¿Se está aplicando el Reglamento General de Protección de Datos (en adelante, RGPD) de manera uniforme en todas las instituciones de la Unión Europea (en adelante, UE)? ¿Cómo afecta esto a la credibilidad de la Comisión Europea en materia de protección de datos? ¿Se está aplicando la normativa actual de protección de datos de manera a las empresas privadas y a los organismos públicos en la aplicación del RGPD? Estas son solo algunas de las dudas que se han planteado tras la infracción por parte de la Comisión Europea al facilitar una transferencia internacional de datos no conforme a Estados Unidos (EE. UU.), tal y como se ha dictaminado en la Sentencia del 8 de enero de 2025 del Tribunal de Justicia de la UE (en adelante, TJUE) en el asunto T-354/22.
La relevancia que acompaña este asunto, en gran medida por ser la Comisión Europea quien ha cometido la infracción, es merecedora de mención en este artículo, pero, previo a ello, debemos contextualizar el presente caso para analizar la decisión adoptada por el TJUE.
Pues bien, un ciudadano alemán (en adelante, el demandante) para participar en el evento “GoGreen” tuvo que registrarse a través del sitio web de la Conferencia sobre el Futuro de Europa ubicado en la dirección «https://futureu.europa.eu» (en adelante, sitio web), cuyo responsable del tratamiento de datos es la Dirección General de la Comunicación de la Comisión.
El demandante había consultado este sitio web en varias ocasiones durante los años 2021 y 2022 y, concretamente, el 30 de marzo de 2022 para registrarse en el evento “GoGreen” que figuraba en el sitio web mediante la opción “conectarse con Facebook” a través de la conexión a EU LOGIN.
El interesado, durante las visitas a dicho sitio web, observó que sus datos personales, incluida su dirección IP e información sobre su navegador y su terminal, se transfirieron a destinatarios establecidos en EEUU, concretametne a a la empresa Amazon Web Services. Ante esto, el 9 de noviembre de 2021, el demandante solicitó al DPO de la Comisión Europea que le facilitara la siguiente información en virtud del RGPD:
- Identificación de los datos personales que habían sido tratados, almacenados y/o transferidos, en su caso, a terceros.
- Confirmación de si se había producido una transferencia internacional de sus datos, y, en caso afirmativo, información sobre la base de legitimación de dicha transferencia , así como de las posibles garantías de aquellas transferencias a terceros países que no dispusiesen de un nivel de protección adecuado.
Ante esto, la Dirección General de Comunicación de la Comisión respondió al demandante por mail informándole de lo siguiente:
- Al acceder por el enlace del sitio web para inscribirse en el evento “GoGreen” se otorga el permiso para generar directamente una relación de los datos personales que fueron tratados con ocasión de la consulta del “sitio de Internet de la CFE”.
- Los datos no fueron transferidos fuera de la UE, sino que Amazon Web Services EMEA SARL gestionaba la red de distribución de contenidos mediante la que se almacenaba y trataba el sitio web. No obstante, le indican que no se ha producido una transferencia de datos fuera del territorio de la UE, ya que no se transfieren datos a los socios de Amazon Web Services EMEA SARL situados en EE.UU.
El demandante respondió de nuevo en fecha 1 de abril de 2022 vía mail reiterando haber observado que tuvo lugar una conexión con proveedores terceros (Amazon Web Services EMEA SARL y Microsoft) y volvió a solicitar información sobre el tratamiento de sus datos, posible transferencia a terceros y legitimación de la misma como en el primer mail. Pero, a mayores, solicitó una copia de sus datos, incluidos los almacenados y tratados por terceros, como Facebook.
El demandante insistió en dos ocasiones más, 22 de abril y 2 de mayo de 2022, hasta que, finalmente presentó recurso contra la Comisión Europea ante el TJUE en base a los artículos 263, 265 y 268 del TFUE. Ante esto, la sentencia del TJUE en el asunto T‑354/22, dictada el 8 de enero de 2025, aborda cuestiones fundamentales sobre la protección de datos personales y las transferencias internacionales dentro del marco de la Unión Europea, entre las que cabe destacar:
- Concepto de “transferencia de datos personales a terceros países”.
- Recurso por omisión de la Comisión Europea al no responder a la solicitud de información del 1 de abril de 2022.
- Recurso de indemnización por los daños materiales sufridos debido a la supuesta violación de su derecho de acceso a la información y por las mentadas transferencias de datos personales.
Pese a los diferentes puntos abordados en el asunto T-354/22, en este Blog vamos a centrarnos exclusivamente en el concepto de transferencia de datos personales a terceros países, para determinar si, efectivamente, tuvo lugar o no una transferencia de datos personales a terceros países fuera de la UE en los siguientes casos:
- Consulta de fecha 30 de marzo del 2022 del sitio web.
- Conexión de la cuenta de Facebook del demandante a través de EU Login para inscribirse en el evento “GoGreen” el 30 de marzo del 2022.
Para ello, el TJUE valoró diferentes aspectos como el contenido del Capítulo V del RGPD ya que el articulado del RGPD no contiene una definición y/o concepto expreso de “transferencia de datos personales”; la necesidad de garantizar un nivel de protección adecuado, valorando herramientas como cookies, direcciones IP y otros indicadores del sitio web que implicasen una comunicación de datos a servidores situados fuera del Espacio Económico Europeo (EEE) o el papel de la Comisión Europea en la configuración del sitio web y la posible transferencia de datos.
Según los artículos 45, 46 y 48 del RGPD las transferencias internacionales de datos personales pueden realizarse únicamente cuando el destinatario en el tercer país garantiza un nivel de protección adecuado, mediante una decisión de adecuación de la Comisión Europea, cláusulas contractuales tipo, normas corporativas vinculantes o mecanismos específicos como las normativas de protección de datos de una empresa. Por ende, si no se dispone de una de estas garantías adecuadas, la transferencia solo podrá efectuarse si el responsable del tratamiento adopta medidas adicionales que protejan los derechos de los interesados, como obtener su consentimiento explícito, es decir, si estamos ante una de las excepciones del art. 49 RGPD.
En este sentido, respecto a la consulta del demandante del sitio web el 30 de marzo de 2022, el TJUE concluyó que no estaba suficientemente demostrado que las acciones de consulta en el sitio web hubiesen supuesto una transferencia de datos personales a terceros países sin las garantías adecuadas. Es decir, según el TJUE un potencial acceso a datos por parte de una autoridad extrajera NO puede suponer una transferencia internacional. Esta decisión del TJUE contrasta con precedentes como el de la Cámara de Contratación Pública de Baden-Württemberg en el que la adjudicación de un contrato de AWS fue invalidada al determinar que una transferencia internacional “también debe presumirse cuando los datos personales se almacenan en una plataforma accesible desde un tercer país independientemente de si el acceso se produce efectivamente». Esta decisión fue apelada por el Tribunal resolviendo que “si una empresa se compromete a procesar datos únicamente dentro de la UE en el marco de una licitación pública, su promesa de no transferir los datos fuera de la UE es fiable”.
De la misma manera que, el Tribunal Administrativo de Wiesbaden, sostuvo que, independientemente de si los datos salen de la UE, asumiendo que se procede una transferencia, incluso si los datos no salen de la UE, siempre que el destinatario de los datos esté sujeto a solicitudes de autoridades de fuera de la UE, las empresas no podrán utilizar un proveedor de gestión de cookies que dependan de un servicio con sede en EE.UU. Y, finalmente, contrasta también con el enfoque adoptado en el fallo Schrems II en el que se consideró que la mera posibilidad de acceso por parte de un tercero que no cumple las garantías en protección de datos, suponía un riesgo en protección de datos.
Sin embargo, respecto a la conexión de la cuenta de Facebook del demandante a través de EU Login para inscribirse en el evento “GoGreen” el 30 de marzo del 2022, y, trayendo a colación el fallo “Schrems II” del TJUE sobre la invalidez del Privacy Shield, el TJUE condenó a la Comisión Europea a pagar al demandante una indemnización de 400 euros por daños morales. Es decir, el TJUE si reconoce que la Comisión Europea facilitó una transferencia de datos a un país tercero fuera de la UE.
Según el contrato celebrado entre la Comisión y la empresa luxemburguesa Amazon Web Services (gestiona Amazon CloudFront), esta última estaba obligada a garantizar que los datos permanecieran en Europa. Durante una de las conexiones, se constató que los datos fueron transferidos, en virtud del principio de proximidad, a un servidor situado en Múnich (Alemania) y no a los Estados Unidos. Sin embargo, respecto a la inscripción del demandante en el evento “GoGreen”, el TJUE constató que mediante el hipervínculo «Sign in with Facebook» que figura en la página web EU Login, la Comisión facilitó las condiciones para la transmisión de su dirección IP a Facebook. Esta dirección IP constituye datos personales que, a través del hipervínculo, fueron transmitidos a Meta Platforms (anterior Facebook), empresa establecida en los Estados Unidos, debiendo imputarse a la Comisión esta transferencia. De hecho, la visualización del hipervínculo «Iniciar sesión con Facebook» en el sitio web EU Login se regía íntegramente por las condiciones generales de la plataforma Facebook.
Además, en el momento de dicha transferencia, el 30 de marzo de 2022, no existía ninguna decisión de la Comisión por la que se declarara que los EE.UU., garantizaban un nivel adecuado de protección de los datos personales de los ciudadanos de la Unión. Y, la Comisión no demostró ni alegó una salvaguardia adecuada, como una cláusula tipo de protección de datos o una cláusula contractual.
Es decir, tal y como sostuvo el demandante, durante el proceso de registro al utilizar la opción «conectarse con Facebook» tuvo lugar una transmisión de datos personales, incluida su dirección IP, a una empresa con sede en EE.UU., Meta Platforms, sin las garantías de protección necesarias exigidas por el RGPD.
Por lo tanto, la Comisión no cumplió las condiciones del Derecho de la UE para la transferencia de datos personales a un tercer país por parte de una institución u órgano de la UE, y, en consecuencia, el TJUE determinó que efectivamente la Comisión Europea había realizado una transferencia internacional de datos personales al ofrecer la opción de conexión mediante Facebook sin asegurar las salvaguardar exigidas por la normativa de protección de datos.
De hecho, el TJUE declara que el afectado sufrió un daño moral al estar en una situación de cierta incertidumbre respecto al tratamiento de sus datos personales, concretamente su dirección IP. Además, afirmó la existencia de una relación de causalidad suficientemente directa entre la infracción cometida por la Comisión Europea y el daño moral sufrido por el particular afectado. Por ello, al cumplirse los requisitos para declarar la responsabilidad extracontractual de la Unión, el TJUE condenó a la Comisión a abonar al particular la cantidad de 400 euros.
Este fallo resalta la responsabilidad de las instituciones de la UE en las transferencia internacionales de cumplir estrictamente con las normativas de protección de datos, además de destacar la falta de garantías suficientes para proteger los derechos de usuarios.
A su vez, junto con la interpretación que el TJUE hace respecto a la consulta del demandante en el sitio web considerando que “la mera posibilidad de que un tercer país acceda a datos personales no equivale a una transferencia de datos» amplía la interpretación de “transferencia de datos” generando un impacto significativo en el tratamiento de datos personales dentro de la UE, principalmente, en relación con los tratamientos de datos con proveedores de servicios con sede en terceros países y plantea interrogantes respecto a la dependencia de herramientas de autenticación y servicios digitales, en especial, de empresas o entidades estadounidenses.
En definitiva, esta Sentencia del TJUE del asunto T-354/22 subraya la importancia de la protección de datos personales estableciendo un precedente significativo significativo en la jurisprudencia europea. En este sentido, resalta la necesidad de implementar garantías adecuadas y, en especial, en las plataformas digitales, evaluar diligentemente las herramientas y opciones ofrecidas en ellas, en aras de proteger los derechos fundamentales de los ciudadanos. En todo caso, las instituciones de la UE deben garantizar que cualquier transferencia de datos personales a terceros países cumpla con las estrictas normativas establecidas para evitar en un futuro posibles infracciones como las de este asunto y, sobre todo, causar cualquier perjuicio sobre los derechos y libertades de los ciudadanos.
