Diario del Derecho. Edición de 27/03/2024
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 18/01/2023
 
 

Sentencia del Tribunal de Justicia en el asunto | C-132/21 Nemzeti Adatvédelmi és Információszabadság Hatóság

18/01/2023
Compartir: 

Los recursos administrativo y civil previstos en el Reglamento general de protección de datos pueden ejercerse de forma concurrente e independiente. Corresponde a los Estados miembros asegurarse de que el ejercicio paralelo de esos recursos no perjudique la aplicación coherente y homogénea de dicho Reglamento.

En abril de 2019, BE asistió a la junta general de una sociedad anónima de la que es accionista y, en la misma, formuló preguntas a los miembros del consejo de administración y a otros participantes. Posteriormente, solicitó a dicha sociedad que le transmitiera el fonograma que se había registrado en la junta general. Sin embargo, esa sociedad solo puso a su disposición los extractos del citado fonograma que recogían sus propias intervenciones, con exclusión de las de los demás participantes, aun cuando estas incluían las respuestas a sus preguntas.

BE solicitó entonces a la autoridad de control húngara responsable con arreglo al Reglamento General de Protección de Datos (RGPD) que ordenara a la sociedad afectada que le transmitiera el fonograma en cuestión.

Como esta autoridad desestimó su solicitud, BE interpuso un recurso contencioso-administrativo contra la decisión desestimatoria ante el Tribunal General de la Capital. En paralelo, también interpuso un recurso ante los órganos jurisdiccionales civiles húngaros contra la decisión de denegar el acceso a la sociedad en cuestión. Este último recurso se basaba en una disposición del RGPD que confiere a todo interesado que se considere víctima de una violación de los derechos garantizados por dicho Reglamento el derecho a la tutela judicial efectiva. El primero de estos procedimientos sigue pendiente, pero los órganos jurisdiccionales civiles húngaros que conocen del segundo procedimiento ya han declarado, mediante sentencia que ha adquirido firmeza, que la sociedad antes mencionada violó el derecho de acceso de BE a sus datos personales.

El Tribunal General de la Capital pregunta al Tribunal de Justicia si, al apreciar la legalidad de la decisión de la autoridad nacional de control, está vinculado por la sentencia firme de los órganos jurisdiccionales civiles relativa a los mismos hechos y a la misma supuesta infracción del RGPD por la sociedad afectada. Además, dado que el ejercicio paralelo de las vías administrativa y civil puede dar lugar a resoluciones contradictorias, el órgano jurisdiccional húngaro trata de determinar si existe una eventual prioridad de una de estas vías sobre la otra.

El Tribunal de Justicia recuerda que el RGPD ofrece diferentes vías de recurso a las personas que invocan una infracción de sus disposiciones, entendiéndose que cada una de estas vías de recurso debe poder ejercerse “sin perjuicio” de las demás. Por lo tanto, dicho Reglamento no prevé una competencia prioritaria o exclusiva ni ninguna regla de primacía de la apreciación realizada por la autoridad de control o por un órgano jurisdiccional en cuanto a la existencia de una vulneración de los derechos de que se trata. En consecuencia, el Tribunal de Justicia señala que los recursos administrativo y civil previstos por el RGPD pueden ejercerse de manera concurrente e independiente En cuanto al riesgo de que las autoridades administrativas y judiciales nacionales correspondientes adopten resoluciones contradictorias, el Tribunal de Justicia subraya que corresponde a cada Estado miembro garantizar, mediante la adopción de las normas procesales necesarias a tal fin y en el ejercicio de su autonomía procesal, que los recursos concurrentes e independientes previstos por el RGPD no pongan en peligro ni la efectividad y la protección efectiva de los derechos garantizados por el RGPD, ni la aplicación coherente y homogénea de sus disposiciones ni, por último, el derecho a un recurso efectivo ante un órgano jurisdiccional.

