UE | El One-stop-shop en cuestión: Las vicisitudes de la Autoridad Principal

La Autoridad Irlandesa de Protección de Datos rechaza actuar como autoridad principal por falta de legitimación del denunciante

UE |  El One-stop-shop en cuestión: Las vicisitudes de la Autoridad Principal
1 de diciembre de 2021

El 26 de diciembre de 2018, la Agencia Española de Protección de datos (AEPD) recibió una reclamación, presentada por la asociación de consumidores y usuarios FACUA, relacionada con un tratamiento de carácter transfronterizo de datos personales, con posible vulneración del artículo 6.1 del Reglamento General de Protección de datos (RGPD).

Al tratarse de un tratamiento transfronterizo y tener la denunciada su establecimiento principal y único en Irlanda, el 22 de febrero de 2019, la AEPD procedió a remitir el caso a la Autoridad Irlandesa de Protección de Datos (AIPD) competente para conocer del asunto conforme al artículo 56.1 RGPD.

El objeto de la denuncia reside en la posible comunicación ilícita de datos realizada por el responsable del tratamiento al compartir los datos de sus usuarios con más de 150 compañías sin una base jurídica adecuada para ello.

La Autoridad Irlandesa ha rechazado recientemente su competencia para conocer sobre el fondo del asunto, por ser la denunciante una asociación sin un mandato individual. El artículo 80.2 RGPD establece que “cualquier Estado miembro podrá disponer que cualquier entidad, organización o asociación […] tenga, con independencia del mandato del interesado, derecho a presentar en ese Estado miembro una reclamación ante la autoridad de control que sea competente […], si considera que los derechos del interesado […] han sido vulnerados como consecuencia de un tratamiento”. Ahora bien, la AIPD recuerda que el artículo 80.2 RGPD requiere de desarrollo nacional para ser aplicable, al establecer que los “cualquier Estado miembro podrá” y que la ley nacional irlandesa no implementa el art. 80.2 RGPD. En consecuencia, la AIPD no puede gestionar una reclamación interpuesta por una entidad, organización o asociación sin ánimo de lucro que actúa sin un mandato de un interesado.

Por todo lo anterior, la AEPD ha procedido a archivar la presente reclamación sin perjuicio de que FACUA pueda presentar otra reclamación por mandato de un interesado individual conforme al artículo 80.1 del RGPD, aportando el preceptivo poder de representación. Este vaivén entre autoridades resulta de especial interés por dos razones. Por un lado, refleja cómo la falta de desarrollo uniforme de algunos preceptos puede suponer un problema para que algunas asociaciones que tienen legitimación en algunos Estados miembros para interponer denuncias puedan interponerlas en otros. Por otro lado, vuelve a poner en tela de juicio el mecanismo de autoridad principal (one-stop-shop) del RGPD.

Autores: Pedro Méndez de Vigo y Josu Andoni Eguiluz

1 de diciembre de 2021