Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62019CJ0645

    Sentencia del Tribunal de Justicia (Gran Sala) de 15 de junio de 2021.
    Facebook Ireland Ltd y otros contra Gegevensbeschermingsautoriteit.
    Petición de decisión prejudicial planteada por el Hof van beroep te Brussel.
    Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8 y 47 — Reglamento (UE) 2016/679 — Tratamiento transfronterizo de datos personales — Mecanismo de “ventanilla única” — Cooperación leal y efectiva entre las autoridades de control — Competencias y poderes — Facultad de iniciar o ejercitar acciones judiciales.
    Asunto C-645/19.

    ECLI identifier: ECLI:EU:C:2021:483

     SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

    de 15 de junio de 2021 ( *1 )

    «Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8 y 47 — Reglamento (UE) 2016/679 — Tratamiento transfronterizo de datos personales — Mecanismo de “ventanilla única” — Cooperación leal y efectiva entre las autoridades de control — Competencias y poderes — Facultad de iniciar o ejercitar acciones judiciales»

    En el asunto C‑645/19,

    que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el hof van beroep te Brussel (Tribunal de Apelación de Bruselas, Bélgica), mediante resolución de 8 de mayo de 2019, recibida en el Tribunal de Justicia el 30 de agosto de 2019, en el procedimiento entre

    Facebook Ireland Ltd,

    Facebook Inc.,

    Facebook Belgium BVBA

    y

    Gegevensbeschermingsautoriteit,

    EL TRIBUNAL DE JUSTICIA (Gran Sala),

    integrado por el Sr. K. Lenaerts, Presidente, la Sra. R. Silva de Lapuerta, Vicepresidenta, el Sr. A. Arabadjiev, la Sra. A. Prechal y los Sres. M. Vilaras, M. Ilešič y N. Wahl, Presidentes de Sala, y los Sres. E. Juhász, D. Šváby, S. Rodin y F. Biltgen, la Sra. K. Jürimäe, los Sres. C. Lycourgos y P. G. Xuereb y la Sra. L. S. Rossi (Ponente), Jueces;

    Abogado General: Sr. M. Bobek;

    Secretaria: Sra. M. Ferreira, administradora principal;

    habiendo considerado los escritos obrantes en autos y celebrada la vista el 5 de octubre de 2020;

    consideradas las observaciones presentadas:

    en nombre de Facebook Ireland Ltd, Facebook Inc. y Facebook Belgium BVBA, por los Sres. S. Raes, P. Lefebvre y D. Van Liedekerke, advocaten;

    en nombre de la Gegevensbeschermingsautoriteit, por los Sres. F. Debusseré y R. Roex, advocaten;

    en nombre del Gobierno belga, por los Sres. J.‑C. Halleux y P. Cottin y por la Sra. C. Pochet, en calidad de agentes, asistidos por el Sr. P. Paepe, advocaat;

    en nombre del Gobierno checo, por los Sres. M. Smolek, O. Serdula y J. Vláčil, en calidad de agentes;

    en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por la Sra. G. Natale, avvocato dello Stato;

    en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;

    en nombre del Gobierno portugués, por el Sr. L. Inez Fernandes y las Sras. C. Guerra, P. Barros da Costa y L. Medeiros, en calidad de agentes;

    en nombre del Gobierno finlandés, por las Sras. A. Laine y M. Pere, en calidad de agentes;

    en nombre de la Comisión Europea, por los Sres. H. Kranenborg, D. Nardi y P. J. O. Van Nuffel, en calidad de agentes;

    oídas las conclusiones del Abogado General, presentadas en audiencia pública el 13 de enero de 2021;

    dicta la siguiente

    Sentencia

    1

    La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 55, apartado 1, 56 a 58 y 60 a 66 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2018, L 127, p. 3), en relación con los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).

    2

    Esta petición se ha presentado en el contexto de un litigio entre, por una parte, Facebook Ireland Ltd, Facebook Inc. y Facebook Belgium BVBA y, por otra, la Gegevensbeschermingsautoriteit (Autoridad de Protección de Datos, Bélgica; en lo sucesivo, «APD»), sucesora de la Commissie ter bescherming van de persoonlijke levenssfeer (Comisión de Protección de la Vida Privada, Bélgica; en lo sucesivo, «CPVP»), en relación con una acción de cesación ejercitada por el presidente de esta última y que tiene por objeto el cese del tratamiento de datos personales de los internautas en Bélgica, efectuado por la red social en línea Facebook, mediante cookies, complementos sociales (social plug-ins) y píxeles.

    Marco jurídico

    Derecho de la Unión

    3

    Los considerandos 1, 4, 10, 11, 13, 22, 123, 141 y 145 del Reglamento 2016/679 tienen el siguiente tenor:

    «(1)

    La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la [Carta] y el artículo 16 [TFUE], apartado 1, […] establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

    […]

    (4)

    El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística.

    […]

    (10)

    Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión [Europea], el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea […].

    (11)

    La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y las infracciones se castiguen con sanciones equivalentes.

    […]

    (13)

    Para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos, incluidas las microempresas y las pequeñas y medianas empresas, y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros […].

    […]

    (22)

    Todo tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de que el tratamiento tenga lugar en la Unión. Un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto.

    […]

    (123)

    A fin de proteger a las personas físicas con respecto al tratamiento de sus datos personales y de facilitar la libre circulación de los datos personales en el mercado interior, las autoridades de control deben supervisar la aplicación de las disposiciones adoptadas de conformidad con el presente Reglamento y contribuir a su aplicación coherente en toda la Unión. A tal efecto, las autoridades de control deben cooperar entre ellas y con la Comisión, sin necesidad de acuerdo alguno entre Estados miembros sobre la prestación de asistencia mutua ni sobre dicha cooperación.

    […]

    (141)

    Todo interesado debe tener derecho a presentar una reclamación ante una autoridad de control única, en particular en el Estado miembro de su residencia habitual, y derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la Carta si considera que se vulneran sus derechos con arreglo al presente Reglamento o en caso de que la autoridad de control no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado […].

    […]

    (145)

    Por lo que respecta a las acciones contra los responsables o encargados del tratamiento, el reclamante debe tener la opción de ejercitarlas ante los tribunales de los Estados miembros en los que el responsable o el encargado tenga un establecimiento o resida el interesado, a menos que el responsable sea una autoridad pública de un Estado miembro que actúe en el ejercicio de poderes públicos.»

    4

    El artículo 3 de este Reglamento, titulado «Ámbito territorial», establece lo siguiente en su apartado 1:

    «El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.»

    5

    El artículo 4 de dicho Reglamento define, en su punto 16, el concepto de «establecimiento principal» y, en su punto 23, el de «tratamiento transfronterizo» del siguiente modo:

    «16) “establecimiento principal”:

    a)

    en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;

    b)

    en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;

    […]

    23) “tratamiento transfronterizo”:

    a)

    el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

    b)

    el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro».

    6

    El artículo 51 del mismo Reglamento, titulado «Autoridad de control», establece:

    «1.   Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes […] supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.

    2.   Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión con arreglo a lo dispuesto en el capítulo VII.

    […]»

    7

    El artículo 55 del Reglamento 2016/679, titulado «Competencia», que forma parte del capítulo VI de este Reglamento, titulado a su vez «Autoridades de control independientes», dispone:

    «1.   Cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el presente Reglamento en el territorio de su Estado miembro.

    2.   Cuando el tratamiento sea efectuado por autoridades públicas o por organismos privados que actúen con arreglo al artículo 6, apartado 1, letras c) o e), será competente la autoridad de control del Estado miembro de que se trate. No será aplicable en tales casos el artículo 56.

    […]»

    8

    El artículo 56 de dicho Reglamento, titulado «Competencia de la autoridad de control principal», preceptúa:

    «1.   Sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado con arreglo al procedimiento establecido en el artículo 60.

    2.   No obstante lo dispuesto en el apartado 1, cada autoridad de control será competente para tratar una reclamación que le sea presentada o una posible infracción del presente Reglamento, en caso de que se refiera únicamente a un establecimiento situado en su Estado miembro o únicamente afecte de manera sustancial a interesados en su Estado miembro.

    3.   En los casos a que se refiere el apartado 2 del presente artículo, la autoridad de control informará sin dilación al respecto a la autoridad de control principal. En el plazo de tres semanas después de haber sido informada, la autoridad de control principal decidirá si tratará o no el caso de conformidad con el procedimiento establecido en el artículo 60, teniendo presente si existe un establecimiento del responsable o encargado del tratamiento en el Estado miembro de la autoridad de control que le haya informado.

    4.   En caso de que la autoridad de control principal decida tratar el caso, se aplicará el procedimiento establecido en el artículo 60. La autoridad de control que haya informado a la autoridad de control principal podrá presentarle un proyecto de decisión. La autoridad de control principal tendrá en cuenta en la mayor medida posible dicho proyecto al preparar el proyecto de decisión a que se refiere el artículo 60, apartado 3.

    5.   En caso de que la autoridad de control principal decida no tratar el caso, la autoridad de control que le haya informado lo tratará con arreglo a los artículos 61 y 62.

    6.   La autoridad de control principal será el único interlocutor del responsable o del encargado en relación con el tratamiento transfronterizo realizado por dicho responsable o encargado.»

    9

    El artículo 57 del Reglamento 2016/679, titulado «Funciones», establece, en su apartado 1, lo siguiente:

    «Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio:

    a)

    controlar la aplicación del presente Reglamento y hacerlo aplicar;

    […]

    g)

    cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento;

    […]».

    10

    El artículo 58 del mismo Reglamento, titulado «Poderes», en sus apartados 1, 4 y 5, establece:

    «1.   Cada autoridad de control dispondrá de todos los poderes de investigación indicados a continuación:

    a)

    ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones;

    […]

    d)

    notificar al responsable o al encargado del tratamiento las presuntas infracciones del presente Reglamento;

    […]

    4.   El ejercicio de los poderes conferidos a la autoridad de control en virtud del presente artículo estará sujeto a las garantías adecuadas, incluida la tutela judicial efectiva y al respeto de las garantías procesales, establecidas en el Derecho de la Unión y de los Estados miembros de conformidad con la Carta.