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)

de 12 de enero de 2023 (*)

“Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Reglamento (UE) 2016/679 - Artículos 77 a 79 - Recursos - Ejercicio paralelo - Articulación - Autonomía procesal - Efectividad de las normas de protección establecidas por este Reglamento - Aplicación coherente y homogénea de estas normas en toda la Unión Europea - Artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea”

En el asunto C-132/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Fővárosi Törvényszék (Tribunal General de la Capital, Hungría), mediante resolución de 2 de marzo de 2021, recibida en el Tribunal de Justicia el 2 de marzo de 2021, en el procedimiento entre

BE

y

Nemzeti Adatvédelmi és Információszabadság Hatóság,

con intervención de:

Budapesti Elektromos Művek Zrt.,

EL TRIBUNAL DE JUSTICIA (Sala Primera),

integrado por el Sr. A. Arabadjiev, Presidente de Sala, el Sr. L. Bay Larsen, Vicepresidente, en funciones de Juez de la Sala Primera, y los Sres. P. G. Xuereb y A. Kumin y la Sra. I. Ziemele (Ponente), Jueces;

Abogado General: Sr. J. Richard de la Tour;

Secretario: Sr. I. Illéssy, administrador;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 11 de mayo de 2022;

consideradas las observaciones presentadas:

- en nombre de BE, por el Sr. I. Kulcsár, ügyvéd;

- en nombre de la Nemzeti Adatvédelmi és Információszabadság Hatóság, por el Sr. G. Barabás, jogtanácsos, y los Sres. G. J. Dudás y Á. Hargita, ügyvédek;

- en nombre del Gobierno húngaro, por la Sra. Zs. Biró-Tóth y el Sr. M. Z. Fehér, en calidad de agentes;

- en nombre del Gobierno checo, por los Sres. O. Serdula, M. Smolek y J. Vláčil, en calidad de agentes;

- en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por el Sr. E. De Bonis y la Sra. M. F. Severi, avvocati dello Stato;

- en nombre del Gobierno polaco, por el Sr. B. Majczyna y la Sra. J. Sawicka, en calidad de agentes;

- en nombre de la Comisión Europea, por el Sr. H. Kranenborg, la Sra. Zs. Teleki y el Sr. P. J. O. Van Nuffel, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 8 de septiembre de 2022;

dicta la siguiente

Sentencia

1 La presente petición de decisión prejudicial tiene por objeto la interpretación de los artículos 77, apartado 1, 78, apartado 1, y 79, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).

2 Esta petición se ha presentado en el contexto de un litigio entre BE y la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autoridad Nacional de Protección de Datos y Libertad de Información, Hungría; en lo sucesivo, “autoridad de control”), relativo a la denegación de la solicitud de BE de que se le proporcionasen extractos del fonograma de la junta general de accionistas de una sociedad en la que había participado.

Marco jurídico

Derecho de la Unión

3 A tenor de los considerandos 10, 11, 141 y 143 del Reglamento 2016/679:

“(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión [Europea], el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. []

(11) La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal []

[]

(141) Todo interesado debe tener derecho a presentar una reclamación ante una autoridad de control única, en particular en el Estado miembro de su residencia habitual, y derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la Carta [de los Derechos Fundamentales de la Unión Europea] si considera que se vulneran sus derechos con arreglo al presente Reglamento o en caso de que la autoridad de control no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado. []

[]

(143) [] toda persona física o jurídica debe tener derecho a la tutela judicial efectiva ante el tribunal nacional competente contra las decisiones de una autoridad de control que produzcan efectos jurídicos que le afecten. [] Las acciones contra una autoridad de control deben ejercitarse ante los tribunales del Estado miembro en el que esté establecida y tramitarse con arreglo al Derecho procesal de dicho Estado miembro. Dichos tribunales deben tener plena jurisdicción, incluida la competencia para examinar todos los elementos de hecho y de Derecho relativos a la causa de la que conozcan. []”

4 Los artículos 60 a 63 de dicho Reglamento establecen mecanismos de cooperación, de asistencia mutua y de coherencia entre las autoridades de control de los Estados miembros.

5 El artículo 77, apartado 1, del citado Reglamento dispone:

“Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.”

6 El artículo 78, apartado 1, del mismo Reglamento preceptúa:

“Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.”

7 El artículo 79, apartado 1, del Reglamento 2016/679 establece:

“Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.”

8 El artículo 81 de este Reglamento, titulado “Suspensión de los procedimientos”, tiene el siguiente tenor:

“1. Cuando un tribunal competente de un Estado miembro tenga información de la pendencia ante un tribunal de otro Estado miembro de un procedimiento relativo a un mismo asunto en relación con el tratamiento por el mismo responsable o encargado, se pondrá en contacto con dicho tribunal de otro Estado miembro para confirmar la existencia de dicho procedimiento.

2. Cuando un procedimiento relativo a un mismo asunto en relación con el tratamiento por el mismo responsable o encargado esté pendiente ante un tribunal de otro Estado miembro, cualquier tribunal competente distinto de aquel ante el que se ejercitó la acción en primer lugar podrá suspender su procedimiento.

