Competencia y Derecho aplicable en el reglamento general sobre protección de datos de la Unión Europea

AutorPedro Alberto De Miguel Asensio
Páginas75-108
REDI, vol. 69 (2017), 1
COMPETENCIA Y DERECHO APLICABLE
EN EL REGLAMENTO GENERAL SOBRE PROTECCIÓN
DE DATOS DE LA UNIÓN EUROPEA*
Pedro Alberto DE MIGUEL ASENSIO
SUMARIO: 1. PANORAMA DE LA NUEVA NORMATIVA.—2. ÁMBITO TERRITORIAL Y DE-
TERMINACIÓN DEL RÉGIMEN JURÍDICO.—2.1. Función de las normas sobre el ámbito
territorial.—2.2. Evolución de los criterios de aplicación.—2.3. Establecimiento del res-
ponsable o encargado del tratamiento.—2.4. Responsables o encargados no establecidos
en la Unión.—3. DELIMITACIÓN DE LA COMPETENCIA DE LAS AUTORIDADES DE
CONTROL.—3.1. Tratamientos transfronterizos.—3.2. El modelo de ventanilla única y sus
límites.—3.3. Reclamaciones ante las autoridades de control y tutela jurisdiccional.—4. TU-
TELA JUDICIAL CIVIL CONTRA UN RESPONSABLE O ENCARGADO.—4.1. Acciones
civiles.—4.2. Regla especial de competencia: alcance.—4.3. Fuero del establecimien-
to.—4.4. Residencia habitual del interesado.—4.5. Interacción con las reglas de compe-
tencia del Reglamento Bruselas I bis.—4.6. Litispendencia y conexidad.—4.7. Ley aplica-
ble.—5. CONCLUSIONES.
1. PANORAMA DE LA NUEVA NORMATIVA
1. Dos elementos condicionan la trascendencia alcanzada por la dimen-
sión internacional de la legislación europea sobre protección de datos perso-
nales, que ha tenido un claro reflejo en la jurisprudencia reciente del Tribunal
de Justicia (TJUE) —como muestran sus sentencias en los asuntos Google
Spain 1, Weltimmo 2, Schrems 3 o Verein für Konsumenteninformation 4— y es de
prever que lo continúe teniendo próximamente 5, al tiempo que ha merecido
* Esta contribución se ha realizado en el marco del proyecto de investigación DER 2015-64063
(MINECO/FEDER). Todas las páginas web citadas han sido visitadas el 15 de octubre de 2016. Pedro
Alberto de Miguel Asensio es Catedrático de Derecho internacional privado de la Universidad Complu-
tense de Madrid. Correo electrónico: pdmigue@der.ucm.es.
1 Asunto C-131/12, ECLI:EU:C:2014:317.
2 Asunto C-230/14, ECLI:EU:C:2015:639.
3 Asunto C-362/14, ECLI:EU:C:2015:650.
4 Asunto C-191/15, ECLI:EU:C:2016:612.
5 Cabe reseñar el auto del Oberster Gerichtshof austriaco de 20 de julio de 2016 en el asunto
Schrems c. Facebook que solicita al TJUE una decisión prejudicial sobre las normas de competencia
Revista Española de Derecho Internacional
Sección ESTUDIOS
Vol. 69/1, enero-junio 2017, Madrid, pp. 75-108
http://dx.doi.org/10.17103/redi.69.1.2017.1.03
© 2017 Asociación de Profesores
de Derecho Internacional
y Relaciones Internacionales
ISSN: 0034-9380; E-ISSN: 2387-1253
76 PEDRO ALBERTO DE MIGUEL ASENSIO
REDI, vol. 69 (2017), 1
particular atención en el proceso de revisión legislativa. De una parte, destaca
la disparidad a nivel comparado entre los estándares de tutela del derecho a
la protección de datos, que en la Unión Europea (UE) se configura como un
derecho fundamental de conformidad con el art. 8.1 de la Carta de Derechos
Fundamentales de la UE y el art. 16.1 del Tratado de Funcionamiento de la
UE 6, lo que se relaciona con su elevado nivel de protección en un contexto
en el que no existe un marco regulatorio común a escala global 7. De otra
parte, la utilización de información sobre personas físicas como componente
esencial de actividades ofertadas o prestadas a través de Internet 8 se asocia
con la relevancia práctica del ámbito espacial de aplicación de la legislación,
así como de las cuestiones relativas a la determinación de las autoridades y
tribunales competentes, que condicionan la efectividad del régimen de pro-
tección instaurado en la UE y su eventual repercusión sobre la posición com-
petitiva 9 y las obligaciones de los operadores afectados.