    5.   Cada Estado miembro dispondrá por ley que su autoridad de control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y, si procede, para iniciar o ejercitar de otro modo acciones judiciales, con el fin de hacer cumplir lo dispuesto en el mismo.»

    11

    En el capítulo VII del Reglamento 2016/679, titulado «Cooperación y coherencia», la sección 1, con el título «[Cooperación]», incluye los artículos 60 a 62 de este Reglamento. El artículo 60, titulado «Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas», dispone:

    «1.   La autoridad de control principal cooperará con las demás autoridades de control interesadas de acuerdo con el presente artículo, esforzándose por llegar a un consenso. La autoridad de control principal y las autoridades de control interesadas se intercambiarán toda información pertinente.

    2.   La autoridad de control principal podrá solicitar en cualquier momento a otras autoridades de control interesadas que presten asistencia mutua con arreglo al artículo 61, y podrá llevar a cabo operaciones conjuntas con arreglo al artículo 62, en particular para realizar investigaciones o supervisar la aplicación de una medida relativa a un responsable o un encargado del tratamiento establecido en otro Estado miembro.

    3.   La autoridad de control principal comunicará sin dilación a las demás autoridades de control interesadas la información pertinente a este respecto. Transmitirá sin dilación un proyecto de decisión a las demás autoridades de control interesadas para obtener su dictamen al respecto y tendrá debidamente en cuenta sus puntos de vista.

    4.   En caso de que cualquiera de las autoridades de control interesadas formule una objeción pertinente y motivada acerca del proyecto de decisión en un plazo de cuatro semanas a partir de la consulta con arreglo al apartado 3 del presente artículo, la autoridad de control principal someterá el asunto, en caso de que no siga lo indicado en la objeción pertinente y motivada o estime que dicha objeción no es pertinente o no está motivada, al mecanismo de coherencia contemplado en el artículo 63.

    5.   En caso de que la autoridad de control principal prevea seguir lo indicado en la objeción pertinente y motivada recibida, presentará a dictamen de las demás autoridades de control interesadas un proyecto de decisión revisado. Dicho proyecto de decisión revisado se someterá al procedimiento indicado en el apartado 4 en un plazo de dos semanas.

    6.   En caso de que ninguna otra autoridad de control interesada haya presentado objeciones al proyecto de decisión transmitido por la autoridad de control principal en el plazo indicado en los apartados 4 y 5, se considerará que la autoridad de control principal y las autoridades de control interesadas están de acuerdo con dicho proyecto de decisión y estarán vinculadas por este.

    7.   La autoridad de control principal adoptará y notificará la decisión al establecimiento principal o al establecimiento único del responsable o el encargado del tratamiento, según proceda, e informará de la decisión a las autoridades de control interesadas y al Comité [Europeo de Protección de Datos], incluyendo un resumen de los hechos pertinentes y la motivación. La autoridad de control ante la que se haya presentado una reclamación informará de la decisión al reclamante.

    8.   No obstante lo dispuesto en el apartado 7, cuando se desestime o rechace una reclamación, la autoridad de control ante la que se haya presentado adoptará la decisión, la notificará al reclamante e informará de ello al responsable del tratamiento.

    9.   En caso de que la autoridad de control principal y las autoridades de control interesadas acuerden desestimar o rechazar determinadas partes de una reclamación y atender otras partes de ella, se adoptará una decisión separada para cada una de esas partes del asunto […].

    10.   Tras recibir la notificación de la decisión de la autoridad de control principal con arreglo a los apartados 7 y 9, el responsable o el encargado del tratamiento adoptará las medidas necesarias para garantizar el cumplimiento de la decisión en lo tocante a las actividades de tratamiento en el contexto de todos sus establecimientos en la Unión. El responsable o el encargado notificarán las medidas adoptadas para dar cumplimiento a dicha decisión a la autoridad de control principal, que a su vez informará a las autoridades de control interesadas.

    11.   En circunstancias excepcionales, cuando una autoridad de control interesada tenga motivos para considerar que es urgente intervenir para proteger los intereses de los interesados, se aplicará el procedimiento de urgencia a que se refiere el artículo 66.

    […]»

    12

    El artículo 61 de dicho Reglamento, titulado «Asistencia mutua», preceptúa en su apartado 1:

    «Las autoridades de control se facilitarán información útil y se prestarán asistencia mutua a fin de aplicar el presente Reglamento de manera coherente, y tomarán medidas para asegurar una efectiva cooperación entre ellas. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, como las solicitudes para llevar a cabo autorizaciones y consultas previas, inspecciones e investigaciones.»

    13

    El artículo 62 del mismo Reglamento, titulado «Operaciones conjuntas de las autoridades de control», establece lo siguiente:

    «1.   Las autoridades de control realizarán, en su caso, operaciones conjuntas, incluidas investigaciones conjuntas y medidas de ejecución conjuntas, en las que participen miembros o personal de las autoridades de control de otros Estados miembros.

    2.   Si el responsable o el encargado del tratamiento tiene establecimientos en varios Estados miembros o si es probable que un número significativo de interesados en más de un Estado miembro se vean sustancialmente afectados por las operaciones de tratamiento, una autoridad de control de cada uno de esos Estados miembros tendrá derecho a participar en operaciones conjuntas […].

    […]»

    14

    La sección 2, titulada «Coherencia», del capítulo VII del Reglamento 2016/679 incluye los artículos 63 a 67 de este Reglamento. El artículo 63, que lleva por título «Mecanismo de coherencia», está redactado en los siguientes términos:

    «A fin de contribuir a la aplicación coherente del presente Reglamento en toda la Unión, las autoridades de control cooperarán entre sí y, en su caso, con la Comisión, en el marco del mecanismo de coherencia establecido en la presente sección.»

    15

    Según el artículo 64, apartado 2, de dicho Reglamento:

    «Cualquier autoridad de control, el presidente del Comité [Europeo de Protección de Datos] o la Comisión podrán solicitar que cualquier asunto de aplicación general o que surta efecto en más de un Estado miembro sea examinado por el Comité [Europeo de Protección de Datos] a efectos de dictamen, en particular cuando una autoridad de control competente incumpla las obligaciones relativas a la asistencia mutua con arreglo al artículo 61 o las operaciones conjuntas con arreglo al artículo 62.»

    16

    El artículo 65 del mismo Reglamento, titulado «Resolución de conflictos por el Comité», establece en su apartado 1:

    «Con el fin de garantizar una aplicación correcta y coherente del presente Reglamento en casos concretos, el Comité [Europeo de Protección de Datos] adoptará una decisión vinculante en los siguientes casos:

    a)

    cuando, en un caso mencionado en el artículo 60, apartado 4, una autoridad de control interesada haya manifestado una objeción pertinente y motivada a un proyecto de decisión de la autoridad de control principal y esta no haya seguido la objeción o haya rechazado dicha objeción por no ser pertinente o no estar motivada. La decisión vinculante afectará a todos los asuntos a que se refiera la objeción pertinente y motivada, en particular si hay infracción del presente Reglamento;

    b)

    cuando haya puntos de vista enfrentados sobre cuál de las autoridades de control interesadas es competente para el establecimiento principal;

    […]».

    17

    El artículo 66 del Reglamento 2016/679, titulado «Procedimiento de urgencia», dispone lo siguiente en sus apartados 1 y 2:

    «1.   En circunstancias excepcionales, cuando una autoridad de control interesada considere que es urgente intervenir para proteger los derechos y las libertades de interesados, podrá, como excepción al mecanismo de coherencia contemplado en los artículos 63, 64 y 65, o al procedimiento mencionado en el artículo 60, adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio, con un período de validez determinado que no podrá ser superior a tres meses. La autoridad de control comunicará sin dilación dichas medidas, junto con los motivos de su adopción, a las demás autoridades de control interesadas, al Comité [Europeo de Protección de Datos] y a la Comisión.

    2.   Cuando una autoridad de control haya adoptado una medida de conformidad con el apartado 1, y considere que deben adoptarse urgentemente medidas definitivas, podrá solicitar con carácter urgente un dictamen o una decisión vinculante urgente del Comité [Europeo de Protección de Datos], motivando dicha solicitud de dictamen o decisión.»

    18

    El artículo 77 de este Reglamento, titulado «Derecho a presentar una reclamación ante una autoridad de control», tiene el siguiente tenor:

    «1.   Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.

    2.   La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78.»

    19

    El artículo 78 de dicho Reglamento, titulado «Derecho a la tutela judicial efectiva contra una autoridad de control», dispone:

    «1.   Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.

    2.   Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77.

    3.   Las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que esté establecida la autoridad de control.

    4.   Cuando se ejerciten acciones contra una decisión de una autoridad de control que haya sido precedida de un dictamen o una decisión del Comité [Europeo de Protección de Datos] en el marco del mecanismo de coherencia, la autoridad de control remitirá al tribunal dicho dictamen o decisión.»

    20

    El artículo 79 del mismo Reglamento, titulado «Derecho a la tutela judicial efectiva contra un responsable o un encargado del tratamiento», establece:

    «1.   Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.

    2.   Las acciones contra un responsable o encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos.»

    Derecho belga

    21

    La wet tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens (Ley de Protección de la Intimidad en relación con el Tratamiento de Datos Personales), de 8 de diciembre de 1992 (Belgisch Staatsblad, 18 de marzo de 1993, p. 5801), en su versión modificada por la Ley de 11 de diciembre de 1998 (Belgisch Staatsblad, 3 de febrero de 1999, p. 3049) (en lo sucesivo, «Ley de 8 de diciembre de 1992»), transpuso al Derecho belga la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

    22

    La Ley de 8 de diciembre de 1992 creó la CPVP, organismo independiente que tiene por misión velar por que los datos personales se traten de conformidad con dicha Ley, con el fin de preservar la intimidad de los ciudadanos.

    23

    El artículo 32, apartado 3, de la Ley de 8 de diciembre de 1992 disponía lo siguiente:

    «Sin perjuicio de la competencia de los juzgados y tribunales ordinarios para la aplicación de los principios generales de protección de la intimidad, el presidente de la [CPVP] podrá someter al juzgado de primera instancia cualquier controversia relativa a la aplicación de la presente Ley y sus medidas de ejecución.»