3. Cuando dicho procedimiento esté pendiente en primera instancia, cualquier tribunal distinto de aquel ante el que se ejercitó la acción en primer lugar podrá también, a instancia de una de las partes, inhibirse en caso de que el primer tribunal sea competente para su conocimiento y su acumulación sea conforme a Derecho.”

Derecho húngaro

9 El artículo 22 de la az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Ley CXII de 2011, sobre el derecho de autodeterminación en materia de información y la libertad de información), en su versión aplicable al litigio principal, dispone:

“En ejercicio de sus derechos, el interesado podrá, conforme a lo dispuesto en el capítulo VI:

a) pedir que la [autoridad de control] inicie una investigación acerca de la licitud de una medida adoptada por el responsable del tratamiento, en el supuesto de que este haya limitado el ejercicio de los derechos del interesado definidos en el artículo 14 o haya denegado una solicitud del interesado mediante la cual este pretendía ejercer sus derechos, así como

b) solicitar que la [autoridad de control] tramite un procedimiento administrativo de protección de datos, en el supuesto de que el interesado considere que, durante el tratamiento de sus datos personales, el responsable del tratamiento o, en su caso, el mandatario de este o el encargado del tratamiento que actúe bajo sus órdenes ha infringido las disposiciones en materia de tratamiento de datos personales establecidas en la normativa o en un acto jurídico vinculante de la Unión Europea.”

10 El artículo 23 de la Ley CXII de 2011, en su versión aplicable al litigio principal, establece:

“1. El interesado podrá ejercitar una acción judicial contra el responsable del tratamiento o contra el encargado del tratamiento -en lo relativo a las operaciones de tratamiento comprendidas en el ámbito de actividad de este último- en el supuesto de que considere que, al tratar sus datos personales, el responsable del tratamiento o, en su caso, el mandatario de este o el encargado del tratamiento que actúe bajo sus órdenes ha infringido las disposiciones en materia de tratamiento de datos personales establecidas en la normativa o en un acto jurídico vinculante de la Unión Europea.

[]

4. Podrán ser parte en el procedimiento judicial también quienes, por lo demás, carecen de capacidad procesal. La [autoridad de control] podrá intervenir en el proceso en apoyo de las pretensiones del interesado.

5. Si el tribunal estima la demanda, determinará la existencia de una infracción y ordenará al responsable del tratamiento o, en su caso, al encargado del tratamiento que:

(a) cese en la operación de tratamiento ilícita,

(b) restablezca la licitud del tratamiento de datos, y/u

(c) observe un comportamiento determinado con precisión para garantizar el ejercicio de los derechos del interesado,

y, en su caso, resolverá simultáneamente acerca de las pretensiones de indemnización de daños materiales y morales.”

Hechos del asunto principal y cuestiones prejudiciales

11 El 26 de abril de 2019, BE asistió a la junta general de una sociedad anónima de la que es accionista y, en ella, formuló preguntas a los miembros del consejo de administración de esta sociedad y a otros participantes en la citada junta general. Posteriormente, BE solicitó a dicha sociedad, como responsable del tratamiento de datos personales, que le transmitiera el fonograma que se había registrado en la referida junta general.

12 La sociedad de que se trata solo puso a disposición de BE los extractos del fonograma que recogían sus intervenciones, con exclusión de las de los demás participantes en la junta general a la que se refiere el presente asunto.

13 BE solicitó entonces a la autoridad de control, por una parte, que declarara que, al no entregarle el citado fonograma incluyendo las respuestas dadas a sus preguntas, la referida sociedad actuó de manera ilícita y en contra de lo dispuesto en el Reglamento 2016/679 y, por otra parte, que ordenase a dicha sociedad que le transmitiera el fonograma en cuestión. La autoridad de control desestimó esta solicitud mediante resolución de 29 de noviembre de 2019.

14 BE interpuso un recurso contra esta resolución de la autoridad de control ante el órgano jurisdiccional remitente, sobre la base del artículo 78, apartado 1, de ese Reglamento, mediante el cual solicitó, con carácter principal, que se modificase o, con carácter subsidiario, que se anulase la referida resolución.

15 De forma paralela a la interposición del recurso ante la autoridad de control, BE, esta vez con arreglo al artículo 79, apartado 1, de dicho Reglamento, interpuso un segundo recurso ante un órgano jurisdiccional civil, a saber, el Fővárosi Ítélőtábla (Tribunal Superior de la Capital, Hungría), dirigido contra la resolución del responsable del tratamiento de datos.