2. Tras más de un lustro de gestación 10, el 27 de abril de 2016 tuvo lu-
gar la adopción del Reglamento (UE) 2016/679, general de protección de da-
tos (RPD) 11, que deroga la Directiva 95/46/CE 12 con efecto a partir del 25 de
mayo de 2018. Debido a su amplio alcance material, el RPD se proyecta sobre
el conjunto de tratamientos de datos relativos a personas físicas identifica-
das o identificables, salvo ciertas excepciones, como los tratamientos para
la prevención, investigación, detección o enjuiciamiento de infracciones pe-
nales 13, o los efectuados por una persona física en el ejercicio de actividades
judicial internacional en materia de contratos de consumo respecto de una acción colectiva frente a
ciertas prácticas en materia de tratamiento de datos, consultado en http://europe-v-facebook.org/EN/
en.html; así como la petición del Bundesverwaltungsgericht (Alemania) en el asunto C-210/16, Unabhän-
giges Landeszentrum für Datenschutz Schleswig-Holstei/ Wirtschaftsakademie Schleswig-Holstein GmbH,
con cuestiones sobre las competencias de las autoridades de control en situaciones internacionales.
6 GONZÁLEZ FUSTER, G., The Emergence of Personal Data Protection as a Fundamental Right of the
EU, Heidelberg, Springer, 2014, pp. 163-248.
7 KUNER, C., Transborder Data Flows and Data Privacy Law, Oxford, OUP, 2013, pp. 157-160; id.,
«The European Union and the Search for an International Data Protection Framework», Groningen
Journal of International Law, vol. 2(2), 2014, pp. 55-71; y BYGRAVE, L. A., Data Privacy Law, an Interna-
tional Perspective, Oxford, OUP, 2014, caps. 3 y 4.
8 Como sucede con las redes sociales, véanse las contribuciones incluidas en RALLO LOMBARTE, A.
y MARTÍNEZ MARTÍNEZ, R. (coords.), Derecho y redes sociales, 2.ª ed., Navarra, Civitas, 2013, así como
EDWARDS, L., «Privacy, law, code and social networking sites», en BROWN, I. (ed.), Research Handbook on
Governance of the Internet, Cheltenham, Edward Elgar, 2013, pp. 309-352; y los servicios de computación
en la nube, CHANG, H., «Data protection regulation and cloud computing», en CHEUNG, A. S. Y. y WEBER,
R. H. (eds.), Privacy and Legal Issues in Cloud Computing, Cheltenham, Edward Elgar, 2015, pp. 26-42.
9 VAN ALSENOY, B. y KOEKKOEK, M., «Internet and jurisdiction after Google Spain: the extraterrito-
rial reach of the “right to be delisted”», International Data Privacy Law (IDPL), 5.2, 2015, pp. 105-120,
esp. p. 110.
10 Las líneas básicas de la reforma aparecían ya recogidas en Comisión Europea, «Comunicación
acerca del enfoque global de la protección de los datos personales en la Unión Europea», COM(2010)
609, de 4 de noviembre de 2010, que se encuentra en el origen de la Propuesta de Reglamento,
COM(2012) 11, de 25 de enero de 2012.
11 DO L núm. 119, de 4 de mayo de 2016, p. 1.
12 DO L núm. 281, de 23 de noviembre de 1995, p. 31.
13 Materia regulada en una Directiva de la misma fecha, que queda al margen del presente análisis,
la Directiva (UE) 2016/680, de 27 de abril (DO L núm. 119, de 4 de mayo de 2016, p. 89).