    24

    La wet tot oprichting van de Gegevensbeschermingsautoriteit (Ley por la que se constituye la Autoridad de Protección de Datos), de 3 de diciembre de 2017 (Belgisch Staatsblad, 10 de enero de 2018, p. 989; en lo sucesivo, «Ley de 3 de diciembre de 2017»), que entró en vigor el 25 de mayo de 2018, estableció la APD como autoridad de control en el sentido del Reglamento 2016/679.

    25

    El artículo 3 de la Ley de 3 de diciembre de 2017 dispone:

    «Se crea en la Cámara de Representantes una “Autoridad de Protección de Datos”. Esta Autoridad sucederá a la [CPVP]».

    26

    El artículo 6 de la Ley de 3 de diciembre de 2017 establece:

    «La [APD] estará facultada para poner en conocimiento de las autoridades judiciales las violaciones de los principios básicos de protección de los datos personales, en el marco de la presente Ley y de las leyes que contengan disposiciones en materia de protección del tratamiento de datos personales y, cuando proceda, para ejercitar acciones judiciales con el fin de hacer cumplir dichos principios básicos.»

    27

    No se prevé ninguna disposición específica para los procedimientos judiciales ya iniciados por el presidente de la CPVP a 25 de mayo de 2018 sobre la base del artículo 32, apartado 3, de la Ley de 8 de diciembre de 1992. Por lo que respecta únicamente a las reclamaciones o solicitudes presentadas ante la propia APD, el artículo 112 de la Ley de 3 de diciembre de 2017 establece lo siguiente:

    «El capítulo VI no se aplicará a las reclamaciones o solicitudes aún pendientes ante la [APD] en el momento de la entrada en vigor de la presente Ley. Las reclamaciones o solicitudes a que se refiere el párrafo 1 serán tramitadas por la [APD], como sucesor jurídico de la [CPVP], según el procedimiento aplicable antes de la entrada en vigor de la presente Ley.»

    28

    La Ley de 8 de diciembre de 1992 fue derogada por la wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Ley relativa a la Protección de las Personas Físicas en relación con el Tratamiento de Datos Personales), de 30 de julio de 2018 (Belgisch Staatsblad, 5 de septiembre de 2018, p. 68616; en lo sucesivo, «Ley de 30 de julio de 2018»). Esta última Ley tiene por objeto aplicar en el Derecho belga las disposiciones del Reglamento 2016/679 que imponen o permiten a los Estados miembros adoptar normas más detalladas, como complemento de dicho Reglamento.

    Litigio principal y cuestiones prejudiciales

    29

    El 11 de septiembre de 2015, el presidente de la CPVP ejercitó una acción de cesación contra Facebook Ireland, Facebook Inc. y Facebook Belgium ante el Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunal de Primera Instancia Neerlandófono de Bruselas, Bélgica). Al carecer la CPVP de personalidad jurídica, incumbía a su presidente el ejercicio de acciones judiciales para garantizar el cumplimiento de la legislación en materia de protección de datos personales. No obstante, la propia CPVP solicitó intervenir voluntariamente en el procedimiento incoado por su presidente.

    30

    Esta acción de cesación tenía por objeto poner fin a lo que la CPVP describe, en particular, como una «infracción grave y a gran escala, por parte de Facebook, de la legislación en materia de protección de la intimidad» consistente en la recogida por esta red social en línea de información sobre los hábitos de navegación tanto de los poseedores de una cuenta de Facebook como de las personas que no son usuarias de los servicios de Facebook mediante diferentes tecnologías, como cookies, complementos sociales (por ejemplo, los botones «Me gusta» o «Compartir») y píxeles. Estos elementos permiten a la red social de que se trata obtener determinados datos de un internauta que consulta una página web que los contenga, como la dirección de esa página, la «dirección IP» del visitante de dicha página y la fecha y la hora de la consulta en cuestión.

    31

    Mediante sentencia de 16 de febrero de 2018, el Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunal de Primera Instancia Neerlandófono de Bruselas) se declaró competente para pronunciarse sobre dicha acción de cesación en la medida en que se refería a Facebook Ireland, Facebook Inc. y Facebook Belgium, y declaró inadmisible la solicitud de intervención voluntaria presentada por la CPVP.

    32

    En cuanto al fondo, dicho órgano jurisdiccional declaró que la red social en cuestión no informaba suficientemente a los internautas belgas de la recogida de la información mencionada y del uso de dicha información. Por otra parte, no se consideró válido el consentimiento dado por los internautas a la recogida y al tratamiento de tal información. Por lo tanto, se ordenó a Facebook Ireland, Facebook Inc. y Facebook Belgium, en primer lugar, que cesaran, respecto de cualquier internauta establecido en territorio belga, de colocar, sin su consentimiento, cookies que permanecen activas durante dos años en el dispositivo que dicho internauta utiliza cuando navega en una página web del nombre de dominio Facebook.com o cuando es conducido al sitio web de un tercero, así como de colocar cookies y recoger datos mediante complementos sociales, píxeles o medios tecnológicos similares en los sitios web de terceros, de un modo excesivo teniendo en cuenta los objetivos perseguidos con ello por la red social Facebook; en segundo lugar, que cesaran de facilitar información que podría razonablemente inducir a error a las personas afectadas en cuanto al alcance real de los mecanismos puestos a disposición por esta red social para la utilización de cookies, y, en tercer lugar, que destruyeran todos los datos personales obtenidos mediante cookies y complementos sociales.

    33

    El 2 de marzo de 2018, Facebook Ireland, Facebook Inc. y Facebook Belgium interpusieron recurso de apelación contra dicha sentencia ante el hof van beroep te Brussel (Tribunal de Apelación de Bruselas, Bélgica). Ante dicho órgano jurisdiccional, la APD actúa como sucesor legal tanto del presidente de la CPVP, que había ejercitado la acción de cesación, como de la propia CPVP.

    34

    El órgano jurisdiccional remitente se declaró únicamente competente para conocer del recurso de apelación interpuesto en relación con Facebook Belgium. En cambio, se declaró incompetente para conocer de dicha apelación en lo que atañe a Facebook Ireland y Facebook Inc.

    35

    Antes de pronunciarse sobre el fondo del litigio principal, el órgano jurisdiccional remitente se pregunta si la APD tiene la legitimación activa y el interés en ejercitar la acción requeridos. Según Facebook Belgium, la acción de cesación ejercitada es inadmisible en lo que respecta a los hechos anteriores al 25 de mayo de 2018, en la medida en que, a raíz de la entrada en vigor de la Ley de 3 de diciembre de 2017 y del Reglamento 2016/679, se derogó el artículo 32, apartado 3, de la Ley de 8 de diciembre de 1992, que constituye la base jurídica que permite ejercitar tal acción. Por lo que respecta a los hechos posteriores al 25 de mayo de 2018, Facebook Belgium alega que la APD carece de competencia y legitimación para ejercitar esta acción, habida cuenta del mecanismo de «ventanilla única» actualmente previsto en aplicación de las disposiciones del Reglamento 2016/679. En efecto, considera que, sobre la base de estas disposiciones, solo el Data Protection Commissioner (Comisario de Protección de Datos, Irlanda) es competente para ejercitar una acción de cesación contra Facebook Ireland, que es la única responsable del tratamiento de los datos personales de los usuarios de la red social en cuestión en la Unión.

    36

    El órgano jurisdiccional remitente declaró que la APD no justificaba el interés que se requiere para ejercitar esta acción de cesación, en la medida en que esta se refería a hechos anteriores al 25 de mayo de 2018. Por otra parte, por lo que respecta a los hechos posteriores a esa fecha, el órgano jurisdiccional remitente alberga dudas acerca de las consecuencias de la entrada en vigor del Reglamento 2016/679, en particular de la aplicación del mecanismo de «ventanilla única» que prevé dicho Reglamento, sobre las competencias de la APD y sobre la facultad de esta última de ejercitar tal acción de cesación.

    37

    En particular, según el órgano jurisdiccional remitente, la cuestión que debe dilucidarse ahora es si la APD puede demandar a Facebook Belgium por los hechos posteriores al 25 de mayo de 2018, dado que Facebook Ireland ha sido identificada como la responsable del tratamiento de los datos en cuestión. Desde esa fecha, y en virtud del principio de «ventanilla única», parece que, a tenor del artículo 56 del Reglamento 2016/679, el único competente es el Comisario de Protección de Datos, bajo el control exclusivo de los órganos jurisdiccionales irlandeses.

    38

    El órgano jurisdiccional remitente recuerda que, en la sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), el Tribunal de Justicia declaró que la «autoridad de control alemana» era competente para pronunciarse sobre un litigio en materia de protección de datos personales, pese a que el responsable del tratamiento de los datos en cuestión tenía su domicilio social en Irlanda y la filial de este con domicilio social en Alemania, a saber, Facebook Germany GmbH, se ocupaba únicamente de la venta de espacios publicitarios y de otras actividades de marketing en territorio alemán.

    39

    No obstante, en el asunto que dio lugar a dicha sentencia, se planteó al Tribunal de Justicia una petición de decisión prejudicial sobre la interpretación de las disposiciones de la Directiva 95/46, que fue derogada por el Reglamento 2016/679. El órgano jurisdiccional remitente se pregunta en qué medida la interpretación dada por el Tribunal de Justicia en dicha sentencia es aún pertinente por lo que respecta a la aplicación del Reglamento 2016/679.

    40

    El órgano jurisdiccional remitente menciona también una resolución del Bundeskartellamt (Autoridad Federal de Defensa de la Competencia, Alemania), de 6 de febrero de 2019 (conocida como «resolución Facebook»), en la que dicha autoridad de defensa de la competencia consideró, en esencia, que la empresa de que se trata abusaba de su posición concentrando datos procedentes de diferentes fuentes, lo que, en lo sucesivo, solo debería poder hacerse con el consentimiento expreso de los usuarios, entendiéndose que el usuario que no lo consiente no puede ser excluido de los servicios de Facebook. El órgano jurisdiccional remitente señala que, manifiestamente, dicha autoridad de defensa de la competencia se consideró competente, a pesar del mecanismo de «ventanilla única».

