El papel de las autoridades de control en el tratamiento transfronterizo de datos. Caso Facebook Ireland 

Protección de datos personales. Recogida por Facebook de información sobre los hábitos de navegación de internautas. Acción de cesación. Autoridad de control. Tratamiento transfronterizo. Establecimiento principal. 

El Tribunal de Justicia declara que: 

  1. Los artículos 55, apartado 1, 56 a 58 y 60 a 66 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en relación con los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, deben interpretarse en el sentido de que una autoridad de control de un Estado miembro que, en virtud de la legislación nacional adoptada en ejecución del artículo 58, apartado 5, de dicho Reglamento, está facultada para poner en conocimiento de los órganos jurisdiccionales de ese Estado miembro cualquier supuesta infracción de dicho Reglamento y, si procede, para iniciar o ejercitar acciones judiciales puede ejercer esta facultad en lo que respecta a un tratamiento de datos transfronterizo aunque no sea la «autoridad de control principal», en el sentido del artículo 56, apartado 1, del mismo Reglamento, en lo referente a tal tratamiento de datos, siempre que sea en alguna de las situaciones en la que el Reglamento 2016/679 confiere a esa autoridad de control competencia para adoptar una decisión en la que se declare que dicho tratamiento incumple las normas que el Reglamento contiene y siempre que se respeten los procedimientos de cooperación y de coherencia establecidos por dicho Reglamento. 
  2. El artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que, en caso de tratamiento de datos transfronterizo, el ejercicio de la facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de iniciar o ejercitar acciones judiciales, en el sentido de esta disposición, no exige que el responsable o encargado del tratamiento transfronterizo de datos personales contra el que se ejercite dicha acción disponga de un establecimiento principal u otro establecimiento en el territorio de dicho Estado miembro. 
  3. El artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que la facultad de una autoridad de control de un Estado miembro, distinta de la autoridad de control principal, de poner en conocimiento de los órganos jurisdiccionales de ese Estado cualquier supuesta infracción de dicho Reglamento y, si procede, iniciar o ejercitar acciones judiciales, en el sentido de dicha disposición, puede ejercerse tanto con respecto al establecimiento principal del responsable del tratamiento que se encuentre en el Estado miembro de dicha autoridad como con respecto a otro establecimiento de ese responsable, siempre que la acción judicial tenga por objeto un tratamiento de datos efectuado en el contexto de las actividades de ese establecimiento y que dicha autoridad tenga competencia para ejercer esa facultad, según se ha expuesto en la respuesta a la primera cuestión prejudicial planteada. 
  4. El artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que, cuando una autoridad de control de un Estado miembro que no es la «autoridad de control principal», en el sentido del artículo 56, apartado 1, de dicho Reglamento, ha ejercitado antes del 25 de mayo de 2018 una acción judicial cuyo objeto era un tratamiento transfronterizo de datos personales, a saber, antes de la fecha en la que dicho Reglamento comenzó a ser aplicable, esa acción puede mantenerse, desde el punto de vista del Derecho de la Unión, sobre la base de las disposiciones de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que sigue siendo aplicable en lo que se refiere a las infracciones de las normas que establece, cometidas hasta la fecha en que dicha Directiva fue derogada. Además, tal acción puede ser ejercitada por esa autoridad por infracciones cometidas después de esa fecha, sobre la base del artículo 58, apartado 5, del Reglamento 2016/679, siempre que sea en alguna de las situaciones en que, excepcionalmente, dicho Reglamento confiere a una autoridad de control de un Estado miembro que no es la «autoridad de control principal» competencia para adoptar una decisión por la que se declare que el tratamiento de datos en cuestión no cumple las disposiciones del citado Reglamento en lo que se refiere a la protección de los derechos de las personas físicas con respecto al tratamiento de datos personales, y siempre que se respeten los procedimientos de cooperación y coherencia establecidos por el mismo Reglamento, extremo que corresponde comprobar al órgano jurisdiccional remitente. 
  5. El artículo 58, apartado 5, del Reglamento 2016/679 debe interpretarse en el sentido de que esta disposición tiene efecto directo, de modo que una autoridad de control nacional puede invocarla para ejercitar o retomar una acción contra particulares, aun cuando dicha disposición no se haya aplicado específicamente en la legislación del Estado miembro de que se trate.

(Tribunal de Justicia de la Unión Europea, Sentencia de 15 de junio de 2021, Gran Sala, asunto n.º C-645/19)