16 Mientras que el primero de estos recursos estaba todavía pendiente ante el órgano jurisdiccional remitente, el Fővárosi Ítélőtábla (Tribunal Superior de la Capital), mediante sentencia que ha adquirido firmeza, estimó el segundo recurso basándose en que el responsable del tratamiento había vulnerado el derecho de acceso de BE a sus datos personales.

17 El órgano jurisdiccional remitente indica que debe examinar los mismos hechos y la misma alegación de infracción del Reglamento 2016/679 que aquellos sobre los que el Fővárosi Ítélőtábla (Tribunal Superior de la Capital) ya ha dictado sentencia definitiva. Pregunta cómo debe articular la apreciación, por un órgano jurisdiccional civil, de la legalidad de una decisión adoptada por el responsable del tratamiento de datos personales con el procedimiento administrativo que haya conducido a la adopción de la resolución de la autoridad de control a la que se refiere el apartado 13 de la presente sentencia, que constituye el objeto del recurso pendiente ante él, y, en particular, si una vía de recurso tiene prioridad con respecto a la otra.

18 Señala que un ejercicio paralelo de las vías de recurso previstas en los artículos 77 a 79 del Reglamento 2016/679 podría dar lugar a la adopción de resoluciones contradictorias sobre hechos idénticos.

19 Tal situación podría vulnerar la seguridad jurídica tanto en lo que respecta a los particulares como a las autoridades de control.

20 El órgano jurisdiccional remitente indica que, habida cuenta de la independencia de las autoridades de control y de la preponderancia de sus competencias, definidas por el Reglamento 2016/679, en el sistema de protección de datos personales, las funciones y facultades de dichas autoridades se verían comprometidas si estuvieran vinculadas, en sus apreciaciones, por las de un órgano jurisdiccional civil que conociera previamente de los mismos hechos sobre la base del artículo 79, apartado 1, de dicho Reglamento.

21 Dado que las disposiciones del citado Reglamento no establecen ninguna regla de prioridad entre los recursos previstos en los artículos 77 a 79 de este, el órgano jurisdiccional remitente considera que corresponde al Tribunal de Justicia aclarar la relación existente entre estas vías de recurso.

22 En estas circunstancias, el Fővárosi Törvényszék (Tribunal General de la Capital, Hungría) ha decidido suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

“1) ¿Deben interpretarse los artículos 77, apartado 1, y 79, apartado 1, del Reglamento [2016/679] en el sentido de que el recurso administrativo previsto por el artículo 77 constituye un instrumento para el ejercicio de derechos públicos, mientras que la acción judicial prevista por el artículo 79 constituye un instrumento para el ejercicio de derechos privados? En caso de respuesta afirmativa, ¿procede deducir de ello que la autoridad de control, a la que incumbe conocer de los recursos administrativos, tiene competencia prioritaria para determinar la existencia de una infracción?

2) En el supuesto de que el interesado -en cuya opinión el tratamiento de datos personales que le conciernen ha infringido el Reglamento [2016/679]- ejerza simultáneamente su derecho a presentar una reclamación con arreglo al artículo 77, apartado 1, de dicho Reglamento y su derecho a ejercitar una acción judicial con arreglo al artículo 79, apartado 1, del mismo Reglamento, ¿procede considerar que una interpretación conforme con el artículo 47 de la Carta de los Derechos Fundamentales implica:

a) que la autoridad de control y el tribunal están obligados a examinar la existencia de una infracción de modo independiente y, en consecuencia, pueden incluso llegar a resultados divergentes; o bien

b) que la resolución de la autoridad de control goza de prioridad por cuanto se refiere a la apreciación de la comisión de una infracción, habida cuenta de las facultades contempladas en el artículo 51, apartado 1, del Reglamento 2016/679 y de los poderes atribuidos por el artículo 58, apartado 2, letras b) y d), del mismo Reglamento?

3) ¿Debe interpretarse la independencia de la autoridad de control, garantizada por los artículos 51, apartado 1, y 52, apartado 1, del Reglamento 2016/679, en el sentido de que dicha autoridad, al tramitar y resolver el procedimiento de reclamación previsto en el artículo 77 [de dicho Reglamento], es independiente de cuanto declare mediante sentencia definitiva el tribunal competente en virtud del artículo 79 [del mismo Reglamento], de manera que puede incluso adoptar una resolución divergente respecto a una misma supuesta infracción?”