    41

    Además, el órgano jurisdiccional remitente estima que el artículo 6 de la Ley de 3 de diciembre de 2017, que, en principio, permite a la APD ejercitar, cuando proceda, acciones judiciales, no implica que la acción de esta pueda ejercitarse, en cualquier circunstancia, ante los órganos jurisdiccionales belgas, puesto que el mecanismo de «ventanilla única» parece exigir que tal acción se ejercite ante el juez del lugar en el que se efectúa el tratamiento de los datos.

    42

    En tales circunstancias, el hof van beroep te Brussel (Tribunal de Apelación de Bruselas) decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales siguientes:

    «1)

    ¿Deben interpretarse los artículos 55, apartado 1, 56 a 58 y 60 a 66 del Reglamento [2016/679], en relación con los artículos 7, 8 y 47 de la [Carta], en el sentido de que una autoridad de control que, en virtud de la legislación nacional adoptada en ejecución del artículo 58, apartado 5, de dicho Reglamento, está facultada para iniciar acciones judiciales contra infracciones de este Reglamento ante un tribunal de su Estado miembro, no puede ejercitar tal facultad en relación con un tratamiento transfronterizo si no es la autoridad de control principal en materia de tratamiento transfronterizo?

    2)

    ¿Tiene alguna incidencia en la respuesta a la primera cuestión prejudicial si el responsable del tratamiento transfronterizo no tiene su establecimiento principal en ese Estado miembro, pero sí tiene otro establecimiento en el mismo?

    3)

    ¿Tiene alguna incidencia en la respuesta a la primera cuestión prejudicial si la autoridad de control nacional inicia la acción judicial contra el establecimiento principal del responsable del tratamiento o contra el establecimiento en su propio Estado miembro?

    4)

    ¿Tiene alguna incidencia en la respuesta a la primera cuestión prejudicial si la autoridad de control nacional ya inició acciones judiciales antes de la fecha en que este Reglamento resultó aplicable (25 de mayo de 2018)?

    5)

    En caso de respuesta afirmativa a la primera cuestión prejudicial, ¿tiene efecto directo el artículo 58, apartado 5, del Reglamento [2016/679], de modo que una autoridad de control nacional podrá invocar el citado artículo para iniciar o continuar un procedimiento judicial contra particulares, aun cuando el artículo 58, apartado 5, del Reglamento 2016/679 no haya sido transpuesto específicamente a la legislación de los Estados miembros, pese a que se exige tal transposición?

    6)

    En caso de respuesta afirmativa a las cuestiones prejudiciales primera a quinta, ¿se opondría el resultado de tales procedimientos a que la autoridad de control principal llegase a la conclusión contraria en el caso de que dicha autoridad de control principal investigase las mismas actividades de tratamiento transfronterizo u otras similares de conformidad con el mecanismo establecido en los artículos 56 y 60 del Reglamento 2016/679?»

    Sobre las cuestiones prejudiciales

    Primera cuestión prejudicial

    43

    Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 55, apartado 1, 56 a 58 y 60 a 66 del Reglamento 2016/679, en relación con los artículos 7, 8 y 47 de la Carta, deben interpretarse en el sentido de que una autoridad de control de un Estado miembro que, en virtud de la legislación nacional adoptada en ejecución del artículo 58, apartado 5, de dicho Reglamento, está facultada para poner en conocimiento de los órganos jurisdiccionales de ese Estado miembro cualquier supuesta infracción de dicho Reglamento y, si procede, iniciar o ejercitar acciones judiciales puede ejercer esta facultad en lo que respecta a un tratamiento de datos transfronterizo cuando no es la «autoridad de control principal», en el sentido del artículo 56, apartado 1, del mismo Reglamento, en lo referente a tal tratamiento de datos.

    44

    A este respecto, es preciso recordar, con carácter preliminar, que, por una parte, a diferencia de la Directiva 95/46, que había sido adoptada sobre la base del artículo 100 A del Tratado CE, relativo a la armonización del mercado común, la base jurídica del Reglamento 2016/679 es el artículo 16 TFUE, que consagra el derecho de toda persona a la protección de los datos de carácter personal y autoriza al Parlamento Europeo y al Consejo de la Unión Europea a establecer normas sobre protección de las personas físicas respecto del tratamiento de estos datos por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de dichos datos. Por otra parte, el considerando 1 de dicho Reglamento afirma que «la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental» y recuerda que el artículo 8, apartado 1, de la Carta y el artículo 16 TFUE, apartado 1, establecen el derecho de toda persona a la protección de los datos de carácter personal que le conciernan.

    45

    Por consiguiente, como se desprende del artículo 1, apartado 2, del Reglamento 2016/679, en relación con los considerandos 10, 11 y 13 de dicho Reglamento, este último impone a las instituciones, órganos y organismos de la Unión, así como a las autoridades competentes de los Estados miembros, la misión de garantizar un nivel elevado de protección de los derechos establecidos en el artículo 16 TFUE y en el artículo 8 de la Carta.

    46

    Además, como enuncia su considerando 4, este Reglamento respeta todos los derechos fundamentales y observa las libertades y principios reconocidos en la Carta.

    47

    Sobre este telón de fondo, el artículo 55, apartado 1, del Reglamento 2016/679 establece la competencia de principio de cada autoridad de control para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con dicho Reglamento, en el territorio del Estado miembro al que pertenezca (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 147).

    48

    Entre las funciones asignadas a esas autoridades de control figuran, en particular, la de controlar la aplicación del Reglamento 2016/679 y hacerlo aplicar, como prevé el artículo 57, apartado 1, letra a), de dicho Reglamento, así como la de cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución de dicho Reglamento, prevista en el artículo 57, apartado 1, letra g), del mismo Reglamento. Entre los poderes conferidos a dichas autoridades de control para llevar a cabo esas funciones figuran diversos poderes de investigación, previstos en el artículo 58, apartado 1, del Reglamento 2016/679, así como la facultad de poner en conocimiento de las autoridades judiciales las infracciones de dicho Reglamento y, si procede, iniciar o ejercitar acciones judiciales con el fin de hacer cumplir lo dispuesto en dicho Reglamento, prevista en el artículo 58, apartado 5, de este.

    49

    El desempeño de estas funciones y el ejercicio de estos poderes presupone, no obstante, que una autoridad de control disponga de competencia en lo que respecta a un tratamiento de datos determinado.

    50

    A este respecto, sin perjuicio de la regla de competencia establecida en el artículo 55, apartado 1, del Reglamento 2016/679, el artículo 56, apartado 1, de dicho Reglamento establece, para los «tratamientos transfronterizos», en el sentido de su artículo 4, punto 23, el mecanismo de «ventanilla única», basado en un reparto de competencias entre una «autoridad de control principal» y las demás autoridades de control interesadas. En virtud de este mecanismo, la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por dicho responsable o encargado con arreglo al procedimiento establecido en el artículo 60 de dicho Reglamento.

    51

    Este último artículo establece el procedimiento de cooperación entre la autoridad de control principal y las demás autoridades de control interesadas. En el marco de este procedimiento, la autoridad de control principal está obligada a intentar buscar un consenso. A tal fin, con arreglo al artículo 60, apartado 3, del Reglamento 2016/679, transmitirá sin dilación un proyecto de decisión a las demás autoridades de control interesadas para obtener su dictamen al respecto y tendrá debidamente en cuenta sus puntos de vista.

    52

    En concreto, de los artículos 56 y 60 del Reglamento 2016/679 se desprende que, para los «tratamientos transfronterizos», en el sentido del artículo 4, punto 23, de este Reglamento, y salvo lo dispuesto en su artículo 56, apartado 2, las distintas autoridades nacionales de control interesadas deben cooperar, de acuerdo con el procedimiento establecido en dichas disposiciones, para llegar a un consenso y a una decisión única, que vincula a todas esas autoridades y cuyo cumplimiento debe garantizar el responsable del tratamiento en lo tocante a las actividades de tratamiento realizadas en el contexto de todos sus establecimientos en la Unión. Por otra parte, el artículo 61, apartado 1, de dicho Reglamento exige, en particular, que las autoridades de control se faciliten información útil y se presten asistencia mutua a fin de aplicar el Reglamento de manera coherente en toda la Unión. El artículo 63 del Reglamento 2016/679 precisa que, a tal efecto, se ha establecido el mecanismo de coherencia contemplado en los artículos 64 y 65 del mismo Reglamento [sentencia de 24 de septiembre de 2019, Google (Alcance territorial de la retirada de enlaces), C‑507/17, EU:C:2019:772, apartado 68].

    53

    Por tanto, la aplicación del mecanismo de «ventanilla única» exige, como confirma el considerando 13 del Reglamento 2016/679, una cooperación leal y efectiva entre la autoridad de control principal y las demás autoridades de control interesadas. Por ello, como ha señalado el Abogado General en el punto 111 de sus conclusiones, la autoridad de control principal no puede pasar por alto los criterios de las demás autoridades de control interesadas, y toda objeción pertinente y motivada formulada por una de estas autoridades tiene por efecto bloquear, al menos temporalmente, la adopción del proyecto de decisión de la autoridad de control principal.

    54

    Así pues, con arreglo al artículo 60, apartado 4, del Reglamento 2016/679, en caso de que cualquiera de las autoridades de control interesadas formule una objeción pertinente y motivada acerca del proyecto de decisión en un plazo de cuatro semanas después de haber sido consultada, la autoridad de control principal someterá el asunto, en caso de que no siga lo indicado en la objeción pertinente y motivada o estime que dicha objeción no es pertinente o no está motivada, al mecanismo de coherencia contemplado en el artículo 63 de ese Reglamento, con el fin de obtener del Comité Europeo de Protección de Datos una decisión vinculante, adoptada sobre la base del artículo 65, apartado 1, letra a), de dicho Reglamento.

    55

    En virtud del artículo 60, apartado 5, del Reglamento 2016/679, en caso de que la autoridad de control principal prevea, en cambio, seguir lo indicado en la objeción pertinente y motivada recibida, presentará a dictamen de las demás autoridades de control interesadas un proyecto de decisión revisado. Dicho proyecto de decisión revisado se someterá al procedimiento indicado en el artículo 60, apartado 4, de este Reglamento en un plazo de dos semanas.

