Competencia y Derecho aplicable en el reglamento general sobre protección de datos de la Unión Europea

• Author: Pedro Alberto De Miguel Asensio
• Pages: 75-108

REDI, vol. 69 (2017), 1

COMPETENCIA Y DERECHO APLICABLE

EN EL REGLAMENTO GENERAL SOBRE PROTECCIÓN

DE DATOS DE LA UNIÓN EUROPEA*

Pedro Alberto DE MIGUEL ASENSIO

SUMARIO: 1. PANORAMA DE LA NUEVA NORMATIVA.—2. ÁMBITO TERRITORIAL Y DE-

TERMINACIÓN DEL RÉGIMEN JURÍDICO.—2.1. Función de las normas sobre el ámbito

territorial.—2.2. Evolución de los criterios de aplicación.—2.3. Establecimiento del res-

ponsable o encargado del tratamiento.—2.4. Responsables o encargados no establecidos

en la Unión.—3. DELIMITACIÓN DE LA COMPETENCIA DE LAS AUTORIDADES DE

CONTROL.—3.1. Tratamientos transfronterizos.—3.2. El modelo de ventanilla única y sus

límites.—3.3. Reclamaciones ante las autoridades de control y tutela jurisdiccional.—4. TU-

TELA JUDICIAL CIVIL CONTRA UN RESPONSABLE O ENCARGADO.—4.1. Acciones

civiles.—4.2. Regla especial de competencia: alcance.—4.3. Fuero del establecimien-

to.—4.4. Residencia habitual del interesado.—4.5. Interacción con las reglas de compe-

tencia del Reglamento Bruselas I bis.—4.6. Litispendencia y conexidad.—4.7. Ley aplica-

ble.—5. CONCLUSIONES.

1. PANORAMA DE LA NUEVA NORMATIVA

1. Dos elementos condicionan la trascendencia alcanzada por la dimen-

sión internacional de la legislación europea sobre protección de datos perso-

nales, que ha tenido un claro ref‌lejo en la jurisprudencia reciente del Tribunal

de Justicia (TJUE) —como muestran sus sentencias en los asuntos Google

Spain 1, Weltimmo 2, Schrems 3 o Verein für Konsumenteninformation 4— y es de

prever que lo continúe teniendo próximamente 5, al tiempo que ha merecido

* Esta contribución se ha realizado en el marco del proyecto de investigación DER 2015-64063

(MINECO/FEDER). Todas las páginas web citadas han sido visitadas el 15 de octubre de 2016. Pedro

Alberto de Miguel Asensio es Catedrático de Derecho internacional privado de la Universidad Complu-

tense de Madrid. Correo electrónico: pdmigue@der.ucm.es.

1 Asunto C-131/12, ECLI:EU:C:2014:317.

2 Asunto C-230/14, ECLI:EU:C:2015:639.

3 Asunto C-362/14, ECLI:EU:C:2015:650.

4 Asunto C-191/15, ECLI:EU:C:2016:612.

5 Cabe reseñar el auto del Oberster Gerichtshof austriaco de 20 de julio de 2016 en el asunto

Schrems c. Facebook que solicita al TJUE una decisión prejudicial sobre las normas de competencia

Revista Española de Derecho Internacional

Sección ESTUDIOS

Vol. 69/1, enero-junio 2017, Madrid, pp. 75-108

http://dx.doi.org/10.17103/redi.69.1.2017.1.03

© 2017 Asociación de Profesores

de Derecho Internacional

y Relaciones Internacionales

ISSN: 0034-9380; E-ISSN: 2387-1253

76 PEDRO ALBERTO DE MIGUEL ASENSIO

REDI, vol. 69 (2017), 1

particular atención en el proceso de revisión legislativa. De una parte, destaca

la disparidad a nivel comparado entre los estándares de tutela del derecho a

la protección de datos, que en la Unión Europea (UE) se conf‌igura como un

derecho fundamental de conformidad con el art. 8.1 de la Carta de Derechos

Fundamentales de la UE y el art. 16.1 del Tratado de Funcionamiento de la

UE 6, lo que se relaciona con su elevado nivel de protección en un contexto

en el que no existe un marco regulatorio común a escala global 7. De otra

parte, la utilización de información sobre personas físicas como componente

esencial de actividades ofertadas o prestadas a través de Internet 8 se asocia

con la relevancia práctica del ámbito espacial de aplicación de la legislación,

así como de las cuestiones relativas a la determinación de las autoridades y

tribunales competentes, que condicionan la efectividad del régimen de pro-

tección instaurado en la UE y su eventual repercusión sobre la posición com-

petitiva 9 y las obligaciones de los operadores afectados.

