El Tribunal General de la Unión Europea ha sentado un precedente en materia de protección de datos al ordenar a la Comisión Europea indemnizar a un ciudadano alemán por violar el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés).
Este fallo marca la primera vez que una institución comunitaria se enfrenta a una sanción económica (en este caso 400 euros) por incumplir sus propias normas de privacidad, y podría abrir la puerta a futuros casos similares.
El origen de la disputa se encuentra en un evento organizado por la Comisión Europea en el que el ciudadano alemán se registró utilizando la opción de “Iniciar sesión con Facebook”. Esta acción resultó en la transferencia de datos personales, como la dirección IP, el navegador y el dispositivo del usuario, a servidores en Estados Unidos gestionados por Meta (propietaria de Facebook) y Amazon, que alojaba la plataforma del evento.
El demandante argumentó que esta transferencia infringía el RGPD, ya que Estados Unidos no ofrece un nivel de protección de datos equivalente al de la Unión Europea, lo que exponía su información personal al acceso potencial de agencias de inteligencia estadounidenses.
El fallo del Tribunal General
El tribunal concluyó que la Comisión Europea no implementó salvaguardas adecuadas para proteger los datos transferidos, lo que constituye una infracción grave de las normas de privacidad.
El Tribunal ha declarado que la Comisión Europea había cometido una “infracción suficientemente grave” al no garantizar el cumplimiento del RGPD en este caso
En concreto, el Tribunal General ha declarado que la Comisión Europea había cometido una “infracción suficientemente grave” al no garantizar el cumplimiento del RGPD en este caso. Aunque el ciudadano solicitaba también la anulación de la transferencia de datos y una compensación adicional de 800 euros por daños no materiales, el tribunal ha optado por desestimar estas peticiones y limitó la indemnización a 400 euros.
En su fallo, el tribunal destaca que las instituciones comunitarias están obligadas a cumplir las mismas normas estrictas que imponen a las empresas privadas. Este principio refuerza la credibilidad del RGPD como un marco legal robusto y aplicable a todas las entidades que operan en la UE, incluidas sus propias instituciones.
El fallo establece un importante precedente legal que podría influir en la manera en que las instituciones públicas gestionan los datos personales. También refuerza la necesidad de implementar acuerdos internacionales sólidos, como el recientemente anulado Privacy Shield entre la UE y Estados Unidos, para garantizar niveles adecuados de protección en las transferencias transatlánticas.
Si (
No(