    56

    Con arreglo al artículo 60, apartado 7, de dicho Reglamento, incumbe en principio a la autoridad de control principal adoptar una decisión en relación con el tratamiento transfronterizo de que se trate, notificarla al establecimiento principal o al establecimiento único del responsable o del encargado del tratamiento, según proceda, e informar de la decisión a las autoridades de control interesadas y al Comité Europeo de Protección de Datos, incluyendo un resumen de los hechos pertinentes y la motivación.

    57

    Dicho esto, es preciso subrayar que el Reglamento 2016/679 establece excepciones al principio de la competencia decisoria de la autoridad de control principal en el marco del mecanismo de «ventanilla única» previsto en el artículo 56, apartado 1, de dicho Reglamento.

    58

    Entre estas excepciones figura, en primer lugar, el artículo 56, apartado 2, del Reglamento 2016/679, que establece que una autoridad de control que no sea la autoridad de control principal será competente para tratar una reclamación que le sea presentada en relación con un tratamiento transfronterizo de datos personales o una posible infracción de dicho Reglamento, en caso de que se refiera únicamente a un establecimiento situado en su Estado miembro o únicamente afecte de manera sustancial a interesados en su Estado miembro.

    59

    En segundo lugar, el artículo 66 del Reglamento 2016/679 establece un procedimiento de urgencia, como excepción a los mecanismos de coherencia contemplados en los artículos 60 y 63 a 65 de dicho Reglamento. Este procedimiento de urgencia permite, en circunstancias excepcionales, cuando la autoridad de control de que se trate considere que es urgente intervenir para proteger los derechos y libertades de los interesados, adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio y que tengan un período de validez determinado no superior a tres meses, ya que el artículo 66, apartado 2, del Reglamento 2016/679 establece además que, cuando una autoridad de control haya adoptado una medida de conformidad con el apartado 1, y considere que deben adoptarse urgentemente medidas definitivas, podrá solicitar con carácter urgente un dictamen o una decisión vinculante urgente del Comité Europeo de Protección de Datos, motivando dicha solicitud de dictamen o decisión.

    60

    No obstante, esta competencia de las autoridades de control debe ejercerse respetando una cooperación leal y efectiva con la autoridad de control principal, de conformidad con el procedimiento previsto en el artículo 56, apartados 3 a 5, del Reglamento 2016/679. En efecto, en ese supuesto, con arreglo al artículo 56, apartado 3, de dicho Reglamento, la autoridad de control de que se trate debe informar sin dilación a la autoridad de control principal, la cual decidirá si trata o no el caso en el plazo de tres semanas después de haber sido informada.

    61

    Pues bien, en virtud del artículo 56, apartado 4, del Reglamento 2016/679, en caso de que la autoridad de control principal decida tratar el caso, se aplicará el procedimiento de cooperación previsto en el artículo 60 de dicho Reglamento. En este contexto, la autoridad de control que ha informado a la autoridad de control principal puede presentarle un proyecto de decisión y esta última debe tener en cuenta en la mayor medida posible dicho proyecto al preparar el proyecto de decisión a que se refiere el artículo 60, apartado 3, de dicho Reglamento.

    62

    En cambio, con arreglo al artículo 56, apartado 5, del Reglamento 2016/679, en caso de que la autoridad de control principal decida no tratar el caso, la autoridad de control que le haya informado lo tratará con arreglo a los artículos 61 y 62 de dicho Reglamento, que exigen a las autoridades de control el cumplimiento de las normas de asistencia mutua y de cooperación en el marco de operaciones conjuntas, con el fin de garantizar una cooperación efectiva entre las autoridades de que se trate.

    63

    De lo anterior se desprende, por una parte, que, en materia de tratamiento transfronterizo de datos personales, la competencia de la autoridad de control principal para adoptar una decisión por la que se declare que tal tratamiento infringe las normas relativas a la protección de los derechos de las personas físicas en lo que respecta al tratamiento de datos personales contenidas en el Reglamento 2016/679 constituye la regla general, mientras que la competencia de las demás autoridades de control interesadas para adoptar tal decisión, incluso con carácter provisional, constituye la excepción. Por otra parte, si bien la competencia de principio de la autoridad de control principal se ve confirmada por el artículo 56, apartado 6, del Reglamento 2016/679, según el cual la autoridad de control principal es el «único interlocutor» del responsable o del encargado del tratamiento en relación con el tratamiento transfronterizo realizado por ese responsable o encargado, dicha autoridad deberá ejercer tal competencia en el marco de una estrecha cooperación con las demás autoridades de control de que se trate. En particular, como se ha señalado en el apartado 53 de la presente sentencia, la autoridad de control principal, en el ejercicio de sus competencias, no puede prescindir de un diálogo indispensable y de una cooperación leal y efectiva con las demás autoridades de control interesadas.

    64

    A este respecto, del considerando 10 del Reglamento 2016/679 se desprende que este tiene por objeto, en particular, garantizar en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea y eliminar los obstáculos a la circulación de datos personales dentro de aquella.

    65

    Pues bien, tal objetivo y el efecto útil del mecanismo de «ventanilla única» podrían verse comprometidos si una autoridad de control que, respecto de un tratamiento de datos transfronterizo, no sea la autoridad de control principal pudiera ejercer la facultad prevista en el artículo 58, apartado 5, del Reglamento 2016/679 fuera de los casos en los que sea competente para adoptar una decisión como la contemplada en el apartado 63 de la presente sentencia. En efecto, el ejercicio de tal facultad tiene por objeto obtener una resolución judicial vinculante, que puede menoscabar ese objetivo y el mecanismo mencionado de la misma manera que una decisión adoptada por una autoridad de control que no sea la autoridad de control principal.

    66

    Contrariamente a lo que sostiene la APD, el hecho de que una autoridad de control de un Estado miembro que no sea la autoridad de control principal solo pueda ejercer la facultad prevista en el artículo 58, apartado 5, del Reglamento 2016/679 respetando las reglas de reparto de las competencias decisorias previstas, en particular, en los artículos 55 y 56 de ese mismo Reglamento, en relación con el artículo 60 de este último, es conforme con los artículos 7, 8 y 47 de la Carta.

    67

    Por una parte, por lo que respecta a la alegación basada en la supuesta infracción de los artículos 7 y 8 de la Carta, procede recordar que este artículo 7 garantiza a toda persona el derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones, mientras que el artículo 8, apartado 1, de la Carta, al igual que el artículo 16 TFUE, apartado 1, reconoce expresamente a toda persona el derecho a la protección de los datos de carácter personal que le conciernan. Pues bien, del artículo 51, apartado 1, del Reglamento 2016/679, en particular, se desprende que las autoridades de control se encargarán de supervisar la aplicación de dicho Reglamento, en especial con el fin de proteger los derechos fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales. De ello se deduce que, de conformidad con lo expuesto en el apartado 45 de la presente sentencia, las normas de reparto de competencias decisorias entre la autoridad de control principal y las demás autoridades de control previstas en dicho Reglamento se entienden sin perjuicio de la responsabilidad que incumbe a cada una de esas autoridades de contribuir a un elevado nivel de protección de tales derechos, respetando dichas normas y las exigencias de cooperación y de asistencia mutua recordadas en el apartado 52 de la presente sentencia.

    68

    Esto significa, en particular, que el mecanismo de «ventanilla única» no puede en ningún caso conducir a que una autoridad de control nacional, en especial la autoridad de control principal, no asuma la responsabilidad que le incumbe en virtud del Reglamento 2016/679 de contribuir a una protección eficaz de las personas físicas contra las vulneraciones de sus derechos fundamentales mencionados en el apartado anterior de la presente sentencia, so pena de fomentar la práctica de un foro de conveniencia, en particular por parte de los responsables del tratamiento, dirigido a eludir esos derechos fundamentales y la aplicación efectiva de las disposiciones del referido Reglamento que los ponen en práctica.

    69

    Por otra parte, tampoco puede acogerse la alegación basada en la supuesta vulneración del derecho a la tutela judicial efectiva, garantizado en el artículo 47 de la Carta. En efecto, la delimitación, expuesta en los apartados 64 y 65 de la presente sentencia, de la posibilidad de que una autoridad de control distinta de la autoridad de control principal ejerza la facultad prevista en el artículo 58, apartado 5, del Reglamento 2016/679, en relación con un tratamiento transfronterizo de datos personales, se entiende sin perjuicio del derecho reconocido a cualquier persona en el artículo 78, apartados 1 y 2, de dicho Reglamento de interponer un recurso jurisdiccional efectivo, en particular, contra una decisión jurídicamente vinculante de una autoridad de control que la afecte o contra la no tramitación de la reclamación que haya presentado por parte de la autoridad de control con competencia decisoria en virtud de los artículos 55 y 56 de dicho Reglamento, en combinación con su artículo 60.

    70

    Así sucede, en particular, con la hipótesis enunciada en el artículo 56, apartado 5, del Reglamento 2016/679, en virtud de la cual, como se ha señalado en el apartado 62 de la presente sentencia, la autoridad de control que ha facilitado la información sobre la base del artículo 56, apartado 3, de dicho Reglamento puede tratar el caso de conformidad con los artículos 61 y 62 de este, si la autoridad de control principal decide, tras haber sido informada de ello, que no lo tratará ella misma. En el marco de tal tratamiento, por otra parte, no puede excluirse que la autoridad de control de que se trate pueda, en su caso, decidir ejercer la facultad que le confiere el artículo 58, apartado 5, del Reglamento 2016/679.

