Asunto T‑709/21
WhatsApp Ireland Ltd
contra
Comité Europeo de Protección de Datos
Auto del Tribunal General (Sala Cuarta ampliada) de 7 de diciembre de 2022
«Recurso de anulación — Protección de datos personales — Proyecto de decisión de la autoridad de control principal — Resolución de conflictos entre autoridades de control por el Comité Europeo de Protección de Datos — Decisión vinculante — Artículos 60, apartado 4, y 65, apartado 1, letra a), del Reglamento (UE) 2016/679 — Acto no recurrible — Acto de trámite — Inexistencia de afectación directa»
1. Recurso de anulación — Actos recurribles — Actos que producen efectos jurídicos obligatorios — Decisión vinculante del Comité Europeo de Protección de Datos (CEPD), relativa a un conflicto entre autoridades de control — Acto que no modifica la situación jurídica del demandante — Inadmisibilidad — Respeto del sistema de vías de recursos judiciales establecido por el Derecho primario
[Arts. 2 TUE, 6 TUE, ap. 1, y 19 TUE; Arts. 263 TFUE y 267 TFUE; Carta de los Derechos Fundamentales de la Unión Europea, art. 47; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts. 58, ap. 2, 60, 63, 64, 65, 68, ap. 1, y 78]
(véanse los apartados 35 a 39, 41, 42, 63, 64 y 66 a 70)
2. Recurso de anulación — Actos recurribles — Actos de trámite — Exclusión — Decisión vinculante del Comité Europeo de Protección de Datos (CEPD), relativa a un conflicto entre autoridades de control — Acto que no produce efectos jurídicos autónomos
[Art. 263 TFUE; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo]
(véanse los apartados 43 a 47)
3. Recurso de anulación — Personas físicas o jurídicas — Actos que las afectan directa e individualmente — Decisión vinculante del Comité Europeo de Protección de Datos (CEPD), relativa a un conflicto entre autoridades de control — Inexistencia de afectación directa del demandante
[Art. 263 TFUE; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo]
(véanse los apartados 49 y 51 a 53)
4. Actos de las instituciones — Exposición de motivos — Valor jurídico vinculante — Inexistencia — Considerando que no se basa en otra disposición del acto de que se trate
[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, considerando 143]
(véase el apartado 71)
Resumen
El Tribunal General declara la inadmisibilidad del recurso de WhatsApp contra una decisión del Comité Europeo de Protección de Datos.
No obstante, la validez de la decisión del CEPD puede impugnarse ante el juez nacional, que puede dirigirse al Tribunal de Justicia con carácter prejudicial
Tras la entrada en vigor del RGPD, (1) la Data Protection Commission (Autoridad de supervisión en materia de protección de datos personales de las personas físicas, Irlanda) recibió quejas de usuarios y de no usuarios de la mensajería «WhatsApp» en relación con el tratamiento de datos personales por parte de WhatsApp Ireland Ltd (en lo sucesivo, «WhatsApp»). En este contexto, dicha autoridad de control irlandesa, en su condición de autoridad de control principal, (2) inició de oficio una investigación de carácter general sobre el cumplimiento por parte de WhatsApp de las obligaciones de transparencia y de información frente a los particulares.
A raíz de esta investigación, en el marco del mecanismo de cooperación instaurado por el RGPD, la autoridad de control irlandesa presentó a todas las demás autoridades de control de los Estados miembros afectadas por el tratamiento de datos personales en cuestión un proyecto de decisión para obtener el dictamen de estas. Dado que no se alcanzaba un consenso sobre este proyecto, la autoridad de control irlandesa acudió al Comité Europeo de Protección de Datos (CEPD), (3) tal como prevé el RGPD. El 28 de julio de 2021, dicho Comité adoptó una Decisión vinculante para todas las autoridades de control interesadas, en la que se pronunciaba sobre las cuestiones respecto de las que, según él, se habían manifestado objeciones pertinentes y motivadas por parte de algunas de esas autoridades (en lo sucesivo, «Decisión impugnada»). (4) Tras recibir dicha Decisión, la autoridad de control irlandesa adoptó, el 20 de agosto de 2021, una decisión definitiva en la que declaró, en particular, que WhatsApp había infringido determinadas disposiciones del RGPD y le impuso multas correctivas, en concreto, multas administrativas acumuladas de 225 millones de euros.
En paralelo, WhatsApp impugnó la decisión definitiva ante un órgano jurisdiccional irlandés y solicitó al Tribunal General la anulación de la Decisión impugnada.
En este asunto, el Tribunal General se pronuncia, por primera vez, sobre una pretensión de anulación de una decisión vinculante del CEPD, adoptada sobre la base del RGPD. Pronunciándose en Sala ampliada, declara inadmisible el recurso de WhatsApp debido a que no se dirige contra un acto impugnable con arreglo al artículo 263 TFUE y a que la decisión impugnada no afecta directamente a WhatsApp, en el sentido de los criterios de legitimación definidos en el mismo artículo. Precisa que la validez de la Decisión impugnada puede ser examinada por el juez nacional que conoce de un recurso contra la decisión definitiva posterior que pone fin al procedimiento y adoptada a nivel nacional.
