Asuntos acumulados T‑70/23, T‑84/23 y T‑111/23
(publicación por extractos)
Data Protection Commission
contra
Comité Europeo de Protección de Datos
Sentencia del Tribunal General de 29 de enero de 2025
«Protección de datos personales — Artículo 65, apartado 1, letra a), del Reglamento (UE) 2016/679 — Decisión vinculante por la que se dan instrucciones a una autoridad de control principal para que amplíe el ámbito de la investigación y elabore un proyecto de decisión adicional — Competencia del Comité Europeo de Protección de Datos»
Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Competencia del Comité Europeo de Protección de Datos (CEPD) — Alcance — Decisión vinculante por la que se dan instrucciones a una autoridad de control principal para que amplíe el ámbito de una investigación y elabore un proyecto de decisión adicional — Inclusión
[Art. 39 TUE; arts. 16 TFUE, aps. 1 y 2, 101 TFUE y 102 TFUE; Carta de los Derechos Fundamentales de la Unión Europea, art. 8, aps. 1 y 3; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, considerandos 126, 136 y 141 y arts. 4, punto 24, 57, ap. 1, letras a) y f), 58, ap. 2, 60, 65, aps. 1, letra a), 2, 3 y 6, y 66]
(véanse los apartados 35, 36, 38 a 40, 43 a 45, 49 a 54, 56 a 59, 62, 63, 68 a 75 y 77 a 82)
Resumen
Pronunciándose en Sala ampliada, el Tribunal General desestima los recursos de la Data Protection Commission, la autoridad de control irlandesa en materia de protección de datos personales, que tienen por objeto la anulación parcial de determinadas decisiones vinculantes del Comité Europeo de Protección de Datos (CEPD). En su sentencia, se pronuncia, por vez primera, sobre la competencia del CEPD para exigir a una autoridad de control nacional que amplíe su examen de un caso y, eventualmente, su investigación.
Tras las comunicaciones mantenidas con las demás autoridades de control interesadas, la Data Protection Commission, como autoridad de control principal, constató que no se alcanzaba ningún consenso en cuanto a las objeciones formuladas respecto de sus proyectos de decisión relativos a los tratamientos transfronterizos de datos vinculados al uso de la red social Facebook, de la red social Instagram y de la mensajería WhatsApp. Por consiguiente, sometió el asunto al CEPD en el marco del mecanismo de coherencia. ( 1 )
A raíz del examen de los tres expedientes, el CEPD, al estimar que la mayoría de las objeciones formuladas en relación con los proyectos de decisión eran pertinentes y estaban motivadas, decidió pronunciarse sobre los asuntos que suscitaban.
Así, el 5 de diciembre de 2022, adoptó unas decisiones vinculantes que conminaban a la Data Protection Commission a llevar a cabo nuevas investigaciones sobre los tratamientos de datos vinculados al uso de las tres aplicaciones antes citadas y a elaborar proyectos de decisión adicionales sobre esta base.
La Data Protection Commission impugnó entonces la competencia del CEPD para exigirle, mediante las decisiones vinculantes, tales medidas.
Apreciación del Tribunal General
En primer lugar, el Tribunal General precisa el alcance de la competencia del CEPD ( 2 ) basándose en el análisis literal, contextual y teleológico del RGPD.
En este contexto, empieza señalando que, según una interpretación literal de las disposiciones pertinentes del RGPD, ( 3 ) el CEPD es competente para adoptar aquellas disposiciones, como las impugnadas, que dan instrucciones a la autoridad de control principal para que lleve a cabo una nueva investigación sobre determinados aspectos de los expedientes de que se trata y adopte posteriormente nuevos proyectos de decisión. Dado que la decisión vinculante del CEPD debe afectar a todos los asuntos a que se refieran las objeciones pertinentes y motivadas, las disposiciones correspondientes del RGPD no impiden que, cuando el CEPD aprueba una objeción pertinente y motivada referida a una ausencia o a una insuficiencia de análisis, en la propuesta de decisión, de un aspecto, que impide saber si se ha infringido ese Reglamento, dicha decisión incluya un requerimiento a la autoridad de control principal para que remedie esa falta de examen y, si resulta necesario a la vista del expediente que obra en poder del CEPD, profundice o amplíe a tal efecto la investigación llevada a cabo hasta entonces. Si resulta que el expediente no basta para realizar en su totalidad el examen exigido, ello debe llevar a que el CEPD pueda exigir a la autoridad de control principal una investigación adicional.
A continuación, el Tribunal General considera, por lo que respecta a la interpretación contextual de las disposiciones pertinentes del RGPD, que el contexto general de la obligación de cooperación entre las autoridades de control interesadas en un caso, consagrado en el RGPD, confirma la competencia del CEPD para adoptar las medidas cuestionadas.