Sobre las cuestiones prejudiciales

Sobre la admisibilidad

23 La Comisión Europea manifiesta sus dudas en cuanto a la admisibilidad de las cuestiones prejudiciales. Señala que, como se desprende de la petición de decisión prejudicial, en la fecha de esta última, tanto la autoridad de control como el órgano jurisdiccional civil habían dictado sus resoluciones, de modo que estas cuestiones son, como tales, hipotéticas. En realidad, el órgano jurisdiccional remitente se pregunta sobre la articulación entre las respectivas resoluciones de dos órdenes jurisdiccionales nacionales, a saber, el orden jurisdiccional contencioso-administrativo y el orden jurisdiccional civil. Sin embargo, esta cuestión no ha sido formulada en la resolución de remisión.

24 A este respecto, procede recordar que las cuestiones sobre la interpretación del Derecho de la Unión planteadas por el juez nacional en el marco fáctico y normativo definido bajo su responsabilidad y cuya exactitud no corresponde verificar al Tribunal de Justicia disfrutan de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una cuestión prejudicial planteada por un órgano jurisdiccional nacional cuando resulte evidente que la interpretación solicitada del Derecho de la Unión no guarda relación alguna ni con la realidad ni con el objeto del litigio principal, cuando el problema sea de naturaleza hipotética o cuando el Tribunal de Justicia no disponga de los elementos de hecho y de Derecho necesarios para dar una respuesta útil a las cuestiones que se le hayan planteado [sentencia de 10 de febrero de 2022, Bezirkshauptmannschaft Hartberg-Fürstenfeld (Plazo de prescripción), C-219/20, EU:C:2022:89, apartado 20 y jurisprudencia citada].

25 Además, conforme al artículo 94, letra c), del Reglamento de Procedimiento del Tribunal de Justicia, la petición de decisión prejudicial debe contener la indicación de las razones que han llevado al órgano jurisdiccional remitente a preguntarse sobre la interpretación de determinadas disposiciones del Derecho de la Unión, así como de la relación que a su juicio existe entre dichas disposiciones y la normativa nacional aplicable en el litigio principal.

26 En el presente asunto, consta ciertamente que la autoridad de control, a la que se había sometido el asunto sobre la base del artículo 77, apartado 1, del Reglamento 2016/679, dictó su resolución antes de la presentación de la demanda ante el órgano jurisdiccional civil que se pronunció sobre el recurso interpuesto por BE con fundamento en el artículo 79, apartado 1, de ese Reglamento. De los hechos expuestos por el órgano jurisdiccional remitente se desprende que dicho recurso dio lugar a una sentencia que ha adquirido firmeza. Además, es cierto que el órgano jurisdiccional remitente solo ha mencionado estas dos disposiciones en las cuestiones prejudiciales que ha planteado al Tribunal de Justicia.

27 No obstante, la circunstancia de que el órgano jurisdiccional remitente haya formulado una cuestión prejudicial refiriéndose únicamente a determinadas disposiciones del Derecho de la Unión no impide que el Tribunal de Justicia le proporcione todos los elementos de interpretación que le permitan resolver el asunto del que conoce, aun cuando no haya hecho referencia a ellos al formular sus cuestiones. A este respecto, corresponde al Tribunal de Justicia deducir del conjunto de elementos aportados por el órgano jurisdiccional remitente, especialmente de la motivación de la resolución de remisión, los elementos de Derecho de la Unión que requieren una interpretación, teniendo en cuenta el objeto del litigio [sentencia de 10 de febrero de 2022, Bezirkshauptmannschaft Hartberg-Fürstenfeld (Plazo de prescripción), C-219/20, EU:C:2022:89, apartado 34 y jurisprudencia citada].

28 Pues bien, por una parte, el órgano jurisdiccional remitente indica que, en virtud del Derecho procesal nacional, no está vinculado por la sentencia firme dictada por el tribunal civil que se ha pronunciado sobre el recurso interpuesto por BE sobre la base del artículo 79, apartado 1, del Reglamento 2016/679. Por otra parte, dado que BE no ha desistido de su recurso ante el órgano jurisdiccional remitente, interpuesto sobre la base del artículo 78, apartado 1, del citado Reglamento y que tiene por objeto obtener la modificación o la anulación de la resolución de la autoridad de control a la que se refiere el apartado 13 de la presente sentencia, corresponde a ese último órgano jurisdiccional pronunciarse sobre la legalidad de dicha resolución dictada antes de que se haya dictado la sentencia del tribunal civil.