2. Tras más de un lustro de gestación 10, el 27 de abril de 2016 tuvo lu-

gar la adopción del Reglamento (UE) 2016/679, general de protección de da-

tos (RPD) 11, que deroga la Directiva 95/46/CE 12 con efecto a partir del 25 de

mayo de 2018. Debido a su amplio alcance material, el RPD se proyecta sobre

el conjunto de tratamientos de datos relativos a personas físicas identif‌ica-

das o identif‌icables, salvo ciertas excepciones, como los tratamientos para

la prevención, investigación, detección o enjuiciamiento de infracciones pe-

nales 13, o los efectuados por una persona física en el ejercicio de actividades

judicial internacional en materia de contratos de consumo respecto de una acción colectiva frente a

ciertas prácticas en materia de tratamiento de datos, consultado en http://europe-v-facebook.org/EN/

en.html; así como la petición del Bundesverwaltungsgericht (Alemania) en el asunto C-210/16, Unabhän-

giges Landeszentrum für Datenschutz Schleswig-Holstei/ Wirtschaftsakademie Schleswig-Holstein GmbH,

con cuestiones sobre las competencias de las autoridades de control en situaciones internacionales.

6 GONZÁLEZ FUSTER, G., The Emergence of Personal Data Protection as a Fundamental Right of the

EU, Heidelberg, Springer, 2014, pp. 163-248.

7 KUNER, C., Transborder Data Flows and Data Privacy Law, Oxford, OUP, 2013, pp. 157-160; id.,

«The European Union and the Search for an International Data Protection Framework», Groningen

Journal of International Law, vol. 2(2), 2014, pp. 55-71; y BYGRAVE, L. A., Data Privacy Law, an Interna-

tional Perspective, Oxford, OUP, 2014, caps. 3 y 4.

8 Como sucede con las redes sociales, véanse las contribuciones incluidas en RALLO LOMBARTE, A.

y MARTÍNEZ MARTÍNEZ, R. (coords.), Derecho y redes sociales, 2.ª ed., Navarra, Civitas, 2013, así como

EDWARDS, L., «Privacy, law, code and social networking sites», en BROWN, I. (ed.), Research Handbook on

Governance of the Internet, Cheltenham, Edward Elgar, 2013, pp. 309-352; y los servicios de computación

en la nube, CHANG, H., «Data protection regulation and cloud computing», en CHEUNG, A. S. Y. y WEBER,

R. H. (eds.), Privacy and Legal Issues in Cloud Computing, Cheltenham, Edward Elgar, 2015, pp. 26-42.

9 VAN ALSENOY, B. y KOEKKOEK, M., «Internet and jurisdiction after Google Spain: the extraterrito-

rial reach of the “right to be delisted”», International Data Privacy Law (IDPL), 5.2, 2015, pp. 105-120,

esp. p. 110.

10 Las líneas básicas de la reforma aparecían ya recogidas en Comisión Europea, «Comunicación

acerca del enfoque global de la protección de los datos personales en la Unión Europea», COM(2010)

609, de 4 de noviembre de 2010, que se encuentra en el origen de la Propuesta de Reglamento,

COM(2012) 11, de 25 de enero de 2012.

11 DO L núm. 119, de 4 de mayo de 2016, p. 1.

12 DO L núm. 281, de 23 de noviembre de 1995, p. 31.

13 Materia regulada en una Directiva de la misma fecha, que queda al margen del presente análisis,

la Directiva (UE) 2016/680, de 27 de abril (DO L núm. 119, de 4 de mayo de 2016, p. 89).