    71

    Precisado lo anterior, es necesario subrayar que el ejercicio de la facultad de una autoridad de control de un Estado miembro de dirigirse a los órganos jurisdiccionales de su Estado no puede excluirse cuando, después de haber requerido la asistencia mutua de la autoridad de control principal, en virtud del artículo 61 del Reglamento 2016/679, esta última no le facilite la información solicitada. En ese supuesto, en virtud del artículo 61, apartado 8, de dicho Reglamento, la autoridad de control de que se trate podrá adoptar medidas provisionales en el territorio de su Estado miembro y, si estima que deben adoptarse medidas definitivas de urgencia, esa autoridad podrá solicitar al Comité Europeo de Protección de Datos, de conformidad con el artículo 66, apartado 2, de dicho Reglamento, un dictamen con carácter urgente o una decisión vinculante urgente. Además, en virtud del artículo 64, apartado 2, del mismo Reglamento, una autoridad de control podrá solicitar que el Comité Europeo de Protección de Datos examine cualquier cuestión de aplicación general o que surta efecto en más de un Estado miembro al objeto de que se emita un dictamen, en particular cuando una autoridad de control competente incumpla las obligaciones relativas a la asistencia mutua que le impone el artículo 61 de dicho Reglamento. Pues bien, tras la adopción de tal dictamen o decisión, y siempre que el Comité Europeo de Protección de Datos exprese su conformidad después de haber tenido en cuenta todas las circunstancias pertinentes, la autoridad de control de que se trate debe poder adoptar las medidas necesarias para garantizar el cumplimiento de las normas relativas a la protección de los derechos de las personas físicas en lo que respecta al tratamiento de datos personales que figuran en el Reglamento 2016/679 y, por tanto, ejercer la facultad que le confiere el artículo 58, apartado 5, de dicho Reglamento.

    72

    En efecto, el reparto de competencias y de responsabilidades entre las autoridades de control se basa necesariamente en la premisa de una cooperación leal y efectiva entre estas autoridades, así como con la Comisión, para garantizar la aplicación correcta y coherente de dicho Reglamento, como confirma el artículo 51, apartado 2, de este.

    73

    En el caso de autos, corresponderá al órgano jurisdiccional remitente determinar si las normas de reparto de competencias y los procedimientos y mecanismos pertinentes previstos por el Reglamento 2016/679 fueron correctamente aplicados en el litigio principal. En particular, deberá comprobar si, aunque la APD no sea la autoridad de control principal en ese asunto, el tratamiento en cuestión, en la medida en que se refiere a comportamientos de la red social en línea Facebook posteriores al 25 de mayo de 2018, está comprendido en la situación contemplada en el apartado 71 de la presente sentencia.

    74

    A este respecto, el Tribunal de Justicia observa que, en su dictamen 5/2019, de 12 de marzo de 2019, sobre la interacción entre la Directiva sobre la privacidad y las comunicaciones electrónicas y el Reglamento general de protección de datos, en particular en lo que respecta a la competencia, funciones y poderes de las autoridades de protección de datos, el Comité Europeo de Protección de Datos declaró que el registro y la lectura de datos personales mediante cookies estaban comprendidos en el ámbito de aplicación de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37), y no en el del mecanismo de «ventanilla única». En cambio, todas las operaciones anteriores y las actividades posteriores de tratamiento de esos datos personales mediante otras tecnologías sí están comprendidas en el ámbito de aplicación del Reglamento 2016/679 y, por consiguiente, en el del mecanismo de «ventanilla única». Dado que su solicitud de asistencia mutua se refería a estas operaciones posteriores de tratamiento de datos personales, la APD solicitó al Comisario de Protección de Datos, en abril de 2019, que diera curso a su solicitud lo más rápidamente posible, solicitud que al parecer quedó sin respuesta.

    75

    Habida cuenta de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial planteada que los artículos 55, apartado 1, 56 a 58 y 60 a 66 del Reglamento 2016/679, en relación con los artículos 7, 8 y 47 de la Carta, deben interpretarse en el sentido de que una autoridad de control de un Estado miembro que, en virtud de la legislación nacional adoptada en ejecución del artículo 58, apartado 5, de dicho Reglamento, está facultada para poner en conocimiento de los órganos jurisdiccionales de ese Estado miembro cualquier supuesta infracción de dicho Reglamento y, si procede, iniciar o ejercitar acciones judiciales puede ejercer esta facultad en lo que respecta a un tratamiento de datos transfronterizo aunque no sea la «autoridad de control principal», en el sentido del artículo 56, apartado 1, del mismo Reglamento, en lo referente a tal tratamiento de datos, siempre que sea en alguna de las situaciones en las que el Reglamento 2016/679 confiere a esa autoridad de control competencia para adoptar una decisión en la que se declare que dicho tratamiento incumple las normas que el Reglamento contiene y siempre que se respeten los procedimientos de cooperación y de coherencia establecidos por dicho Reglamento.

    Segunda cuestión prejudicial

    76

    Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que, en caso de tratamiento de datos transfronterizo, el ejercicio de la facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de iniciar o ejercitar acciones judiciales, en el sentido de esta disposición, exige que el responsable del tratamiento transfronterizo de datos personales contra el que se ejercite dicha acción disponga de un «establecimiento principal», en el sentido del artículo 4, punto 16, del Reglamento 2016/679, en el territorio de este Estado miembro u otro establecimiento en este.

    77

    A este respecto, es preciso recordar que, a tenor del artículo 55, apartado 1, del Reglamento 2016/679, cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con dicho Reglamento en el territorio de su Estado miembro.

    78

    El artículo 58, apartado 5, del Reglamento 2016/679 prevé, además, la facultad de cada autoridad de control de poner en conocimiento de los órganos jurisdiccionales de su Estado miembro las supuestas infracciones de dicho Reglamento y, si procede, de iniciar o ejercitar acciones judiciales, con el fin de hacer cumplir lo dispuesto en dicho Reglamento.

    79

    Pues bien, procede señalar que el artículo 58, apartado 5, del Reglamento 2016/679 está formulado en términos generales y que el legislador de la Unión no supeditó el ejercicio de esta facultad por una autoridad de control de un Estado miembro al requisito de que la acción de esta última se ejercite contra un responsable del tratamiento que disponga de un «establecimiento principal», en el sentido del artículo 4, punto 16, de dicho Reglamento, o de otro establecimiento en el territorio de ese Estado miembro.

    80

    Sin embargo, una autoridad de control de un Estado miembro solo puede ejercer la facultad que le confiere el artículo 58, apartado 5, del Reglamento 2016/679 si se demuestra que dicha facultad está comprendida en el ámbito de aplicación territorial de ese Reglamento.

    81

    El artículo 3 del Reglamento 2016/679, que regula el ámbito territorial de dicho Reglamento, establece a este respecto, en su apartado 1, que este se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

    82

    A este respecto, el considerando 22 del Reglamento 2016/679 precisa que tal establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables y que la forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto.

    83

    De ello resulta que, de conformidad con el artículo 3, apartado 1, del Reglamento 2016/679, el ámbito territorial de este Reglamento está determinado, sin perjuicio de los supuestos contemplados en los apartados 2 y 3 de dicho artículo, por el requisito de que el responsable o el encargado del tratamiento transfronterizo disponga de un establecimiento en el territorio de la Unión.

    84

    Por consiguiente, procede responder a la segunda cuestión prejudicial planteada que el artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que, en caso de tratamiento de datos transfronterizo, el ejercicio de la facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de iniciar o ejercitar acciones judiciales, en el sentido de esta disposición, no exige que el responsable o encargado del tratamiento transfronterizo de datos personales contra el que se ejercite dicha acción disponga de un establecimiento principal u otro establecimiento en el territorio de dicho Estado miembro.

    Tercera cuestión prejudicial

    85

    Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que, en caso de tratamiento de datos transfronterizo, el ejercicio de la facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de poner en conocimiento de los órganos jurisdiccionales de este Estado miembro cualquier supuesta infracción de dicho Reglamento y, si procede, iniciar o ejercitar acciones judiciales, en el sentido de dicha disposición, exige que la autoridad de control de que se trate dirija su acción judicial contra el establecimiento principal del responsable del tratamiento o contra el establecimiento que se encuentre en su propio Estado miembro.

    86

    De la resolución de remisión se desprende que esta cuestión se plantea en el marco de un debate entre las partes sobre si el órgano jurisdiccional remitente es competente para examinar la acción de cesación en la medida en que se ha ejercitado contra Facebook Belgium, habida cuenta, por una parte, de que, en la Unión, el domicilio social del grupo Facebook está situado en Irlanda y que Facebook Ireland es el responsable exclusivo de la recogida y del tratamiento de datos personales para todo el territorio de la Unión y, por otra parte, de que, en virtud de un reparto interno de ese grupo, el establecimiento situado en Bélgica se creó, con carácter principal, para permitir a dicho grupo mantener relaciones con las instituciones de la Unión y, con carácter accesorio, para promocionar las actividades publicitarias y de marketing de dicho grupo destinadas a las personas residentes en Bélgica.

    87

    Como se ha señalado en el apartado 47 de la presente sentencia, el artículo 55, apartado 1, del Reglamento 2016/679 establece la competencia de principio de cada autoridad de control para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con dicho Reglamento en el territorio de su Estado miembro.

    88

    Por lo que respecta a la facultad de una autoridad de control de un Estado miembro de iniciar o ejercitar una acción judicial, en el sentido del artículo 58, apartado 5, del Reglamento 2016/679, es preciso recordar, como ha señalado el Abogado General en el punto 150 de sus conclusiones, que esta disposición está formulada de manera amplia y no especifica las entidades contra las cuales las autoridades de control deberían o podrían dirigir una acción judicial en relación con cualquier infracción de dicho Reglamento.

    89

    Por consiguiente, dicha disposición no limita el ejercicio de la facultad de iniciar o ejercitar acciones judiciales en el sentido de que tal acción únicamente podría ejercitarse contra un «establecimiento principal» o contra otro «establecimiento» del responsable del tratamiento. Por el contrario, en virtud de la misma disposición, cuando la autoridad de control de un Estado miembro disponga de la competencia necesaria a tal efecto, con arreglo a los artículos 55 y 56 del Reglamento 2016/679, podrá ejercer las facultades que le confiere dicho Reglamento en su territorio nacional, cualquiera que sea el Estado miembro en el que esté establecido el responsable o el encargado del tratamiento.

    90

    Sin embargo, el ejercicio de la facultad conferida a cada autoridad de control en el artículo 58, apartado 5, del Reglamento 2016/679 supone que dicho Reglamento sea aplicable. A este respecto, como se ha señalado en el apartado 81 de la presente sentencia, el artículo 3, apartado 1, de dicho Reglamento establece que este se aplica al tratamiento de datos personales «en el contexto de las actividades de un establecimiento del responsable o de un encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no».