Sobre este particular, indica que el procedimiento de cooperación entre autoridades de control interesadas en un caso, ( 4 ) que puede suponer la activación del mecanismo de coherencia garantizado por el CEPD, no es un procedimiento «de sentido único» en el que las etapas siempre se encadenen en el orden de las disposiciones que las establecen, sin posibilidad de retornar a una etapa anterior o de mantenerse temporalmente en la misma fase.
Además, observa que el examen de las condiciones en las que se realizan los tratamientos de datos personales y el examen de su conformidad con el RGPD no deben limitarse a lo que pone de manifiesto la reclamación de un denunciante. En particular, garantizar plenamente las funciones de las autoridades de control previstas en el RGPD de hacerlo aplicar y tratar las reclamaciones en la medida oportuna ( 5 ) implica delimitar adecuadamente el examen del expediente a la luz de la reclamación que está en el origen de dicho expediente, pero también a la luz de los demás elementos que pueden completar el examen. Pues bien, la objeción pertinente y motivada, según su definición, versa sobre aspectos cuyo examen guarda efectivamente relación con las dos funciones antes mencionadas. Por consiguiente, el hecho de que una objeción pertinente y motivada afecte a la extensión del examen y, en su caso, al ámbito de la investigación, y que el CEPD la siga, en modo alguno compromete tales funciones.
Por último, el Tribunal General subraya que el examen de los objetivos del RGPD también confirma la interpretación literal de las disposiciones pertinentes del RGPD.
A este respecto, recuerda, en particular, que el mecanismo de cooperación entre autoridades de control interesadas en un caso se encuentra limitado cuando estas no llegan a un consenso. En esta situación, la autoridad de control principal habrá de someter la cuestión no consensuada al mecanismo de coherencia, que dará lugar a una decisión vinculante del CEPD. En caso de reapertura de una investigación, la autoridad competente debe adoptar, con posterioridad a una decisión vinculante del CEPD, una decisión definitiva sobre los aspectos de fondo examinados y resueltos, en el plazo previsto en el RGPD. Ello no le impide llevar a cabo una investigación adicional y analizar los aspectos del caso que no hayan sido examinados aún.
En segundo lugar, el Tribunal General estima que las condiciones de atribución de una competencia a un órgano de la Unión no se oponen a la interpretación defendida, según la cual el CEPD tiene la facultad de exigir a una autoridad de control principal que amplíe su examen y, en su caso, su investigación. En efecto, el ejercicio de tal facultad está sujeto a diversos criterios y condiciones que delimitan su ámbito de actuación. Así pues, esta facultad, por una parte, solo se ejercita en caso de una insuficiencia claramente identificada del examen de la autoridad de control principal en el tratamiento del caso que pueda tener consecuencias importantes, como se desprende de la definición de la objeción pertinente y motivada, y, por otra parte, resulta de la apreciación colectiva de las autoridades de control que integran el CEPD.
Por otro lado, el Tribunal General precisa que el ejercicio de dicha facultad está sujeto a control judicial. Más concretamente, circunscribiéndose a los motivos invocados ante él, el juez de la Unión puede comprobar la legalidad de las disposiciones impugnadas en cuanto al fondo en función de las circunstancias del caso. En particular, en un primer momento, puede comprobar si el CEPD, al adoptar disposiciones de esa naturaleza, siguió efectivamente una objeción pertinente y motivada de una autoridad de control. En un momento posterior, puede comprobar la legalidad de la esencia misma de esas disposiciones que dan instrucciones a las autoridades de control.
En este contexto, el Tribunal General añade que una decisión vinculante del CEPD que exija a la autoridad de control principal ampliar su examen y su investigación no cuestiona su capacidad para jerarquizar el cumplimiento de sus diferentes funciones como autoridad independiente, tarea cuyo control corresponde exclusivamente al juez nacional. Más genéricamente, tampoco pone en tela de juicio la independencia que tiene. ( 6 )
( 1 ) De conformidad con el artículo 60, apartado 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).
( 2 ) En virtud del artículo 65, apartado 1, letra a), del RGPD.
( 3 ) Artículo 65, apartado 1, letra a), del RGPD, en relación con el artículo 4, punto 24, con el artículo 65, apartado 6, y con los considerandos 126 y 136 de dicho Reglamento.
( 4 ) Establecido en el artículo 60 del RGPD.
( 5 ) Artículo 57, apartado 1, letras a) y f), del RGPD.
( 6 ) Consagrada en el artículo 39 TUE, en el artículo 16 TFUE, apartado 2, y en el artículo 8, apartado 3, de la Carta de los Derechos Fundamentales de la Unión Europea.