Читать книгу La protección de las transmisiones de datos transfronterizas - Elena Rodríguez Pineau - Страница 6

La doble finalidad del RGPD (i.e. protección de un derecho fundamental y libre circulación de datos en el mercado interior) se aborda esencialmente desde una perspectiva regulatoria (de Derecho público) pero que el legislador europeo intenta completar con mecanismos jurídico-privados, como es la acción de indemnización por daños del art. 82 RGPD. El Reglamento no ofrece demasiadas indicaciones acerca de la articulación de estas dos vías, a diferencia de lo que sucede en el marco del Derecho de la competencia, y ello genera algunas dificultades, por ejemplo, cómo resolver la concurrencia de procedimientos en ambos niveles (administrativo y jurídico-privado), a pesar de la existencia de una regla de conexidad en el art. 81 RGPD20.

Pero incluso desde una perspectiva estrictamente jurídico-privada, y a diferencia de lo que sucede en el marco del Derecho de la competencia, la aproximación a la acción de indemnización cuando ésta presenta elementos transfronterizos (v. gr. porque el daño resulta de un tratamiento realizado por un responsable ubicado en un Estado distinto del de residencia del interesado) resulta algo deficiente. Las reglas de competencia judicial internacional del art. 79.2 RGPD claramente facilitan el ejercicio de la acción por el interesado, pero del art. 82.6 RGPD no resulta evidente cómo completar los aspectos conflictuales que esta acción pueda necesitar. La armonización sustantiva es muy generosa pero no cubre todos los elementos de la acción, por ejemplo, en relación con el plazo para su ejercicio. Colmar esta laguna exige, de nuevo, un trabajo de interpretación sobre cómo aborda el RGPD la cuestión de los conflictos de leyes, cuestión que no resulta evidente prima facie y que se analiza en el capítulo de la profesora Rodríguez Pineau21.

El análisis de la acción de indemnización pone de manifiesto también la dificultad que puede tener su ejercicio, en particular si presenta un elemento transfronterizo, cuando quien realiza el tratamiento lo hace como exigencia de una obligación legal. La delimitación de la responsabilidad por el tratamiento de los datos puede concurrir con otras responsabilidades derivadas del ejercicio de funciones no exclusivamente relacionadas con ese tratamiento, lo que exige en primer lugar identificar el ámbito de aplicación del RGPD en estos casos. Claro ejemplo de ello es la situación de los administradores en un procedimiento de insolvencia que, si pueden ser considerados responsables del tratamiento, lo son en el desempeño de una obligación legal que les impide escoger libremente a los titulares de los datos que manejan y les impone ciertas funciones de tratamiento. En ese caso, distinguir las obligaciones derivadas de la normativa concursal de aquellas otras que resultan de la legislación en materia de protección de datos resulta determinante para decidir el alcance de su responsabilidad y extraer de ello consecuencias sobre dónde exigírsela y con sujeción a qué ordenamiento hacerlo, como se examina en la contribución de la profesora Torralba Mendiola22.

Retomando la línea de impulso de la protección de datos por vía del ejercicio de acciones de indemnización o cesación, la entrada de las asociaciones de protección de los interesados para que puedan ejercitar acciones representativas conforme al art. 80 RGPD es otro paso adelante. Escándalos como Cambridge Analytica han evidenciado la importancia de estos mecanismos. Sin embargo, el alcance de esta norma dista de ser claro, como ha puesto de manifiesto la profesora Pato23. Pero también resulta bastante complejo discernir cómo se articulan las soluciones del RGPD con otras vías procesales con que podrían contar estas asociaciones. El ejercicio de acciones representativas o en defensa de intereses colectivos ha sido objeto de regulación europea en la citada Directiva 2020/1828/UE, que por una parte remite a las normas procesales “generales” de la UE (i.e. el Reglamento (UE) 1215/201224) sin excluir la aplicación de las reglas propias para la protección de interesados/ titulares de datos (i.e. el RGPD) que puedan ser considerados también consumidores. La complejidad de esta concurrencia normativa ha sido puesta de relieve en los trabajos de las profesoras Pato y Rodríguez Pineau en materia de acciones representativas25, y del profesor Paredes Pérez (en su capítulo en este volumen) respecto de las acciones de cesación26.

La doble finalidad antes apuntada del RGPD se observa también cuando esta norma concurre con otras que regulan el mercado interior europeo. La Directiva 2019/770/UE sobre contratos de suministro de contenidos y servicios digitales (en adelante, DSCD27) “contractualiza” los datos, como alternativa al pago en dinero para ciertas transacciones, lo que debilita la afirmación del carácter de derecho fundamental de la protección de datos, al tiempo que genera complicados problemas de protección para el consumidor/interesado cuyos datos son la “contraprestación” del servicio digital adquirido.

La delimitación de las distintas responsabilidades (contractual y por vulneración del RGPD) y las opciones jurisdiccionales para su exigencia cuando la transferencia de datos tiene carácter transfronterizo resulta una tarea más que compleja, y desde luego poco accesible para el consumidor, como ha puesto de manifiesto el profesor Paredes Pérez en sus trabajos sobre la DSCD y el RGPD28. Problemas relativamente parecidos se suscitan en el marco de las prestaciones sanitarias transfronterizas, objeto de regulación europea, que normalmente llevan asociado un tratamiento y la transferencia transfronteriza de datos personales especialmente sensibles, i.e. los vinculados a la salud. Una aproximación a estos problemas y su posible solución práctica se aborda en la contribución a esta obra de la profesora Echezarreta Ferrer29.

En todos estos ámbitos el TJUE ha tenido un papel relevante (véase en materia de acciones colectivas el asunto C-498/16, Schrems c. Facebook30, o para la delimitación de acciones de cesación el asunto C-191/15, VKI c. Amazon31) pero resulta evidente que esta concurrencia normativa, o las dudas acerca de cómo colmar las lagunas identificadas, exigirá de nuevo su intervención32.