GDPR: ¿Una ley sin autoridad? El organismo de control de la protección de datos de Luxemburgo se niega a enseñar los dientes a las empresas estadounidenses. noyb presenta una demanda judicial
Hoy, noyb ha presentado un recurso contra dos decisiones de la Autoridad de Protección de Datos de Luxemburgo (CNPD) ante el tribunal administrativo de Luxemburgo sobre una cuestión fundamental: la autoridad desestimó dos denuncias presentadas contra controladores de datos con sede en Estados Unidos, Apollo y RocketReach. La CNPD confirmó explícitamente que el Reglamento General de Protección de Datos (RGPD) se aplica a estas empresas no pertenecientes a la UE. Sin embargo, la CNPD consideró que no podía hacer cumplir el RGPD a estos responsables del tratamiento estadounidenses, a pesar de las múltiples opciones de aplicación dentro de la UE. Estas decisiones socavan fundamentalmente la aplicación del GDPR a todas las empresas extranjeras en el mercado de la UE, una promesa clave de la ley cuando se introdujo en 2018.
- Lea los actos de apelación ante el tribunal administrativo aquí (Apollo FR) y aquí (Rocktreach FR).
- También puede leer una traducción automática al inglés aquí (Apollo) y en aquí (Rocketreach).
Denuncias iniciales ante la CNPD. El denunciante, residente en Luxemburgo, descubrió que sus datos eran tratados por Apollo y RocketReach, dos empresas con sede en Estados Unidos que recopilan y comercializan datos personales disponibles en línea. Al comprobarlo, el denunciante intentó ejercer sin éxito sus derechos de acceso (artículo 15) y supresión (artículo 17) previstos en el RGPD. Como los dos responsables del tratamiento de datos no respondieron adecuadamente a su solicitud de ejercer sus derechos en virtud del RGPD, el reclamante presentó sendas reclamaciones contra Apollo y RocketReach ante la CNPD. Tras varios recordatorios del reclamante, la APD luxemburguesa desestimó la reclamación por el mero hecho de que los responsables del tratamiento no tenían un representante en la UE (lo que constituye en sí mismo una violación del RGPD), y que, por tanto, no podían imponerse medidas de ejecución efectivas contra estos responsables del tratamiento. No se llevó a cabo ninguna investigación material ni se adoptó ninguna decisión.
Socavar el alcance internacional del RGPD. La decisión de la APD luxemburguesa de desestimar las denuncias simplemente porque el responsable del tratamiento no está establecido en la UE, socava claramente la aplicación internacional del RGPD, que fue una promesa clave para los ciudadanos de la UE cuando se introdujo. La ley cubre explícitamente a todas las empresas que operan en el mercado europeo, independientemente de dónde tengan su sede.
"Si las APD se niegan a hacer cumplir el GDPR cada vez que una empresa no tiene presencia en la UE, eso solo daría la señal a las empresas de permanecer en el extranjero para eludir la ley... Esa es la versión del GDPR de salirse con la suya" - Romain Robert, abogado de noyb.eu.
Aplicación del RGPD. Incluso cuando una empresa no tiene presencia en la UE, es perfectamente posible iniciar un procedimiento y hacer cumplir las disposiciones del RGPD. Si una empresa no presenta alegaciones, lo normal es que simplemente renuncie a su derecho a ser oída. Existen varias vías procesales para ejecutar también una decisión contra una entidad extranjera: desde herramientas tradicionales, como la inmovilización de activos de terceros (como bancos o clientes), hasta planteamientos más modernos, como el bloqueo de un sitio web. Las APD deberían utilizar todas las posibilidades que ofrece su legislación nacional para hacer cumplir sus decisiones, en lugar de renunciar a los derechos fundamentales.
"La CNPD tiene el deber de garantizar la protección de los derechos individuales en virtud del GDPR. También tiene los medios para hacerlo en el caso de las empresas extranjeras, desde la congelación de activos en la UE, hasta el bloqueo de un servicio. Hacer cumplir la legislación de la UE a las empresas y personas que no cooperan o se esconden en el extranjero no es algo nuevo para los reguladores y los tribunales. Esconderse en otra jurisdicción es tan antiguo como las fronteras. A pesar de todo, existen herramientas para seguir adelante con un caso. El objetivo de acudir a los tribunales ahora es garantizar que la CNPD utilice realmente sus competencias de ejecución en el futuro y deje de desestimar un caso sólo porque la ejecución sería demasiado difícil u onerosa." - Catherine Warin, abogada que representa a noyb en el procedimiento.
APD inactivos: Este caso demuestra que algunas APD siguen durmiendo en sus obligaciones. No deben salirse con la suya, ni lo harán. Este puede ser el comienzo de una serie de acciones contra las APD que permanecen inactivas a pesar del papel crucial que desempeñan para garantizar el respeto de la legislación de la UE en materia de protección de datos. noyb seguirá de cerca estos casos y supervisará la aplicación efectiva del RGPD por parte de las APD.
"La CNPD confirmó explícitamente que el GDPR era aplicable a estas empresas, pero decidió no actuar alegando que no podía ejecutar ninguna decisión. Esto dejó al denunciante sin ningún procedimiento para hacer valer sus derechos fundamentales. La CNPD consideró que estaba en su mano simplemente rechazar un caso. Afortunadamente, el RGPD establece que las personas deben disponer de un recurso efectivo y pueden impugnar las decisiones de las APD ante los tribunales. Ahora pediremos al tribunal que haga el trabajo que la CNPD se negó a hacer." - Romain Robert, abogado de noyb.eu.
Actualización:
- 21 de abril de 2023 - el tribunal administrativo (Tribunal de primera instancia) declaró el caso inadmisible por falta de legitimación.
- 28 de noviembre de 2023 - el Tribunal Administrativo Superior da la razón a noyb. Anuló la decisión de 21 de abril de 2023 y consideró que el recurso era admisible. Devolvió el asunto al Tribunal Administrativo de Primera Instancia que, en última instancia, debía dictar una resolución.
- 24 de septiembre de 2024 - el tribunal administrativo consideró que la CNPD había decidido ilegalmente/incorrectamente no proseguir la tramitación de la denuncia. Devolvió el caso a la CNPD para que lo tramitara.
- la CNPD aún no ha emitido una decisión.
