Competencia y Derecho aplicable en el Reglamento General sobre Protección de Datos de la Unión Europea

Abstract

El nuevo Reglamento general de protección de datos de la UE representa una profunda transformación de la situación previa basada en la mera armonización. En lo relativo a su dimensión internacional, introduce en primer lugar importantes novedades en los criterios que determinan el ámbito territorial de la legislación europea, en particular con el objetivo de asegurar su aplicación a los tratamientos de datos de personas que se encuentren en la Unión relacionados con actividades dirigidas a su territorio. El presente estudio valora el fundamento de los cambios y pretende aportar las claves para su interpretación. Frente al modelo anterior, las normas sobre el ámbito territorial no resultan ahora determinantes del reparto de competencias entre las autoridades nacionales de control de los Estados miembros. El Reglamento incluye disposiciones específicas acerca de la competencia de las autoridades de control de los Estados miembros en las situaciones transfronterizas, relevantes típicamente para las reclamaciones ante autoridades administrativas y los posteriores recursos judiciales frente a sus resoluciones. Además, incorpora un régimen especial de competencia judicial internacional en relación con el derecho a la tutela de los interesados contra un responsable o encargado del tratamiento, por ejemplo para el ejercicio de acciones de indemnización. La coordinación de esas reglas con otras normas de nuestro sistema, como el Reglamento Bruselas I bis es objeto de análisis en el presente estudio, al igual que el significado de las nuevas normas en materia de conexidad entre procedimientos judiciales, así como las carencias de los instrumentos de la Unión sobre ley aplicable en relación con la tutela civil del derecho a la protección de datos.

The new EU General Data Protection Regulation brings about a deep transformation of the previous legal framework based on the mere approximation of laws. As regards the cross-border dimension, it amends the territorial scope of application of EU data protection law to clarify that it covers the processing of data of subjects who are in the Union by a controller or a processor not established in the Union where the processing activities are related to offering goods or services to such data subjects. This article discusses the rationale that supports the new approach and the relevant criteria for its interpretation. Unlike the previous regime, the provisions of the Regulation on its territorial scope do not determine the competent national supervisory authority. The Regulation includes specific provisions on the distribution of competences between the supervisory authorities of the Member States with regard to cross-border situations. Such rules play also an important role concerning the right to a judicial remedy against a supervisory authority. Additionally, new special jurisdiction rules are established concerning private claims by data subjects against a controller or processor as a result of the infringement of the rights granted to them by the Regulation. Such rules are of special significance with respect to the right to compensation where a damage results from an infringement of the Data Protection Regulation. One of the main objectives of this article is to clarify the issues raised by the relationship of the new special rules on jurisdiction and related proceedings with other provisions, such as those of the Brussels I (Recast) Regulation. The shortcomings of EU conflict rules in the area of private enforcement of data protection law and the interplay between the new Regulation and the general EU framework on conflict of laws are also discussed.