29 Así pues, mediante sus cuestiones prejudiciales, el órgano jurisdiccional remitente, que conoce de un recurso, con fundamento en el artículo 78, apartado 1, del Reglamento 2016/679, contra la citada resolución de la autoridad de control, dictada sobre la base del artículo 77, apartado 1, de dicho Reglamento, desea saber si, en virtud de las disposiciones del referido Reglamento, la sentencia firme dictada por un tribunal que conoce del asunto en virtud del artículo 79, apartado 1, del citado Reglamento es vinculante para declarar la existencia o no de la vulneración de los derechos garantizados por ese mismo Reglamento.

30 En estas circunstancias, para dar una respuesta útil al órgano jurisdiccional remitente, es preciso considerar que, mediante sus cuestiones prejudiciales, que procede examinar conjuntamente, este pregunta, en esencia, si los artículos 77, apartado 1, 78, apartado 1, y 79, apartado 1, del Reglamento 2016/679, a la luz del artículo 47 de la Carta de los Derechos Fundamentales (en lo sucesivo, “Carta”), deben interpretarse en el sentido de que las vías de recurso previstas en los citados artículos 77, apartado 1, y 78, apartado 1, por una parte, y en el referido artículo 79, apartado 1, por otra, pueden ejercerse de manera concurrente e independiente, o si una de ellas tiene carácter prioritario.

31 Por consiguiente, las cuestiones prejudiciales así reformuladas son admisibles.

Sobre el fondo

32 Con carácter preliminar, procede recordar que, según reiterada jurisprudencia del Tribunal de Justicia, para interpretar una disposición del Derecho de la Unión, han de tenerse en cuenta no solo su tenor, sino también su contexto y los objetivos perseguidos por la normativa de la que forma parte (sentencia de 2 de diciembre de 2021, Vodafone Kabel Deutschland, C-484/20, EU:C:2021:975, apartado 19 y jurisprudencia citada).

33 Por lo que respecta a la redacción de las disposiciones del Reglamento 2016/679 mencionadas en el apartado 30 de la presente sentencia, es necesario recordar, de entrada, que el artículo 77, apartado 1, de dicho Reglamento precisa que todo interesado tiene derecho a presentar una reclamación ante una autoridad de control “sin perjuicio de cualquier otro recurso administrativo o acción judicial”. A continuación, a tenor del artículo 78, apartado 1, del referido Reglamento, toda persona física o jurídica tiene derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna “sin perjuicio de cualquier otro recurso administrativo o extrajudicial”. Por último, el artículo 79, apartado 1, del mismo Reglamento garantiza a cada interesado el derecho a la tutela judicial efectiva “sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77”.

34 Así pues, estas disposiciones del Reglamento 2016/679 ofrecen diferentes vías de recurso a las personas que invocan una infracción de dicho Reglamento, entendiéndose que cada una de estas vías de recurso debe poder ejercerse “sin perjuicio” de las demás.

35 Antes de nada, del tenor de estas disposiciones resulta que el Reglamento 2016/679 no establece una competencia prioritaria o exclusiva ni ninguna regla de primacía de la apreciación efectuada por la autoridad o por los órganos jurisdiccionales a los que hace referencia en cuanto a la existencia de una vulneración de los derechos conferidos por ese Reglamento. Por lo tanto, el recurso previsto en el artículo 78, apartado 1, del citado Reglamento, cuyo objeto es el examen de la legalidad de la decisión de una autoridad de control adoptada sobre la base del artículo 77 de dicho Reglamento, y el previsto en el artículo 79, apartado 1, de ese mismo Reglamento pueden ejercerse de manera concurrente e independiente.

36 Asimismo, tal constatación se ve confirmada por el contexto en el que se inscriben las disposiciones del Reglamento 2016/679 de que se trata.

37 En efecto, mientras que el legislador de la Unión ha regulado expresamente la relación entre los recursos previstos por el Reglamento 2016/679 en caso de que simultáneamente se acuda a autoridades de control o a órganos jurisdiccionales de varios Estados miembros en relación con un tratamiento de datos personales efectuado por el mismo responsable del tratamiento, debe señalarse que no es este el caso por lo que respecta a las vías de recurso previstas en los artículos 77 a 79 de dicho Reglamento.

