Una autoridad nacional puede llevar a una red social a los tribunales
No es necesario que sea la Agencia de Protección de Datos de su país
Una autoridad nacional de control puede ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción del Reglamento General de Protección de Datos (RGPD), aunque no sea la autoridad de control principal en lo referente a ese tratamiento.
Así, lo recomienda el abogado general del Tribual de Justicia de la Unión Europea (TJUE), Michal Bobek, en sus conclusiones de 15 de junio de 2021, sobre tratamiento transfronterizo de datos, sobre un expediente abierto contra Facebook por la Comisión belga de protección de la vida privada.
Así, dado que las actividades del establecimiento del grupo Facebook situado en Bélgica están vinculadas a este tratamiento de los datos personales en litigio, de los que Facebook Ireland es el responsable en lo que se refiere al territorio de la Unión, este tratamiento se realiza “en el contexto de las actividades de un establecimiento del responsable” y, por tanto, está efectivamente comprendido en el ámbito de aplicación del RGPD.
Estima el Abogado General que el Tribunal de Justicia reconoce el efecto directo de la disposición del RGPD en virtud de la cual cada Estado miembro dispondrá por ley que su autoridad de control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones de ese Reglamento y, si procede, para iniciar o ejercitar de otro modo acciones judiciales. Por consiguiente, tal autoridad puede invocar dicha disposición para ejercitar o retomar una acción contra particulares, aun cuando dicha disposición no se haya aplicado específicamente en la legislación del Estado miembro de que se trate.
Explica el Abogado General que a facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de iniciar o ejercitar acciones judiciales puede ejercerse tanto con respecto al establecimiento principal del responsable del tratamiento que se encuentra en su Estado miembro como con respecto a otro establecimiento de ese responsable, siempre que
El requerido por tratamiento irregular puede ser la matriz europea de la plataforma
la acción judicial se refiera a un tratamiento de datos efectuado en el contexto de las actividades de ese establecimiento y que dicha autoridad tenga competencia para ejercer esa facultad.
El RGPD establece el mecanismo de ventanilla única, basado en un reparto de competencias entre una autoridad de control principal y las demás autoridades de control interesadas. Este mecanismo exige una cooperación estrecha, leal y efectiva entre estas autoridades, para garantizar una protección coherente y homogénea de las normas relativas a la protección de datos personales y preservar así su efecto útil, es conforme con los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la UE.