    91

    Habida cuenta del objetivo perseguido por el Reglamento 2016/679, consistente en garantizar una protección eficaz de las libertades y de los derechos fundamentales de las personas físicas, en particular su derecho a la protección de la intimidad y a la protección de los datos personales, el requisito según el cual el tratamiento de datos personales debe efectuarse «en el contexto de las actividades» del establecimiento de que se trate no puede ser objeto de una interpretación restrictiva (véase, por analogía, la sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, apartado 56 y jurisprudencia citada).

    92

    En el caso de autos, de la resolución de remisión y de las observaciones escritas presentadas por Facebook Belgium se desprende que esta se encarga, con carácter principal, de mantener relaciones con las instituciones de la Unión y, con carácter accesorio, de promocionar las actividades publicitarias y de marketing de su grupo destinadas a las personas residentes en Bélgica.

    93

    El tratamiento de datos personales de que se trata en el litigio principal, realizado en la Unión exclusivamente por Facebook Ireland y que consiste en la recogida de información relativa a los hábitos de navegación tanto de los poseedores de una cuenta de Facebook como de las personas que no son usuarias de los servicios de Facebook, mediante diferentes tecnologías, como, en particular, los complementos sociales y los píxeles, tiene precisamente por objeto permitir a la red social en cuestión hacer más eficaz su sistema de publicidad, difundiendo las comunicaciones de manera selectiva.

    94

    Pues bien, procede señalar que, por una parte, una red social como Facebook genera una parte sustancial de sus ingresos gracias, en particular, a la publicidad que se difunde en ella, y que la actividad ejercida por el establecimiento situado en Bélgica está destinada a garantizar, en ese Estado miembro, aunque solo sea de manera accesoria, la promoción y la venta de espacios publicitarios que sirven para rentabilizar los servicios de Facebook. Por otra parte, la actividad ejercida con carácter principal por Facebook Belgium, consistente en mantener relaciones con las instituciones de la Unión y constituir un punto de contacto con estas, tiene por objeto, en particular, determinar la política de tratamiento de datos personales por Facebook Ireland.

    95

    En estas circunstancias, debe considerarse que las actividades del establecimiento del grupo Facebook situado en Bélgica están indisociablemente vinculadas al tratamiento de los datos personales de que se trata en el litigio principal, del que Facebook Ireland es el responsable en lo que se refiere al territorio de la Unión. Por lo tanto, debe considerarse que tal tratamiento se realiza «en el contexto de las actividades de un establecimiento del responsable», en el sentido del artículo 3, apartado 1, del Reglamento 2016/679.

    96

    Habida cuenta de todas las consideraciones anteriores, procede responder a la tercera cuestión prejudicial planteada que el artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que la facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de poner en conocimiento de los órganos jurisdiccionales de ese Estado cualquier supuesta infracción de dicho Reglamento y, si procede, iniciar o ejercitar acciones judiciales, en el sentido de dicha disposición, puede ejercerse tanto con respecto al establecimiento principal del responsable del tratamiento que se encuentre en el Estado miembro de dicha autoridad como con respecto a otro establecimiento de ese responsable, siempre que la acción judicial tenga por objeto un tratamiento de datos efectuado en el contexto de las actividades de ese establecimiento y que dicha autoridad tenga competencia para ejercer esa facultad, según se ha expuesto en la respuesta a la primera cuestión prejudicial planteada.

    Cuarta cuestión prejudicial

    97

    Mediante su cuarta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que, cuando una autoridad de control de un Estado miembro que no es la «autoridad de control principal», en el sentido del artículo 56, apartado 1, de dicho Reglamento, ha ejercitado antes del 25 de mayo de 2018 una acción judicial cuyo objeto era un tratamiento transfronterizo de datos personales, a saber, antes de la fecha en la que dicho Reglamento comenzó a ser aplicable, tal circunstancia puede influir en las condiciones en que dicha autoridad de control de un Estado miembro puede ejercer la facultad de iniciar o ejercitar acciones judiciales que le confiere dicho artículo 58, apartado 5.

    98

    En efecto, Facebook Ireland, Facebook Inc. y Facebook Belgium alegan ante dicho órgano jurisdiccional que la aplicación del Reglamento 2016/679, a partir del 25 de mayo de 2018, tiene como consecuencia que la continuación de una acción ejercitada antes de esa fecha es inadmisible o incluso infundada.

    99

    Con carácter preliminar, procede señalar que el artículo 99, apartado 1, del Reglamento 2016/679 establece que este entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea. Al haberse publicado este Reglamento en dicho Diario Oficial el 4 de mayo de 2016, entró en vigor el 25 de mayo siguiente. Además, el artículo 99, apartado 2, de dicho Reglamento establece que este será aplicable a partir del 25 de mayo de 2018.

    100

    A este respecto, es preciso recordar que una norma jurídica nueva se aplica a partir de la entrada en vigor del acto que la contiene y que, si bien esta norma no se aplica a las situaciones jurídicas nacidas y definitivamente consolidadas bajo el imperio de la antigua norma, sí se aplica a los efectos futuros de tales situaciones, así como a las situaciones jurídicas nuevas. Únicamente deja de ser así, sin perjuicio del principio de irretroactividad de los actos jurídicos, cuando la norma nueva va acompañada de disposiciones particulares que determinan específicamente su ámbito de aplicación temporal. En concreto, se considera, en general, que las normas de procedimiento son aplicables en la fecha en que entran en vigor, a diferencia de las normas sustantivas, que habitualmente se interpretan en el sentido de que solo contemplan situaciones existentes con anterioridad a su entrada en vigor en la medida en que de sus términos, finalidad o sistema se desprenda claramente que debe atribuírseles dicho efecto [sentencia de 25 de febrero de 2021, Caisse pour l’avenir des enfants (Trabajo en el momento del nacimiento), C‑129/20, EU:C:2021:140, apartado 31 y jurisprudencia citada].

    101

    El Reglamento 2016/679 no contiene ninguna disposición transitoria ni ninguna otra que regule el régimen de los procedimientos judiciales iniciados antes de su aplicación y que aún estaban en curso en la fecha en que comenzó a ser aplicable. En particular, ninguna disposición de dicho Reglamento establece que este tenga por efecto poner fin a todos los procedimientos judiciales pendientes el 25 de mayo de 2018 que tuvieran como objeto supuestas infracciones de normas reguladoras del tratamiento de datos personales previstas en la Directiva 95/46, y ello aun cuando los comportamientos constitutivos de tales supuestas infracciones perduren más allá de esa fecha.

    102

    En el caso de autos, el artículo 58, apartado 5, del Reglamento 2016/679 establece normas que regulan la facultad de una autoridad de control de poner en conocimiento de las autoridades judiciales cualquier infracción de dicho Reglamento y, si procede, de iniciar o ejercitar de otro modo acciones judiciales, con el fin de hacer cumplir lo dispuesto en dicho Reglamento.

    103

    En estas circunstancias, procede distinguir entre las acciones ejercitadas por una autoridad de control de un Estado miembro por infracciones de las normas de protección de datos personales cometidas por responsables o encargados del tratamiento antes de la fecha en la que el Reglamento 2016/679 comenzó a ser aplicable y las ejercitadas por infracciones cometidas después de esa fecha.

    104

    En el primer supuesto, desde el punto de vista del Derecho de la Unión, puede mantenerse una acción judicial, como la controvertida en el litigio principal, sobre la base de las disposiciones de la Directiva 95/46, que sigue siendo aplicable a las infracciones cometidas hasta la fecha de su derogación, a saber, el 25 de mayo de 2018. En el segundo supuesto, tal acción solo puede ejercitarse, en virtud del artículo 58, apartado 5, del Reglamento 2016/679, a condición de que, como se ha señalado en la respuesta a la primera cuestión prejudicial planteada, dicha acción se refiera a una situación en la que, excepcionalmente, dicho Reglamento confiere a una autoridad de control de un Estado miembro que no es la «autoridad de control principal» competencia para adoptar una decisión por la que se declare que el tratamiento de datos en cuestión no cumple las disposiciones de dicho Reglamento en lo que se refiere a la protección de los derechos de las personas físicas con respecto al tratamiento de datos personales, y se respeten los procedimientos establecidos en ese Reglamento.

    105

    Habida cuenta de todas las consideraciones anteriores, procede responder a la cuarta cuestión prejudicial planteada que el artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que, cuando una autoridad de control de un Estado miembro que no es la «autoridad de control principal», en el sentido del artículo 56, apartado 1, de dicho Reglamento, ha ejercitado antes del 25 de mayo de 2018 una acción judicial cuyo objeto era un tratamiento transfronterizo de datos personales, a saber, antes de la fecha en la que dicho Reglamento comenzó a ser aplicable, esa acción puede mantenerse, desde el punto de vista del Derecho de la Unión, sobre la base de las disposiciones de la Directiva 95/46, que sigue siendo aplicable en lo que se refiere a las infracciones de las normas que establece, cometidas hasta la fecha en que dicha Directiva fue derogada. Además, tal acción puede ser ejercitada por esa autoridad por infracciones cometidas después de esa fecha, sobre la base del artículo 58, apartado 5, del Reglamento 2016/679, siempre que sea en alguna de las situaciones en que, excepcionalmente, dicho Reglamento confiere a una autoridad de control de un Estado miembro que no es la «autoridad de control principal» competencia para adoptar una decisión por la que se declare que el tratamiento de datos en cuestión no cumple las disposiciones del citado Reglamento en lo que se refiere a la protección de los derechos de las personas físicas con respecto al tratamiento de datos personales, y siempre que se respeten los procedimientos de cooperación y coherencia establecidos por el mismo Reglamento, extremo que corresponde comprobar al órgano jurisdiccional remitente.

    Quinta cuestión prejudicial

    106

    Mediante su quinta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, en caso de respuesta afirmativa a la primera cuestión prejudicial planteada, si el artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que esta disposición tiene efecto directo, de modo que una autoridad de control nacional puede invocar dicha disposición para ejercitar o retomar una acción contra particulares, aun cuando dicha disposición no se haya aplicado específicamente en la legislación del Estado miembro de que se trate.