38 Por una parte, los artículos 60 a 63 del Reglamento 2016/679 establecen mecanismos de cooperación, de asistencia mutua y de coordinación en virtud de los cuales las autoridades de control se prestan asistencia mutua, se informan y llevan a cabo operaciones conjuntas con el fin de garantizar una aplicación coherente y eficaz de las disposiciones de dicho Reglamento en el conjunto de la Unión.

39 Por otra parte, el artículo 81, apartados 2 y 3, del mencionado Reglamento establece normas relativas a los casos de interposición de un recurso ante varios órganos jurisdiccionales de Estados miembros diferentes.

40 En cambio, tales normas no están previstas en el Reglamento 2016/679 cuando se interpone una reclamación ante una autoridad de control y recursos judiciales en el seno de un mismo Estado miembro en relación con un mismo tratamiento de datos personales.

41 Por lo demás, del artículo 78, apartado 1, del Reglamento 2016/679, interpretado a la luz del considerando 143 de dicho Reglamento, se desprende que los tribunales que conozcan de un recurso contra una decisión de una autoridad de control deben disponer de una competencia plena y, en particular, de la de examinar todas las cuestiones de hecho y de Derecho relativas al litigio del que conocen.

42 Por último, por lo que respecta a los objetivos perseguidos por dicho Reglamento, de su considerando 10 se desprende que este tiene por objeto garantizar un nivel elevado de protección de las personas físicas por lo que se refiere al tratamiento de datos personales en la Unión. El considerando 11 del mismo Reglamento señala, además, que la protección efectiva de estos datos exige que se refuercen los derechos de los interesados. Como señaló el Abogado General en el punto 55 de sus conclusiones, la decisión del legislador de la Unión de conceder a los interesados la posibilidad de ejercitar de forma concurrente e independiente las vías de recurso previstas, por una parte, en los artículos 77, apartado 1, y 78, apartado 1, del Reglamento 2016/679 y, por otra parte, en el artículo 79, apartado 1, de ese mismo Reglamento se enmarca en el objetivo del citado Reglamento.

43 En efecto, el Reglamento 2016/679 impone en particular a las autoridades competentes de los Estados miembros la misión de garantizar un nivel elevado de protección de los derechos establecidos en el artículo 16 TFUE y en el artículo 8 de la Carta (véase, en este sentido, la sentencia de 15 de junio de 2021, Facebook Ireland y otros, C-645/19, EU:C:2021:483, apartado 45).

44 La puesta a disposición de varias vías de recurso refuerza asimismo el objetivo enunciado en el considerando 141 del Reglamento 2016/679 de garantizar a cualquier interesado que estime que se han vulnerado sus derechos con arreglo a ese Reglamento el derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la Carta.

45 A falta de normativa de la Unión en la materia, cada Estado miembro debe configurar, en virtud del principio de autonomía procesal de los Estados miembros, la regulación de los procedimientos administrativos y judiciales destinados a asegurar un nivel elevado de salvaguarda de los derechos que el Derecho de la Unión confiere a los justiciables.

46 Por tanto, corresponde al órgano jurisdiccional remitente determinar, sobre la base de las disposiciones procesales nacionales, cómo deben aplicarse las vías de recurso previstas por el Reglamento 2016/679 en un caso como el que es objeto del litigio principal.

47 Dicho esto, la regulación de la aplicación de las referidas vías de recurso concurrentes e independientes no debe poner en entredicho el efecto útil y la protección efectiva de los derechos garantizados por ese Reglamento.

48 En efecto, esa regulación no debe ser menos favorable que la referente a los recursos semejantes establecidos para la protección de los derechos reconocidos por el ordenamiento jurídico interno (principio de equivalencia) ni hacer imposible en la práctica o excesivamente difícil el ejercicio de los derechos conferidos por el ordenamiento jurídico de la Unión (principio de efectividad) (véase, en este sentido, la sentencia de 14 de julio de 2022, EPIC Financial Consulting, C-274/21 y C-275/21, EU:C:2022:565, apartado 73 y jurisprudencia citada).

49 Pues bien, incumbe a los tribunales de los Estados miembros, en virtud del principio de cooperación leal enunciado en el artículo 4 TUE, apartado 3, garantizar la tutela judicial de los derechos que el Derecho de la Unión confiere a los justiciables; por otro lado, el artículo 19 TUE, apartado 1, obliga a los Estados miembros a establecer las vías de recurso necesarias para garantizar la tutela judicial efectiva en los ámbitos cubiertos por el Derecho de la Unión (sentencia de 27 de septiembre de 2017, Pukár, C-73/16, EU:C:2017:725, apartado 57).