COMPETENCIA Y DERECHO APLICABLE EN EL REGLAMENTO GENERAL... 77

REDI, vol. 69 (2017), 1

exclusivamente personales o domésticas conforme al art. 2.2.c) del RPD que

mantiene la excepción ya existente en el régimen previo. Al margen del Regla-

mento quedan las obligaciones específ‌icas de los servicios de comunicaciones

electrónicas en redes públicas de comunicación 14, si bien lo deseable es que

en lo relativo al ámbito territorial de aplicación los criterios del RPD sean

también aplicables en este sector 15.

Rasgo muy destacado es el cambio de instrumento normativo, pues frente

al marco legislativo previo de mera armonización 16 se ha optado por la uni-

f‌icación mediante un Reglamento llamado a sustituir a las legislaciones na-

cionales 17, salvo en aspectos en los que el RPD prevé que sus normas pueden

ser especif‌icadas o restringidas por los Estados miembros, como contempla

su art. 8 sobre la edad aplicable al consentimiento de los niños. En todo caso,

la aplicación de determinados aspectos del RPD, como en materia de super-

visión, requerirá la adaptación de las legislaciones nacionales.

3. Muy signif‌icativas son las novedades que introduce el RPD 18 en lo re-

lativo a su dimensión internacional 19. Tras la unif‌icación normalmente no

resultará necesario en las situaciones intracomunitarias determinar la le-

gislación de qué concreto Estado miembro es aplicable con respecto a las

materias objeto del RPD, pero se mantiene la trascendencia de precisar el

alcance internacional de la legislación europea (sección 2, infra) y cobra una

renovada importancia la precisión del Estado cuya autoridad de control es

competente (sección 3, infra). Respecto a la tutela judicial en materia civil, la

coordinación de otras novedades con normas preexistentes de Derecho inter-

nacional privado reviste particular complejidad 20, en materia de competencia

judicial internacional, litispendencia y ley aplicable (sección 4, infra).

14 Obligaciones establecidas en la Directiva 2002/58/CE, pendiente de ser revisada para asegurar

la coherencia con el RPD, véanse cdo. 173 y art. 95 RPD. La subsistencia en ese ámbito de la mera

armonización plantea riesgos de descoordinación con el RPD, véase KOTSCHY, W., «The proposal for

a new General Data Protection Regulation-problems solved?», IDPL, vol. 4(4), 2014, pp. 274-281, esp.

pp. 276-277.

15 European Data Protection Supervisor, «Opinion 5/2016. Preliminary EDPS Opinion on the re-

view of the ePrivacy Directive (2002/58/EC)», 22 de julio de 2016, p. 21, https://secure.edps.europa.eu/.

16 El TJUE puso de relieve que la armonización llevada a cabo por la Directiva 95/46/CE era com-

pleta o de máximos pero destacó que la f‌lexibilidad de sus normas dejaba en muchos casos en manos de

los Estados la regulación de los detalles y la posibilidad de elegir entre varias opciones, SSTJUE de 6 de

noviembre de 2003, Lindqvist, C-101/01, ECLI:EU:C:2003:596, apartados 83 y 95-96; y 7 de noviembre

de 2013, C-473/12, IPI, ECLI:EU:C:2013:715, apartado 31.

17 Entre las def‌iciencias de la situación bajo la Directiva, destacaba lo fragmentado del entorno que

generaba inseguridad jurídica, véase Comisión Europea, «La protección de la privacidad en un mundo

interconectado. Un marco europeo de protección de datos para el siglo XXI», COM(2012) 9, pp. 4-7, de

25 de enero de 2012, presentada junto a la Propuesta de Reglamento, COM(2012) 11.

18 Para un análisis de conjunto, DE HERT, P. y PAPAKONSTANTINOU, V., «The new General Data Pro-

tection Regulation: Still a sound system for the protection of individuals?», Computer Law & Security

Review, vol. 32, 2016, pp. 179-194.

19 Para una valoración inicial, DE MIGUEL ASENSIO, P. A., «Aspectos internacionales del Reglamento

general de protección de datos de la UE (I): cuestiones de competencia», 11 de mayo de 2016; e id.,

«(II): Derecho aplicable», 19 de mayo de 2016, http://pedrodemiguelasensio.blogspot.com.es.

20 BRKAN, M., «Data Protection and European Private International Law», July 2015, Ro-

bert Schuman Centre for Advanced Studies Research Paper No. RSCAS 2015/40, http://ssrn.com/abs-