    107

    A tenor del artículo 58, apartado 5, del Reglamento 2016/679, cada Estado miembro dispondrá por ley que su autoridad de control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y, si procede, para iniciar o ejercitar de otro modo acciones judiciales, con el fin de hacer cumplir lo dispuesto en el mismo.

    108

    Con carácter preliminar, es preciso señalar que, como sostiene el Gobierno belga, el artículo 58, apartado 5, del Reglamento 2016/679 fue aplicado en el ordenamiento jurídico belga mediante el artículo 6 de la Ley de 3 de diciembre de 2017. En efecto, a tenor de dicho artículo 6, que presenta una formulación sustancialmente idéntica a la del artículo 58, apartado 5, del Reglamento 2016/679, la APD está facultada para poner en conocimiento de las autoridades judiciales cualquier violación de los principios básicos de protección de datos personales, en el marco de dicha Ley y de las leyes que contengan disposiciones en materia de protección del tratamiento de datos personales, y, cuando proceda, para ejercitar acciones judiciales con el fin de hacer cumplir dichos principios básicos. Por consiguiente, procede considerar que la APD puede basarse en una disposición de Derecho nacional, como el artículo 6 de la Ley de 3 de diciembre de 2017, que aplica el artículo 58, apartado 5, del Reglamento 2016/679 en el Derecho belga, para ejercitar acciones judiciales con el fin de hacer cumplir dicho Reglamento.

    109

    Por otra parte, y en aras de la exhaustividad, procede señalar que, en virtud del artículo 288 TFUE, párrafo segundo, un reglamento es obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro, de modo que sus disposiciones no requieren, en principio, ninguna medida de aplicación de los Estados miembros.

    110

    A este respecto, debe recordarse que, según consolidada jurisprudencia del Tribunal de Justicia, en virtud del artículo 288 TFUE y en razón de la propia índole de los Reglamentos y de su función en el sistema de fuentes del Derecho de la Unión, sus disposiciones tienen, por regla general, efecto directo en los ordenamientos jurídicos nacionales, sin necesidad de que las autoridades nacionales adopten medidas de aplicación. No obstante, algunas de estas disposiciones pueden requerir, para su ejecución, la adopción de medidas de aplicación por los Estados miembros (sentencia de 15 de marzo de 2017, Al Chodor, C‑528/15, EU:C:2017:213, apartado 27 y jurisprudencia citada).

    111

    Pues bien, como ha señalado el Abogado General, en esencia, en el punto 167 de sus conclusiones, el artículo 58, apartado 5, del Reglamento 2016/679 establece una norma específica e inmediatamente aplicable en virtud de la cual las autoridades de control deben contar con legitimación activa ante los órganos jurisdiccionales nacionales y poder ejercitar acciones judiciales con arreglo al Derecho nacional.

    112

    Del artículo 58, apartado 5, del Reglamento 2016/679 no se desprende que los Estados miembros deban establecer mediante una disposición expresa cuáles son las circunstancias en que las autoridades nacionales de control pueden ejercitar acciones judiciales, en el sentido de esta disposición. Basta con que la autoridad de control tenga la posibilidad, con arreglo a la legislación nacional, de poner en conocimiento de las autoridades judiciales las infracciones de dicho Reglamento y, si procede, de iniciar o ejercitar de otro modo acciones judiciales, con el fin de hacer cumplir lo dispuesto en dicho Reglamento.

    113

    Habida cuenta de todas las consideraciones anteriores, procede responder a la quinta cuestión prejudicial planteada que el artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que esta disposición tiene efecto directo, de modo que una autoridad de control nacional puede invocarla para ejercitar o retomar una acción contra particulares, aun cuando dicha disposición no se haya aplicado específicamente en la legislación del Estado miembro de que se trate.

    Sexta cuestión prejudicial

    114

    Mediante su sexta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, en caso de respuesta afirmativa a las cuestiones prejudiciales primera a quinta, si el resultado de un procedimiento judicial incoado por una autoridad de control de un Estado miembro en relación con un tratamiento transfronterizo de datos personales puede impedir que la autoridad de control principal adopte una resolución en la que llegue a una declaración en sentido contrario en caso de que esta investigue sobre las mismas actividades de tratamiento transfronterizo o sobre actividades similares, de conformidad con el mecanismo previsto en los artículos 56 y 60 del Reglamento 2016/679.

    115

    A este respecto, procede recordar que, según reiterada jurisprudencia, las cuestiones relativas al Derecho de la Unión gozan de una presunción de pertinencia. El Tribunal de Justicia solo puede negarse a pronunciarse sobre una cuestión prejudicial planteada por un órgano jurisdiccional nacional cuando resulte evidente que la interpretación de una norma de la Unión que se ha solicitado carece de relación alguna con la realidad o con el objeto del litigio principal, cuando el problema sea de naturaleza hipotética o, también, cuando el Tribunal de Justicia no disponga de los elementos de hecho o de Derecho necesarios para responder de manera útil a las cuestiones planteadas (sentencias de 16 de junio de 2015, Gauweiler y otros, C‑62/14, EU:C:2015:400, apartado 25, y de 7 de febrero de 2018, American Express, C‑304/16, EU:C:2018:66, apartado 32).

    116

    Conforme a jurisprudencia también reiterada, la justificación de la remisión prejudicial no es la formulación de opiniones consultivas sobre cuestiones generales o hipotéticas, sino su necesidad para la resolución efectiva de un litigio (sentencia de 10 de diciembre de 2018, Wightman y otros, C‑621/18, EU:C:2018:999, apartado 28 y jurisprudencia citada).

    117

    En el caso de autos, es preciso subrayar que, como observa el Gobierno belga, la sexta cuestión prejudicial planteada se basa en circunstancias cuya concurrencia en el litigio principal no se ha demostrado en modo alguno, a saber, que, en relación con el tratamiento transfronterizo que es objeto de dicho litigio, exista una autoridad de control principal que no solo investigue sobre las mismas actividades de tratamiento transfronterizo de datos personales que son objeto del procedimiento judicial incoado por la autoridad de control del Estado miembro de que se trate o sobre actividades similares, sino que pretenda también adoptar una decisión que contenga una declaración en sentido contrario.

    118

    En estas circunstancias, procede señalar que la sexta cuestión planteada no tiene relación alguna con la realidad o con el objeto del litigio principal y se refiere a un problema hipotético. Por consiguiente, esta cuestión prejudicial debe declararse inadmisible.

    Costas

    119

    Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

     

    En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:

     

    1)

    Los artículos 55, apartado 1, 56 a 58 y 60 a 66 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en relación con los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, deben interpretarse en el sentido de que una autoridad de control de un Estado miembro que, en virtud de la legislación nacional adoptada en ejecución del artículo 58, apartado 5, de dicho Reglamento, está facultada para poner en conocimiento de los órganos jurisdiccionales de ese Estado miembro cualquier supuesta infracción de dicho Reglamento y, si procede, para iniciar o ejercitar acciones judiciales puede ejercer esta facultad en lo que respecta a un tratamiento de datos transfronterizo aunque no sea la «autoridad de control principal», en el sentido del artículo 56, apartado 1, del mismo Reglamento, en lo referente a tal tratamiento de datos, siempre que sea en alguna de las situaciones en la que el Reglamento 2016/679 confiere a esa autoridad de control competencia para adoptar una decisión en la que se declare que dicho tratamiento incumple las normas que el Reglamento contiene y siempre que se respeten los procedimientos de cooperación y de coherencia establecidos por dicho Reglamento.

     

    2)

    El artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que, en caso de tratamiento de datos transfronterizo, el ejercicio de la facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de iniciar o ejercitar acciones judiciales, en el sentido de esta disposición, no exige que el responsable o encargado del tratamiento transfronterizo de datos personales contra el que se ejercite dicha acción disponga de un establecimiento principal u otro establecimiento en el territorio de dicho Estado miembro.

     

    3)

    El artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que la facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de poner en conocimiento de los órganos jurisdiccionales de ese Estado cualquier supuesta infracción de dicho Reglamento y, si procede, iniciar o ejercitar acciones judiciales, en el sentido de dicha disposición, puede ejercerse tanto con respecto al establecimiento principal del responsable del tratamiento que se encuentre en el Estado miembro de dicha autoridad como con respecto a otro establecimiento de ese responsable, siempre que la acción judicial tenga por objeto un tratamiento de datos efectuado en el contexto de las actividades de ese establecimiento y que dicha autoridad tenga competencia para ejercer esa facultad, según se ha expuesto en la respuesta a la primera cuestión prejudicial planteada.

     

    4)

    El artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que, cuando una autoridad de control de un Estado miembro que no es la «autoridad de control principal», en el sentido del artículo 56, apartado 1, de dicho Reglamento, ha ejercitado antes del 25 de mayo de 2018 una acción judicial cuyo objeto era un tratamiento transfronterizo de datos personales, a saber, antes de la fecha en la que dicho Reglamento comenzó a ser aplicable, esa acción puede mantenerse, desde el punto de vista del Derecho de la Unión, sobre la base de las disposiciones de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que sigue siendo aplicable en lo que se refiere a las infracciones de las normas que establece, cometidas hasta la fecha en que dicha Directiva fue derogada. Además, tal acción puede ser ejercitada por esa autoridad por infracciones cometidas después de esa fecha, sobre la base del artículo 58, apartado 5, del Reglamento 2016/679, siempre que sea en alguna de las situaciones en que, excepcionalmente, dicho Reglamento confiere a una autoridad de control de un Estado miembro que no es la «autoridad de control principal» competencia para adoptar una decisión por la que se declare que el tratamiento de datos en cuestión no cumple las disposiciones del citado Reglamento en lo que se refiere a la protección de los derechos de las personas físicas con respecto al tratamiento de datos personales, y siempre que se respeten los procedimientos de cooperación y coherencia establecidos por el mismo Reglamento, extremo que corresponde comprobar al órgano jurisdiccional remitente.

     

    5)

    El artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que esta disposición tiene efecto directo, de modo que una autoridad de control nacional puede invocarla para ejercitar o retomar una acción contra particulares, aun cuando dicha disposición no se haya aplicado específicamente en la legislación del Estado miembro de que se trate.

     

    Firmas


    ( *1 ) Lengua de procedimiento: neerlandés.

    Top