El reciente Dictamen 04/2024 del Comité Europeo de Protección de Datos sobre
el concepto de establecimiento principal de un responsable del tratamiento en
la Unión con arreglo al artículo 4.16(a) RGPD, avala el criterio restrictivo, según
el cual el mecanismo de ventanilla única, en lo que se refiere a un responsable
del tratamiento con establecimientos en más de un Estado miembro, sólo puede
aplicarse cuando uno de esos establecimientos toma las decisiones sobre los
fines y medios de las operaciones de tratamiento pertinentes y está facultado
para hacer que se ejecuten dichas decisiones. Sólo en tales situaciones
entiende el Comité que cabe identificar un “establecimiento principal” a los
efectos del artículo 4.16(a) RGPD, lo que resulta determinante para que el
responsable en cuestión pueda beneficiarse del criterio de ventanilla única con
respecto a los “tratamientos transfronterizos” en el sentido del artículo 4.23
RGPD, de modo que el control de tales tratamientos estará dirigido por una
única autoridad de control, teniendo el resto competencias limitadas en el
marco de los procedimientos de cooperación y de coherencia establecidos en los
artículos 60 y ss RGPD (véase, v.gr, la STJUE de 15 de junio de 2021, C-645/19,
Facebook Ireland, EU:C:2021:483, reseñada aquí). El criterio de ventanilla única limita las cargas para el responsable inherentes
a que un mismo tratamiento transfronterizo quede sometido simultáneamente al
control pleno de múltiples autoridades de control. La principal implicación del
criterio que el Dictamen 04/2024 avala es que no pueden beneficiarse del mecanismo
de ventanilla única los responsables del tratamiento con varios establecimientos
en la Unión, cuando ninguno de esos establecimientos toma las decisiones sobre
los fines y medios de las operaciones de tratamiento pertinentes y está
facultado para hacer que se ejecuten dichas decisiones, lo que típicamente es
consecuencia de que ese poder reside en una entidad establecida en un tercer
Estado. En consecuencia, tales responsables, aunque tengan varios establecimientos
en la Unión, quedan excluidos del criterio de ventanilla única, como sucede con
los responsables que carecen de establecimiento en la Unión. Se trata de un
planteamiento que encuentra apoyo en el texto del artículo 4.16(a) RGPD y de su
considerando 36, y resulta coherente con el objetivo del RGPD de garantizar una
protección eficaz del derecho fundamental de las personas físicas a la protección
de los datos personales, habida cuenta de las tradicionales carencias en la
aplicación del estricto marco europeo en la materia con respecto a prestadores
de servicios en línea cuya matriz está establecida en un tercer Estado. No obstante,
la eventual coordinación de este planteamiento con el régimen aplicable a otro tipo
de tratamientos transfronterizos que en principio pueden beneficiarse del criterio de
ventanilla única puede plantear algunos interrogantes.