicha acción no disponga de un establecimiento principal u otro establecimiento en el territorio de dicho Estado miembro.
Respecto a la tercera cuestión prejudicial planteada, el TJUE entiende que la acción del art. 58. 5 RGPD (LA LEY 6637/2016) puede ejercitarse por la autoridad de control, competente en los términos vistos (cfr. arts. 2 (LA LEY 6637/2016) y 3 RGPD (LA LEY 6637/2016)), aunque no sea la autoridad principal, contra el establecimiento principal del responsable del tratamiento que esté en el Estado de tal autoridad o contra otro establecimiento del mismo responsable aunque no sea el establecimiento principal siempre que la acción judicial tenga por objeto un tratamiento de datos efectuado en el contexto de las actividades del establecimiento contra el que se dirija la acción como sucede en este caso ya que las actividades del establecimiento del grupo Facebook situado en Bélgica (con carácter principal, permitir a dicho grupo mantener relaciones con las instituciones de la Unión y, con carácter accesorio, promocionar las actividades publicitarias y de marketing de dicho grupo destinadas a las personas residentes en Bélgica) están indisociablemente vinculadas al tratamiento de los datos personales de que se trata en el litigio principal, del que Facebook Ireland es el responsable en lo que se refiere al territorio de la Unión.
Respecto a la cuarta cuestión prejudicial planteada cabe responder que el artículo 58, apartado 5, del Reglamento 2016/679 (LA LEY 6637/2016) debe interpretarse en el sentido de que, cuando una autoridad de control de un Estado miembro ha ejercitado antes del 25 de mayo de 2018 una acción judicial cuyo objeto era un tratamiento transfronterizo de datos personales, esa acción puede mantenerse sobre la base de las disposiciones de la Directiva 95/46 (LA LEY 5793/1995), que sigue siendo aplicable en lo que se refiere a las infracciones de las normas que establece, cometidas hasta la fecha en que dicha Directiva fue derogada.
En cuanto a la quinta cuestión prejudicial, procede responder que el artículo 58, apartado 5, del Reglamento 2016/679 (LA LEY 6637/2016) debe interpretarse en el sentido de que esta disposición tiene efecto directo, de modo que una autoridad de control nacional puede invocarlo para ejercitar o retomar una acción contra particulares, aun cuando dicha disposición no se haya aplicado específicamente en la legislación del Estado miembro de que se trate siendo suficiente con que la autoridad de control tenga la posibilidad, con arreglo a la legislación nacional, de ejercitar dicha acción (cfr. artículo 288 TFUE (LA LEY 6/1957)).
Se planteó una sexta cuestión prejudicial que el TJUE rechazó por ser puramente hipotética.