NOTA IMPORTANTE: El delito informático está severamente castigado por la ley. Esta página no promueve el delito informático, es divulgativa y muestra los mecanismos que utilizan los cibercriminales para poder identificar el ataque si has sido victima de uno de ellos. En el caso de que hayas sido victima de un ataque te recomendamos que busques recursos legales en la sección Cibercrime Law o en la página del Instituto Nacional de Ciberseguridad: https://www.incibe.es/

Cibercrime Law

Abogado general emite opinión sobre la ventanilla única de GDPR

El 13 de enero de 2021, el Abogado General (“AG”) Michal Bobek del Tribunal de Justicia de la Unión Europea (“TJUE”) emitió su Opinión en el asunto C-645/19 de Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA contra la Autoridad de Protección de Datos de Bélgica (“DPA belga”).

Fondo

La DPA belga inició procedimientos judiciales contra varios miembros del grupo de Facebook ante los tribunales belgas en septiembre de 2015. La DPA belga solicitó al Tribunal que ordenara a Facebook que dejara de colocar cookies en los dispositivos de los usuarios de Internet sin su consentimiento y que dejara de recopilar datos de forma presuntamente excesiva. manera cuando navegan por una página web en el dominio Facebook.com o en sitios web de terceros, incluso a través de complementos sociales y píxeles de Facebook. El procedimiento, que todavía está en curso ante el Tribunal de Apelación de Bruselas, se limitó a Facebook Belgium BVBA después de que el Tribunal de Apelación de Bruselas estableciera previamente que no tenía jurisdicción sobre Facebook Inc. y Facebook Ireland Ltd.

Facebook había afirmado que con la entrada en vigor del Reglamento General de Protección de Datos (“GDPR”) en mayo de 2018, la DPA belga no tenía competencia para continuar los procedimientos judiciales por infracciones del GDPR en relación con el procesamiento de datos transfronterizos. Según Facebook, la DPA competente en este caso es la DPA del principal establecimiento de Facebook en la UE, la DPA irlandesa (es decir el llamado “DPA líder”).

En este contexto, el Tribunal de Apelación de Bruselas remitió una serie de preguntas al TJUE destinadas a aclarar si el régimen de ventanilla única del RGPD impide que una APD nacional (que no sea la APD principal) inicie procedimientos judiciales en su Estado miembro contra infracciones del RGPD con respecto al procesamiento de datos transfronterizos.

Opinión AG

En su opinión, el AG aborda varios puntos:

  • Según el RGPD, el DPA principal tiene competencia general sobre el procesamiento de datos transfronterizos, incluida la competencia para iniciar procedimientos judiciales por infracciones del RGPD. Las APD afectadas tienen un poder más limitado para actuar a ese respecto. Si bien cualquier DPA tiene la facultad de iniciar procedimientos contra posibles infracciones que afecten a sus territorios, esta facultad es limitada con respecto al procesamiento de datos transfronterizos para permitir que la DPA principal ejerza su función reguladora a este respecto.
  • El objetivo del mecanismo de ventanilla única del RGPD, que establece un mecanismo de cooperación y otorga a la APD principal un papel importante, era abordar las deficiencias de la Directiva de protección de datos, que requería que las empresas cumplieran con varios conjuntos de normas nacionales y servir de enlace con las APD de todos los Estados miembros de la UE. Esto era costoso, oneroso y requería mucho tiempo, y corría el riesgo de que las APD individuales adoptaran diferentes enfoques con respecto a las actividades de procesamiento de datos transfronterizos. Según el AG, un enfoque textual, teleológico e histórico de la interpretación del GDPR confirma que las DPA están obligadas a seguir las reglas sobre competencia y los mecanismos de cooperación y coherencia establecidos en el GDPR.
  • En cuanto a los argumentos relacionados con el acceso de los interesados ​​a los tribunales, el AG señala que los interesados ​​pueden entablar acciones directamente contra los responsables del tratamiento o los encargados del tratamiento ante los tribunales del Estado miembro en el que residen. También pueden presentar una reclamación ante la DPA de su Estado miembro, incluso si la DPA principal se encuentra en otro Estado miembro.
  • El AG enfatiza que el DPA principal no puede considerarse el único ejecutor del GDPR en situaciones transfronterizas y debe cooperar estrechamente con otros DPA involucrados, de acuerdo con las reglas relevantes establecidas en el GDPR.
  • El AG finalmente indica que las APD nacionales que no actúan como las APD principal pueden, no obstante, entablar acciones ante los tribunales nacionales cuando (1) actúan fuera del alcance material del GDPR (por ejemplo, porque el procesamiento no involucra datos personales, que puede ser el caso en el contexto del uso de cookies); (2) investigar el procesamiento transfronterizo de datos llevado a cabo por autoridades públicas, en interés público, en el ejercicio de la autoridad oficial o por controladores no establecidos en la UE; (3) adoptar medidas urgentes en situaciones previstas por el artículo 66 del RGPD; o (4) intervenir después de una decisión del DPA principal de no manejar un caso. Efectivamente, la opinión del AG es que el GDPR no incluye una prohibición general para que otras DPA, incluidas las DPA interesadas, inicien procedimientos contra posibles infracciones de las reglas de protección de datos.

En consecuencia, el AG considera que el GDPR permite al DPA de un Estado miembro que no es el DPA principal de una empresa para iniciar acciones contra esa empresa ante su tribunal nacional por una presunta infracción del GDPR con respecto al procesamiento transfronterizo de datos. pero solo en situaciones en las que el RGPD lo permita específicamente y siempre que siga los procedimientos adecuados establecidos en el RGPD.

Próximos pasos

El TJUE comenzará ahora su deliberación y se espera la sentencia definitiva en los próximos meses. Aunque el TJUE tendrá en cuenta la opinión del Fiscal General, no es jurídicamente vinculante para el Tribunal. Una vez que el TJUE haya emitido una sentencia definitiva, el Tribunal de Apelación de Bélgica decidirá el caso de conformidad con la sentencia del TJUE.

Leer el texto completo de la Opinión del Abogado General.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar