Cuestiones de Derecho internacional privado en el nuevo Reglamento General de Protección de Datos

Alfonso Ortega Giménez. Profesor de Derecho internacional privado de la Universidad Miguel Hernández de Elche y Consejero Académico de Pellicer & Heredia Abogados

 El RGPD trae consigo nuevas reglas referidas a la CJI en el art 79, donde indica que el sujeto puede solicitar las correspondientes acciones contra un responsable o encargado en:

Los tribunales del estado en el que el responsable tenga un establecimiento, o

Los tribunales del estado donde el interesado tenga su residencia habitual.

Si fuera contra una autoridad de control, se efectuará ante los tribunales del estado donde ejercite sus poderes públicos.

SUMARIO:

1. Resolución judicial internacional de controversias
2. Determinación de la ley aplicable
3. Ley del establecimiento del responsable o del encargado del tratamiento en la UE
4. Ley aplicable a responsables o encargados no establecidos en la UE
5. Tutela judicial civil contra responsables o encargados

1. Resolución judicial internacional de controversias

En virtud del primer foro, se podrá demandar en cualquier estado donde el responsable tenga un establecimiento dentro de la UE, no teniendo que acudir al establecimiento principal.

La multiplicación de los tribunales estatales competentes en supuestos conectados con multitud de países quiebra la tan necesitada seguridad jurídica en el tráfico privado internacional y provoca que pueda estimarse que los efectos lesivos de un acto ilícito se puedan manifestar en todos los países del mundo desde donde fuera accesible la información lesiva (los datos de carácter personal del afectado). La pluralidad de foros de competencia que ofrecen los diferentes regímenes de competencia judicial internacional propicia la utilización del denominado forum shopping por parte del sujeto afectado, quien podrá optar por plantear la demanda de responsabilidad extracontractual ante aquellos tribunales cuyas normas de conflicto designen como aplicable una ley que prevea un régimen de responsabilidad extracontractual más favorable para sus propios intereses.

Las vigentes normas de competencia judicial internacional, elaboradas en los distintos niveles normativos (institucional, convencional y autónomo), no sólo son claramente inadecuadas para proteger a la víctima de un tratamiento ilícito internacional de sus datos, sino que pueden incluso conducir a resultados contraproducentes. En primer lugar, el recurso a la autonomía de la voluntad resulta peligroso ante una situación de desequilibrio entre las partes, tal y como se pone de manifiesto en la existencia de foros de protección (contratos individuales de trabajo, contratos de seguro y contratos celebrados por consumidores) en los diferentes sistemas de Derecho internacional privado comparado. La posibilidad de que se produzca un supuesto de sumisión tácita es difícilmente verificable en la práctica: primero, porque el damnificado tendrá una tendencia lógica a demandar ante los tribunales del lugar de su residencia; segundo, porque parece evidente que el causante del daño, más que someterse a dichos tribunales, lo que haría sería impugnar su competencia, para no resultar enjuiciado por los tribunales de la contraparte.

En cualquier caso, si se produce la sumisión tácita es de suponer que el demandante (perjudicado) habrá realizado un cálculo previo de las posibilidades de éxito de su reclamación. Suposición que, dadas las características de los afectados y del conocimiento especializado que requiere el tratamiento de las situaciones privadas internacionales, dista mucho de coincidir con el estudio de campo realizado respecto de estas infracciones. La prorrogación expresa de fuero será, cuando menos, igual de difícilmente verificable que el supuesto de la sumisión tácita y, además, ciertamente peligroso para el perjudicado, dada la situación de desigual bargaining power en el que se encuentran las partes enfrentadas.

El fuero especial en materia de responsabilidad civil extracontractual, forum delicti commissi, merece un análisis más detenido, como solución potencial y manifiestamente mejorable. Es la solución tradicional más extendida en el campo comparado y presente en nuestro derecho positivo.

La tutela que precisaría un supuesto de tratamiento ilícito internacional de datos para reequilibrar las posiciones de las partes requeriría interpretar el forum delicti commissi en un sentido favorable a la víctima. Esto es, identificándolo con el lugar de residencia habitual del perjudicado. Esta propuesta es consciente de las habituales y compartibles críticas generales al denominado forum actoris, pero perfectamente defendible en este caso por su adecuación a las necesidades tuitivas del supuesto tipo y, además, acorde con la jurisprudencia más reciente del TJUE (Sentencia de 25 de octubre de 2011, eDate Advertising (C‑509/09) y Martínez y Martínez (C‑161/10)). Habrá, por tanto, que remitirse al lugar de residencia habitual de la víctima, aunque no como lugar del hecho dañoso, sino como lugar de realización global de la acción generadora de dicha responsabilidad extracontractual.

Es necesario recalcar la compatibilidad con el Reglamento 1215/2012, puesto que Cdo. 147 del RGPD no prejuzga la aplicación del primer reglamento, por lo que habrá que analizar la aplicabilidad de cada norma, pero podemos afirmar que, en virtud del principio de especialidad, deben primar los foros del propio RGPD.

2. Determinación de la ley aplicable

1. LEY DEL ESTABLECIMIENTO DEL RESPONSABLE O DEL ENCARGADO DEL TRATAMIENTO EN LA UE

El RGPD fija como primer criterio que su ámbito territorial comprende el tratamiento de datos «en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no» (artículo 3.1). Las innovaciones respecto al texto del artículo 4.1.a) de la Directiva son aquí menores, pues se limitan a que el RGPD expresa no sólo al «responsable» sino también al «encargado» del tratamiento. Por otra parte, se elimina la referencia a las situaciones en las que un mismo responsable del tratamiento esté establecido en varios Estados miembros como circunstancia que llevaba a tener que cumplir con sus respectivas legislaciones, lo que se corresponde con que el RGPD sustituye a las legislaciones de todos los Estados miembros.

Para garantizar un alto nivel de protección, se mantiene la interpretación muy amplia y flexible del concepto de establecimiento, que se extiende «a cualquier actividad real y efectiva, aun mínima, ejercida mediante una instalación estable», como recoge el Considerando 22 del RGPD. Ahora bien, es necesario que el tratamiento se produzca en el contexto de las actividades del establecimiento.

Para determinar la ley aplicable al tratamiento de datos, debemos remitirnos a la ubicación de un establecimiento del responsable donde se realicen actividades de tratamiento de datos en el contexto de la actividad del responsable –hacia donde se dirigen las actividades comerciales–. No por el propio responsable (SSTJUE Weltimmo y Amazon EU Sàri). Es decir, si el responsable del tratamiento está en Austria, y se contrata el tratamiento de datos en Alemania respecto a los datos austriacos, será de aplicación el derecho austriaco; porque el tratamiento se realiza bajo las instrucciones y fines comerciales que el establecimiento austriaco determina. Pero si el responsable está en Austria, y en Italia hay una oficina donde gestiona y trata los datos en el contexto de las actividades del establecimiento italiano, se aplicará el Derecho italiano.

Hay que matizar la definición de “establecimiento”. No importa la forma jurídica del establecimiento, por lo que hay que entender el término de forma flexible se debe extender a cualquier actividad real y efectiva, aun mínima, ejercida mediante una instalación estable. (SSTJUE Google Spain, Weltimmo, Y Amazon EU Sàri). Para entender la noción, “en el contexto de las actividades” hay que atender a varios criterios:

• El grado de implicación del/del establecimiento/s en las actividades en cuyo contexto se traten los datos personales.
• La naturaleza de las actividades del establecimiento es un elemento secundario, pero podrá contribuir a definir el Derecho aplicable a cada establecimiento.
• Esta expresión no puede ser objeto de interpretación restrictiva (SSTJUE Google Spain y Weltimmo).

1. LEY APLICABLE A RESPONSABLES O ENCARGADOS NO ESTABLECIDOS EN LA UE

Aunque en su Considerando 14 el RGPD parte de que la protección que establece «debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia», cuando el tratamiento no se produce en el contexto de las actividades de un establecimiento en la UE, la protección se limita a los interesados que se encuentren en la UE y se requiere una conexión adicional con la Unión Europea.

El artículo 3.2 del RGPD prevé que es aplicable al tratamiento de datos personales de interesados que residan en la UE cuando las actividades de tratamiento estén relacionadas con cualquiera de estos dos elementos: «a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión».

Esta nueva disposición, de la que resulta también cuándo el responsable o encargado establecido en el extranjero debe designar un representante –que debe ser una persona física o jurídica establecida en la Unión- en lo que respecta a sus obligaciones derivadas del RGPD (Considerando 80 y artículo 27), refleja una evolución que en gran medida se corresponde con el propósito de hacer depender la aplicación de la legislación de que el responsable dirija la actividad en el marco de la cual tiene lugar el tratamiento a la Unión, típicamente al Estado de la residencia del interesado.

En principio, el lugar de situación del afectado por el tratamiento de datos personales constituye un criterio legítimo para fundar tanto la competencia internacional como la ley aplicable, en especial cuando va acompañado de elementos indicativos de una vinculación adicional. Se trata de un enfoque que facilita el sometimiento a la legislación europea (y a la competencia de las autoridades de control de sus Estados miembros) de quienes no se encuentran establecidos en la Unión, pero tratan datos de personas que se encuentran en la Unión en circunstancias en las que esa consecuencia resulta en principio apropiada.

Con carácter alternativo, el artículo 3.2.b) del RGPD se refiere a su aplicación cuando el tratamiento de datos de interesados que residan (se encuentren) en la Unión Europea esté relacionado «con el control de su comportamiento, en la medida en que este tenga lugar en la Unión». Algunas de estas situaciones estarán comprendidas también en el apartado a), pues tal control con frecuencia tiene lugar en el marco del ofrecimiento al interesado de ciertos servicios, aunque sean gratuitos, en particular al hilo del empleo de archivos o programas informáticos que almacenan y permiten el acceso a información en el equipo de usuario. El Considerando 24 del RGPD se limita a señalar que el criterio de este inciso b) resulta operativo si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, indicando que tal puede ser el caso cuando las personas son objeto de un seguimiento en internet para elaborar un perfil con el fin de analizar sus preferencias, comportamientos y actitudes.

1. TUTELA JUDICIAL CIVIL CONTRA RESPONSABLES O ENCARGADOS

Respecto a la reclamación de indemnización del art. 82 del RGPD, el derecho aplicable será aquel que coincida con el estado donde se reclame el derecho; por lo que depende de dónde se demande. En el terreno del Derecho aplicable, en tanto en cuanto el artículo 1.2.g del vigente Reglamento «Roma II» establece que «Se excluirán del ámbito de aplicación del presente Reglamento: […] g) las obligaciones extracontractuales que se deriven de la violación de la intimidad o de los derechos relacionados con la personalidad; en particular, la difamación», la solución pasa por el recurso al artículo 10.9 de nuestro Código Civil, que toma como punto de conexión el locus delicti commissi; esto es, la aplicación de «la ley del lugar donde hubiere ocurrido el hecho de que deriven» (lex loci delicti commissi).

La aplicación del artículo 10.9 del Código Civil nos conduce a resultados claramente insatisfactorios. Se trata de una norma de conflicto de corte clásico, es decir, con un supuesto de hecho muy genérico, un punto de conexión meramente localizador y una consecuencia jurídica aparentemente neutra. Dichas características parecen evidentemente inadecuadas para regular un caso tan específico como es el tratamiento ilícito de datos personales, dada la situación de inferioridad jurídica del perjudicado.

La generalidad del supuesto de hecho del artículo 10.9 del Código Civil, que tiene sus consabidas ventajas —como el facilitar el proceso de calificación, etc. — es absolutamente irrelevante en el supuesto tipo, cuyo encaje en la categoría responsabilidad civil extracontractual no reviste especiales dificultades:

En primer lugar, al contrario, la generalidad del precepto priva de visibilidad al problema de la desprotección del titular del derecho a la protección de datos ante un tratamiento ilícito internacional. La prueba de la pertinencia de la introducción de una norma específica para estos supuestos es la inminente reforma del Reglamento «Roma II», que especializa las soluciones generales tradicionales (lex loci delicti commissi), introduciendo un futuro artículo 5 bis (violación de la intimidad o de los derechos relacionados con la personalidad).

En segundo lugar, el artículo 10.9 de nuestro Código Civil adolece de no pocas dosis de rigidez, puesto que sólo ofrece al juzgador una opción meramente localizadora entre la aplicación de la ley del lugar donde se ha producido el hecho causal (país de origen), o la ley del lugar donde se manifiesta la acción (país o países de resultado). Esta opción tan reducida no permite asegurar la tantas veces reclamada actividad judicial creativa, en aras a proporcionar al perjudicado una protección adecuada, equilibrada y efectiva de sus legítimos intereses.

En tercer lugar, la mayor crítica que se puede realizar al artículo 10.9 del Código Civil es su tradicional ceguera material o neutralidad. Cuando se parte de una situación en la que una de las partes está en manifiesta inferioridad, la neutralidad, lejos de ser una virtud, se convierte en una potencial fuente de injusticia.

Por tanto, en los supuestos de tratamiento transfronterizo ilícito de datos de carácter personal, es preciso realizar una lectura materializadora del artículo 10.9 de nuestro Código Civil, en el sentido de que a la hora de determinar la lex loci delicti commissi, que puede ser la elección entre la ley del lugar donde se capturaron los datos personales o a la del Estado donde se trató dicha información personal, debe estar presidida por el favor laesi.

Aun así, esta interpretación del artículo 10.9 del Código Civil sigue siendo insatisfactoria. Al dejar en manos del órgano jurisdiccional la interpretación de la lex loci delicti commissi, introduce notables dosis de inseguridad jurídica; sin garantías respecto de otorgar al perjudicado esa protección adecuada, equilibrada y efectiva que se viene demandando en el presente proyecto de investigación.

Hay que tener en cuenta, de lege data inminente, que el Parlamento Europeo ha propuesto una nueva norma de conflicto específica en materia de violación de la intimidad o de los derechos relacionados con la personalidad (derecho a la protección de datos de carácter personal) para su eventual inclusión en la proyectada reforma del Reglamento «Roma II». El futuro artículo 5 bis del Reglamento «Roma II» establece como ley aplicable 1) «la del país en el que se produzcan o sea más probable que se produzcan el elemento o los elementos más significativos del daño o perjuicio»; o, en su defecto, si el demandado no hubiera podido haber previsto razonablemente consecuencias importantes de su acto en dicho país, 2) «la ley del país de residencia habitual del demandado».

              Si, como es más que probable, el art. 14 del Reglamento «Roma II» no resulta de aplicación, entrará en juego la propuesta del futuro artículo 5 bis. Precepto que, en principio, debe ser saludado favorablemente —pues especializa y colma un vacío del Reglamento «Roma II» difícilmente justificable— pero sigue ofreciendo una solución conflictual no satisfactoria desde el punto de vista de la protección que precisa el titular del derecho fundamental a la protección de datos ante una transferencia internacional ilícita de los mismos. El futuro artículo 5 bis no sólo no protege al perjudicado, sino que, paradójicamente, puede favorecer al causante del daño.

Del párrafo primero del nuevo artículo 5 bis cabría entender que la persona lesionada por una transferencia internacional ilícita de sus datos personales podría fundamentar su demanda en la lex loci damni (la ley del país en el que se produzcan o sea más probable que se produzcan el elemento o los elementos más significativos del daño) o en la lex loci delicti commissi (la ley del país en el que se produzcan o sea más probable que se produzcan el elemento o los elementos más significativos del perjuicio).

Más discutible aún es la solución que ofrece el párrafo segundo del propio artículo 5 bis del citado Reglamento «Roma II» para los tratamientos transfronterizos ilícitos de datos de carácter personal, ya que establece la aplicación de la ley de la residencia habitual del presunto responsable del daño, si se dan las siguientes condiciones: a) que resulte imposible determinar el elemento o los elementos más significativos del daño o perjuicio (condición normativa objetiva); y b) que el causante del daño no hubiera podido haber previsto razonablemente consecuencias importantes de su acto en dicho país (condición normativa subjetiva).