Apreciación del Tribunal General
Con carácter preliminar, el Tribunal General recuerda que, para que un acto sea impugnable por una parte demandante distinta de los demandantes «privilegiados», (5) dicho acto debe producir efectos jurídicos obligatorios que puedan afectar a los intereses de la parte demandante, modificando de forma caracterizada su situación jurídica. Este requisito se solapa cuando la parte demandante no es destinataria de un acto individual que impugna, como en el caso de autos, con la necesidad de que dicho acto la afecte directa e individualmente para tener legitimación activa.
A este respecto, el Tribunal General considera, en primer lugar, que la Decisión impugnada no modifica por sí misma la situación jurídica de WhatsApp, ya que, contrariamente a la decisión definitiva de la autoridad de control irlandesa, no le es directamente oponible y constituye un acto de trámite en un procedimiento que debe concluir mediante la adopción de una decisión definitiva de una autoridad de control nacional de la que dicha empresa es destinataria.
Además, la Decisión impugnada no produce frente a WhatsApp ningún efecto jurídico autónomo con respecto a la decisión final que emana de la autoridad de control irlandesa. En efecto, todas las apreciaciones que figuran en la primera Decisión se reproducen en la segunda y la primera no produce ningún efecto independiente del contenido de la segunda. Así, el hecho de que un acto intermedio exprese la posición final de una autoridad que debe reproducirse en la decisión definitiva que ponga fin al procedimiento de que se trate, como en el caso de autos, porque la Decisión impugnada contiene un análisis final sobre determinados aspectos de la decisión definitiva, no significa necesariamente que dicho acto intermedio modifique por sí mismo de forma caracterizada la situación jurídica de la parte demandante.
A continuación, el Tribunal General señala que la Decisión impugnada no afecta directamente a WhatsApp. En efecto, para afectar directamente a una parte demandante no destinataria de un acto, dicho acto debe, en primer lugar, producir directamente efectos jurídicos sobre la situación de esa parte demandante y, en segundo lugar, no permitir ninguna facultad de apreciación a los destinatarios encargados de su aplicación, por tener esta carácter automático y derivarse únicamente de la normativa de la Unión, sin aplicación de otras normas intermedias.
Por lo que respecta al primero de estos requisitos, el Tribunal General recuerda que la Decisión impugnada no tiene carácter oponible a WhatsApp que permita, sin etapa adicional en el procedimiento, ser fuente de obligaciones para ella o, en su caso, de derechos para otros particulares. En el caso de autos, la Decisión impugnada no es la última etapa del procedimiento completo previsto por el RGPD.
En cuanto al segundo de estos requisitos, el Tribunal General observa que la Decisión impugnada, aun cuando vinculara a la autoridad de control irlandesa en lo que respecta a los aspectos a los que se refería, le dejó un margen de apreciación en cuanto al contenido de la decisión definitiva, que se refiere también a otros aspectos, en particular por lo que respecta al importe de las multas administrativas.
Por último, el Tribunal General señala que la inadmisibilidad del recurso interpuesto ante él por WhatsApp contra la Decisión impugnada se inscribe en la lógica del sistema de recursos jurisdiccionales establecido por el Tratado UE y el Tratado FUE. Más concretamente, el Tratado FUE, al prever en particular la posibilidad de interponer un recurso directo de anulación ante el Tribunal de Justicia de la Unión Europea o de plantear una cuestión prejudicial a este último, ha establecido un sistema completo de vías de recurso destinado a garantizar el control de la legalidad de los actos de la Unión, en el que también participan los órganos jurisdiccionales nacionales. En este sistema, las personas que, debido a los requisitos de admisibilidad, no pueden impugnar directamente actos de la Unión ante el juez de la Unión tienen la posibilidad de alegar, mediante excepción de ilegalidad, la invalidez de tal acto ante los órganos jurisdiccionales nacionales que, a su vez, pueden dirigirse al Tribunal de Justicia con carácter prejudicial.
El Tribunal General precisa que la lógica de este sistema, que explica en particular la interpretación de los requisitos de admisibilidad de los recursos directos, (6) consiste en que la acción judicial del Tribunal de Justicia de la Unión Europea y la de los órganos jurisdiccionales nacionales se complementan de manera eficaz y en que el juez de la Unión y el juez nacional no se pronuncien simultáneamente, con ocasión de procedimientos paralelos, sobre la validez de un mismo acto de la Unión, ya sea directamente o, en lo que concierne al órgano jurisdiccional nacional, si se pregunta sobre la validez del acto de que se trate, a raíz de una cuestión prejudicial.