COMPETENCIA Y DERECHO APLICABLE EN EL REGLAMENTO GENERAL... 77
REDI, vol. 69 (2017), 1
exclusivamente personales o domésticas conforme al art. 2.2.c) del RPD que
mantiene la excepción ya existente en el régimen previo. Al margen del Regla-
mento quedan las obligaciones específicas de los servicios de comunicaciones
electrónicas en redes públicas de comunicación 14, si bien lo deseable es que
en lo relativo al ámbito territorial de aplicación los criterios del RPD sean
también aplicables en este sector 15.
Rasgo muy destacado es el cambio de instrumento normativo, pues frente
al marco legislativo previo de mera armonización 16 se ha optado por la uni-
ficación mediante un Reglamento llamado a sustituir a las legislaciones na-
cionales 17, salvo en aspectos en los que el RPD prevé que sus normas pueden
ser especificadas o restringidas por los Estados miembros, como contempla
su art. 8 sobre la edad aplicable al consentimiento de los niños. En todo caso,
la aplicación de determinados aspectos del RPD, como en materia de super-
visión, requerirá la adaptación de las legislaciones nacionales.
3. Muy significativas son las novedades que introduce el RPD 18 en lo re-
lativo a su dimensión internacional 19. Tras la unificación normalmente no
resultará necesario en las situaciones intracomunitarias determinar la le-
gislación de qué concreto Estado miembro es aplicable con respecto a las
materias objeto del RPD, pero se mantiene la trascendencia de precisar el
alcance internacional de la legislación europea (sección 2, infra) y cobra una
renovada importancia la precisión del Estado cuya autoridad de control es
competente (sección 3, infra). Respecto a la tutela judicial en materia civil, la
coordinación de otras novedades con normas preexistentes de Derecho inter-
nacional privado reviste particular complejidad 20, en materia de competencia
judicial internacional, litispendencia y ley aplicable (sección 4, infra).
14 Obligaciones establecidas en la Directiva 2002/58/CE, pendiente de ser revisada para asegurar
la coherencia con el RPD, véanse cdo. 173 y art. 95 RPD. La subsistencia en ese ámbito de la mera
armonización plantea riesgos de descoordinación con el RPD, véase KOTSCHY, W., «The proposal for
a new General Data Protection Regulation-problems solved?», IDPL, vol. 4(4), 2014, pp. 274-281, esp.
pp. 276-277.
15 European Data Protection Supervisor, «Opinion 5/2016. Preliminary EDPS Opinion on the re-
view of the ePrivacy Directive (2002/58/EC)», 22 de julio de 2016, p. 21, https://secure.edps.europa.eu/.
16 El TJUE puso de relieve que la armonización llevada a cabo por la Directiva 95/46/CE era com-
pleta o de máximos pero destacó que la flexibilidad de sus normas dejaba en muchos casos en manos de
los Estados la regulación de los detalles y la posibilidad de elegir entre varias opciones, SSTJUE de 6 de
noviembre de 2003, Lindqvist, C-101/01, ECLI:EU:C:2003:596, apartados 83 y 95-96; y 7 de noviembre
de 2013, C-473/12, IPI, ECLI:EU:C:2013:715, apartado 31.
17 Entre las deficiencias de la situación bajo la Directiva, destacaba lo fragmentado del entorno que
generaba inseguridad jurídica, véase Comisión Europea, «La protección de la privacidad en un mundo
interconectado. Un marco europeo de protección de datos para el siglo XXI», COM(2012) 9, pp. 4-7, de
25 de enero de 2012, presentada junto a la Propuesta de Reglamento, COM(2012) 11.
18 Para un análisis de conjunto, DE HERT, P. y PAPAKONSTANTINOU, V., «The new General Data Pro-
tection Regulation: Still a sound system for the protection of individuals?», Computer Law & Security
Review, vol. 32, 2016, pp. 179-194.
19 Para una valoración inicial, DE MIGUEL ASENSIO, P. A., «Aspectos internacionales del Reglamento
general de protección de datos de la UE (I): cuestiones de competencia», 11 de mayo de 2016; e id.,
«(II): Derecho aplicable», 19 de mayo de 2016, http://pedrodemiguelasensio.blogspot.com.es.
20 BRKAN, M., «Data Protection and European Private International Law», July 2015, Ro-
bert Schuman Centre for Advanced Studies Research Paper No. RSCAS 2015/40, http://ssrn.com/abs-

To continue reading

Request your trial