El demandante, ciudadano alemán, accedió, en varias ocasiones entre 2021 y 2022, a la página web de la Comisión Europea para informarse sobre una Conferencia sobre el Futuro de Europa. En una de ellas, se registró en el evento “GoGreen” a través de su cuenta de Facebook.
En noviembre de 2021, el afectado envió una comunicación a la Comisión por la que solicitaba que se le facilitase determinada información. En dicha comunicación, puso de manifiesto que al conectarse a su página web, “se había activado una conexión con proveedores terceros” -Amazon Web Services-, por lo que solicitó información sobre qué datos se habían transferido y a qué terceros. La Comisión, en el plazo estipulado a tal efecto, le facilitó un enlace para poder conocer los datos que habían sido tratados y le informó de que estos no habían sido transferidos a ningún destinatario ubicado fuera del la UE. Asimismo, se expuso que el sitio de internet usaba una “red de distribución de contenidos” gestionada por la citad entidad, con domicilio social en Luxemburgo.
Posteriormente, en abril de 2022, volvió a remitir una comunicación exponiendo, de nuevo, cuestiones similares a la anterior y manifestando que, al registrarse a través de Facebook en el evento GoGreen, “consideraba que se había establecido una conexión con la empresa Microsoft” (ubicada fuera de la Unión Europea) facilitando su dirección IP e información sobre su navegador. En este sentido, la Comisión respondió, más de un mes después, indicando que la solicitud de información era casi idéntica a la anterior y que, por ello, ya había facilitado respuesta a la misma.
Con ocasión de lo anterior, el afectado interpuso su recurso solicitando la anulación de las transferencias internacionales realizadas que no tuvieran una base jurídica válida (por efectuarse a países que no tienen un nivel de protección adecuado), la declaración de que la Comisión actuó de forma contraria a derecho por no atender su solicitud (puesto que la respuesta que se le facilitó era insuficiente y se realizó fuera de plazo), así como que se le indemnizase por los daños sufridos.
En relación con la respuesta al ejercicio de su derecho por parte de la Comisión, declara el Tribunal General (órgano del Tribunal de Justicia de la Unión Europea que resuelve los recursos de anulación interpuestos por los particulares, empresas y, en algunos casos, los gobiernos nacionales) que “El hecho de que el contenido del correo […] no coincida con la respuesta deseada por el demandante es irrelevante a este respecto. En efecto, es indiferente la circunstancia de que la postura adoptada por la institución no satisfaga a la parte demandante, ya que el artículo 265 TFUE se refiere a la omisión por haberse abstenido de adoptar una decisión o una posición y no a la adopción de un acto diferente del que dicha parte habría deseado o considerado necesario”.
Respecto a este asunto, el actor afirma asimismo que la página web de la Comisión no contenía información sobre las transferencias a terceros países. En este sentido, se declara en la resolución que si bien el afectado tiene derecho a conocer los destinatarios a los que se transfieren sus datos (pudiendo ejercer su derecho de acceso), ello no obliga a que esta información figure en un documento determinado. A la vista de todo lo anterior, se indica en la resolución que la única infracción cometida es el incumplimiento del plazo previsto para contestar a la solicitud. Sin embargo, debido a que este plazo no fue superado en más de dos meses, así como que el demandante no ha probado los daños ocasionados o que la información solicitada era prácticamente la misma que la primera solicitud (que sí fue adecuadamente respondida), no se ha demostrado incumplimiento alguno.
En relación con la transferencia de los datos de la dirección IP a Estados Unidos con ocasión del acceso a la página web de la Comisión (servidores de Amazon CloudFront, entidad que actúa como red de distribución de contenidos) se declara por el Tribunal que el servicio que presta esta compañía consiste en el uso de un “mecanismo de enrutamiento con arreglo al principio de proximidad” con la terminal del usuario, de modo que las solicitudes de los usuarios que acceden a la citada página web de la Comisión se redirigen a un “servidor periférico que proporciona la menor latencia en función de la ubicación geográfica del usuario” con la finalidad de que el contenido se transmita al usuario en la mejor condición. Ello supone que los datos relativos a la conexión se envían al servido más próximo al usuario (no necesariamente a Estados Unidos).
Dicho lo anterior, habida cuenta de que no se ha alegado que se produjera un fallo técnico o un funcionamiento erróneo de este mecanismo (que implicase que la conexión no se efectuó al servidor más próximo), la Comisión alegó que esta conexión de la IP del usuario a un servidor ubicado en Estados Unidos (cuando este accedió desde Alemania) “sólo puede explicarse mediante una manipulación técnica del demandante”.
En la resolución se pone de manifiesto que las diferentes ubicaciones de los servidores a los que se conectó el actor no pueden ser resultado de su desplazamiento físico (entre otros, Reino Unido, Estados Unidos o Alemania) ni de un funcionamiento normal del servicio de Amazon CloudFront. Muy al contrario, se deben a “un ajuste técnico llevado a cabo por el demandante, con el objetivo de modificar su ubicación aparente y de presentarse en el ámbito digital” como si estuviera en distintos lugares. Así, la conducta del demandante es la causa directa de los daños ocasionados, por cuanto fue él “quien estableció las condiciones necesarias para conectarse a servidores situados en los Estados Unidos”.
Asimismo, respecto a la transferencia internacional de datos efectuada con motivo del registro en el evento GoGreen a través de su cuenta de Facebook (en este sentido, el actor alegó que se había transferido, adicionalmente, su dirección de correo, su nombre y apellido o su foto de perfil), afirma la Comisión que la decisión de autenticarse a través de Facebook fue del afectado, puesto que existían otras opciones para efectuar el registro.
Tal y como se recoge en la sentencia, a través del hipervínculo “conectarse con Facebook” se envía determinada información a Facebook necesaria para la autenticación, a través de las cookies (previamente aceptadas). Durante todo el proceso descrito en la resolución, el usuario puede cancelar el registro y optar por otra opción de registro. De lo expuesto se deduce por el Tribunal que la Comisión “creó las condiciones que permiten que se transfiera la dirección IP del demandante a Facebook” , esto es, a la empresa Meta, ubicada en Estados Unidos, sin que en el momento en que se realizó la transferencia internacional existiese ninguna decisión de adecuación o se aplicase medidas de seguridad que garantizasen el correcto tratamiento de los datos.
En este sentido, se declara que la Comisión “no ha demostrado, ni siquiera alegado, la existencia de una garantía adecuada, en particular de una cláusula tipo de protección de datos o de una cláusula contractual”, por lo que se produjo la cesión sin cumplir las condiciones establecidas en el artículo 46 del Reglamento 2018/1725 que le resulta de aplicación, colocando al demandante en una situación de inseguridad, debiendo indemnizarle por ello.
Puede acceder a la resolución aquí.