Contacto en Europa, acceso en USA

El Tribunal de Justicia de la Union Europea (TJUE) declaró responsable a la Comisión Europea por la transferencia de los datos personales de un ciudadano alemán a otros países, lo que violentaba el Reglamento (UE) 2018/1725 en el tratamiento de esos datos.

Fue en el marco del  asunto T-354/22 “Bindl / Comisión”, en el cual el damnificado solicitó ante el TJUE que se anulen las transferencias de sus datos a países que no dispongan de un nivel de protección adecuado, que declare que la Comisión Europea no se pronunció sobre su solicitud de información en 2022 y que se lo indemnice por los daños sufridos al violentarse su derecho de acceso a la información y por las transferencias no autorizadas.

El actor explicó que en 2021 y 2022 consultó el sitio web de la Conferencia sobre el Futuro de Europa y que se registró en el evento GoGreen con su cuenta de Facebook, en esa ocasión advirtió que la conexión se realizó con proveedores terceros como la empresa estadounidense Amazon Web Services.

Es por ello que mandó un mail al delegado de protección de datos de la Comisión para que facilitara cierta información sobre el tratamiento de datos personales, donde también indicó que existía una conexión con proveedores de otros países y pidió que le digan que datos suyos habían sido tratados o almacenados y cuáles transferidos a terceros, con que base jurídica y si habían garantías con respecto a los países que no disponían de igual nivel de protección.

La respuesta que brindó la comisión fue que los datos personales fueron tratados y que no se transferían datos a países fuera de la unión europea, siendo la filial de Amazon una con sede en Luxemburgo. El actor volvió a insistir con otro mail, el cual no fue respondido, dando lugar a la demanda.

Consideraron que existió una afectación cuando al loguearse el actor se transfirieron datos a la empresa Facebook en Estados Unidos (dirección IP, navegador, terminal) lo que infringió el art. 46 del Reglamento 2018/1725 poniendo en situación de inseguridad al actor en relación a sus datos

Frente a la demanda, la Comisión solicitó el rechazo de las pretensiones, que se declare el sobreseimiento de las pretensiones por omisión, se desestimen los reclamos indemnizatorios y se condene en costas al actor.

Finalmente, el tribunal optó por declarar inadmisible el recurso en torno a la anulación de las transferencias, sobreseyó a la Comisión Europea sobre la pretensión de que no respondió a la solicitud de información y condenó a la misma al pago de 400 euros en concepto de daños y perjuicios inmateriales, rechazándose los demás rubros reclamados.

El tribunal entendió que “no todas las operaciones que pueden dar lugar a una transferencia de datos personales, con arreglo al art. 3 punto 3 del Reglamento 2018/1725 son actos impugnables en el sentido del art. 263 TFUE”, siendo las del caso, “operaciones informáticas de migración de datos entre terminales o servidores, resultantes de las interacciones entre el demandante y los sistemas o servicios informáticos de la Comisión, cuando aquel consultaba el sitio de internet de la CFE o el servicio EU login” siendo actos materiales y no actos jurídicos que puedan afectar los intereses del actor.

Sin embargo, consideraron que existió una afectación cuando al loguearse el actor se transfirieron datos a la empresa Facebook en Estados Unidos (dirección IP, navegador, terminal) lo que infringió el art. 46 del Reglamento 2018/1725 poniendo en situación de inseguridad al actor en relación a sus datos, al no haber realizado el responsable de datos ninguna decisión de adecuación en el sentido del art. 47 del Reglamento 2018/1725, para brindar garantías al usuarios sobre sus datos y los derechos exigibles y acciones legales efectivas.

Por lo tanto, al haber creado la Comisión las condiciones para que se produjera la transferencia de datos personales del actor a un tercer país sin cumplir con las condiciones del art. 46, es que procedía el reclamo indemnizatorio de 400 euros, por daños inmateriales.