50 En particular, a la hora de definir la regulación procesal de los recursos judiciales destinados a garantizar la salvaguarda de los derechos conferidos por el Reglamento 2016/679, los Estados miembros deben garantizar el respeto del derecho a la tutela judicial efectiva y a un juez imparcial, consagrado en el artículo 47 de la Carta, que constituye una reafirmación del principio de tutela judicial efectiva (véase, por analogía, la sentencia de 27 de septiembre de 2017, Pukár, C-73/16, EU:C:2017:725, apartado 59).

51 De este modo, los Estados miembros deben asegurarse de que la regulación concreta del ejercicio de las vías de recurso previstas en los artículos 77, apartado 1, 78, apartado 1, y 79, apartado 1, del Reglamento 2016/679 no afecte de forma desproporcionada al derecho a la tutela judicial efectiva que recoge el artículo 47 de la Carta (véase, en este sentido, la sentencia de 27 de septiembre de 2017, Pukár, C-73/16, EU:C:2017:725, apartado 76).

52 En el caso de autos, de la resolución de remisión se desprende que el sistema de recursos previsto por el Derecho húngaro está concebido de tal modo que los recursos previstos en los artículos 78, apartado 1, y 79, apartado 1, del Reglamento 2016/679 son independientes. En efecto, el órgano jurisdiccional remitente precisa que, en virtud de ese Derecho, no está vinculado por la resolución dictada por el tribunal que conoce de un recurso interpuesto sobre la base del artículo 79, apartado 1, aunque los hechos de que conozcan dichos órganos jurisdiccionales sean los mismos.

53 Por consiguiente, no cabe excluir que las resoluciones dictadas por estos dos órganos jurisdiccionales se contradigan, que una de ellas declare la existencia de una infracción de las disposiciones del Reglamento 2016/679 y la otra la inexistencia de tal infracción.

54 En ese supuesto, por una parte, la existencia de dos resoluciones contradictorias pondría en peligro el objetivo de garantizar una aplicación coherente y homogénea de las normas de protección de las libertades y derechos fundamentales de las personas físicas en relación con el tratamiento de datos personales en toda la Unión, enunciado en el considerando 10 de dicho Reglamento.

55 En efecto, la protección concedida en virtud de una resolución dictada a raíz de un recurso interpuesto sobre la base del artículo 79, apartado 1, de dicho Reglamento por la que se declare la existencia de una infracción de las disposiciones de este último no sería coherente con una segunda resolución judicial resultante de un recurso interpuesto sobre la base del artículo 78, apartado 1, del mismo Reglamento que tenga un resultado contrario.

56 De ello resultaría, por otra parte, una disminución de la protección de las personas físicas en lo que respecta al tratamiento de datos personales que les conciernen, ya que tal incoherencia crearía una situación de inseguridad jurídica.

57 Habida cuenta de todas las consideraciones anteriores, procede responder a las cuestiones prejudiciales planteadas que los artículos 77, apartado 1, 78, apartado 1, y 79, apartado 1, del Reglamento 2016/679, a la luz del artículo 47 de la Carta, deben interpretarse en el sentido de que permiten un ejercicio concurrente e independiente de las vías de recurso previstas, por una parte, en los citados artículos 77, apartado 1, y 78, apartado 1, y, por otra parte, en el referido artículo 79, apartado 1. Corresponde a los Estados miembros, de acuerdo con el principio de autonomía procesal, establecer la forma de articular estas vías de recurso para salvaguardar la efectividad de la protección de los derechos garantizados por dicho Reglamento, la aplicación coherente y homogénea de las disposiciones de este y el derecho a la tutela judicial efectiva consagrado en el artículo 47 de la Carta.

Costas

58 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara:

Los artículos 77, apartado 1, 78, apartado 1, y 79, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), a la luz del artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea, deben interpretarse en el sentido de que permiten un ejercicio concurrente e independiente de las vías de recurso previstas, por una parte, en los citados artículos 77, apartado 1, y 78, apartado 1, y, por otra parte, en el referido artículo 79, apartado 1. Corresponde a los Estados miembros, de acuerdo con el principio de autonomía procesal, establecer la forma de articular estas vías de recurso para salvaguardar la efectividad de la protección de los derechos garantizados por dicho Reglamento, la aplicación coherente y homogénea de las disposiciones de este y el derecho a la tutela judicial efectiva consagrado en el artículo 47 de la Carta de los Derechos Fundamentales.

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2024

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana