En un mundo tan globalizado, cualquier prestación de servicios que realices va a tener un componente internacional, y la protección de datos no se escapa de ello. Los tratamientos de datos realizados por las grandes empresas pueden tener repercusiones en otros estados, ya no solo en la Unión Europea, también en terceros Estados. Y debido a ello, es posible que sea de aplicación la Ley de varios Estados, o incluso, la de un único Estado a todos los tratamientos realizados en cada país. Al hilo de este tema, hoy hablaremos de Seguridad Informática, del Derecho Irlandés en lo relativo a Facebook.
La estructura de Facebook
Es el caso de la defensa numantina que Facebook ha adoptado todos estos años en relación a la aplicación del Derecho irlandés a los tratamientos realizados en los distintos países de la Unión Europea. La estructura de Facebook se caracteriza por ser multinivel:
Facebook Inc.
Es la matriz de todas las filiales que puedan existir.
Facebook Ireland Ltd.
La matriz se divide en una filial-sede en otro territorio, en este caso, Facebook Ireland Ltd. tiene funciones similares a Facebook Inc. pero centrándose en el mercado europeo.
Filiales publicidad
A su vez, existen pequeñas filiales en cada Estado dedicadas a la publicidad.
Cabe destacar, que las únicas estructuras que tratan datos personales son la matriz y la filial-sede.
Argumentos de Facebook para el Derecho Irlandés
Primer argumento: Estado-matriz
Facebook alega como primer argumento que le es de aplicación la Ley del Estado donde se tratan los datos personales. En Europa, los datos personales son tratados por Facebook Ireland, en función del artículo 4.1 de la actual Directiva 46/95 (Directiva de Protección de Datos), interpretando el precepto como “en el marco de las actividades del establecimiento del responsable que trate datos personales”.
Segundo argumento: Roma I
Como segundo argumento, Facebook se cubre bajo el amparo del art. 9 del Reglamento “Roma I” respecto a la ley aplicable a las relaciones contractuales (como es el caso de la creación de una cuenta en una red social). Dicho artículo estipula que independientemente de la ley acordada, debe aplicarse una determinada ley nacional por interés público. Facebook entiende que la legislación irlandesa sobre protección de datos debe aplicarse imperativamente por razones de interés público por ser el Estado donde se tratan los datos personales.
Facebook y la protección de datos
Y por todo lo anterior, cualquier tratamiento y procedimiento contra Facebook en Europa debería ventilarse en Irlanda mediante dicha Ley.
Vista la “solidez” de los argumentos presentados ¿por qué las autoridades de protección de datos abren procedimientos en cada Estado y no aplican la ley irlandesa?
Desde 2014, se está aplicando la doctrina creada por el TJUE a raíz del caso Google Spain. Esta doctrina considera aplicable la ley del Estado miembro de la UE donde esté ubicado un establecimiento de una empresa multinacional cuando dichos establecimientos se limitan a realizar actividades “indisociablemente ligadas” al modelo de negocio de la matriz.
Es decir, si una multinacional tiene sedes en Francia, España, Italia, y Alemania; se aplicará en cada sede la normativa sobre protección de datos del país en el que esté domiciliada.
Esta doctrina se basa en el citado art. 4.1 de la Directiva de Protección de Datos y se ha consolidado en sucesivas Sentencias del TJUE, como Weltimmo y Amazon EU Sarl.
Aplicación de sanciones
Para Facebook, esta doctrina no ha supuesto ningún cambio en sus argumentos, los cuales se siguen basando en la aplicación del Derecho y jurisdicción irlandesa por tener allí su principal sede europea. Sin embargo, las Autoridades de Protección de Datos están aplicándola en diversos procedimientos sancionadores de varios estados miembros en los que hay una sede de Facebook.
La competencia de las Autoridades para instar y resolver los procedimientos es bastante compleja.
Actualmente, existe el asunto C-210/16 Schleswig-Holstein ante el TJUE en el que se discute qué Autoridad resulta competente para instar cualquier procedimiento.
Con el art. 56 del GDPR se pretende reducir el número de Autoridades competentes mediante el conocimiento de cualquier asunto cuyo tratamiento afecte a dos Estados o más ante la autoridad principal, que será aquella en la que esté domiciliado el centro de decisión de las finalidades del tratamiento y si fuera de un responsable no domiciliado en la UE, será competente la Autoridad del Estado donde esté el representante de dicho responsable.
Nueva posición del TJUE
La nueva posición instaurada por el TJUE no hace más que romper el esquema principal de la política de tratamiento de datos personales de Facebook en Europa, la cual se basaba en centralizar todos los procesos de tratamiento, y por ende, toda la legislación aplicable, en la filial irlandesa.
Ahora, toda la legislación aplicable queda descentralizada y dependiente de cada establecimiento en la Unión Europea, lo que supone un gran descontrol para Facebook lidiar con todas las reclamaciones que se produzcan en cada Estado, con el correspondiente aumento de los costes.
Es decir, si quieres litigar contra Facebook, puedes hacerlo en España ante su filial aplicando nuestra legislación.
Parece que la única opción que le queda a Facebook para poder beneficiarse de la aplicación de la Ley irlandesa es cerrar todas las demás filiales europeas.
Juan José Gonzalo Domenech, Legal Department en Áudea Seguridad de la Información.