El 8 de enero de 2025, el Tribunal General de la Unión Europea (TGUE) dictó sentencia en el asunto T‑354/22, en el que Thomas Bindl demandó a la Comisión Europea por la presunta transferencia indebida de sus datos personales a terceros países sin un nivel adecuado de protección.
Thomas Bindl, ciudadano alemán, alegó que, al interactuar con el sitio web de la Conferencia sobre el Futuro de Europa gestionado por la Comisión, sus datos personales(incluyendo su dirección IP y detalles del navegador) fueron transferidos a empresas estadounidenses como Amazon Web Services y Meta Platforms (anteriormente Facebook) al utilizar el servicio de autenticación de usuario de la Comisión EU Login, a través de su cuenta de Facebook para registrarse en el evento “GoGreen” en dicha página web. Sostuvo que estas transferencias carecían de las garantías adecuadas exigidas por el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, exponiéndolo al riesgo de acceso por parte de las autoridades estadounidenses.
Ante estas circunstancias, el demandante solicitó:
(i) la anulación de dichas transferencias,
(ii) que se declare que la Comisión Europea no se pronunció sobre su solicitud de información, y
(iii) una indemnización de 1.200 euros por daños inmateriales.
Respecto a estas pretensiones el TGUE se pronuncia de la siguiente manera:
(i) Declara inadmisible la anulación de las transferencias, al entender que dichas transferencias son operaciones informáticas de migración de datos entre terminales o servidores, resultantes de las interacciones entre el demandante y los sistemas o servicios informáticos de la Comisión, cuando aquel consulta el sitio de Internet de la CFE o el servicio EU Login. Por lo que considera que las transferencias controvertidas no son actos de la Comisión que produzcan efectos jurídicos vinculantes que puedan afectar a los intereses del demandante. Siendo por tanto actos materiales y no jurídicos, no pueden considerarse actos impugnables en el sentido del art.263 del TFUE.
(ii) Respecto a la petición de declaración de que la Comisión no se pronunció sobre la solicitud de información del reclamante, el TGUE sobreseyó esta pretensión al constatar que la Comisión había respondido a la solicitud de información del demandante antes de la interposición del recurso.
(iii) En cuanto a la indemnización por los daños y perjuicios, el TJUE diferencia entre las posibles trasferencias a Amazon y las trasferencias a Meta.
- Transferencias a través de Amazon CloudFront: El TGUE determinó que los datos del demandante no fueron transferidos a Estados Unidos, sino a servidores en Alemania, conforme al contrato entre la Comisión y Amazon Web Services, que garantizaba que los datos permanecieran en Europa. Además, en ciertos casos, fue el propio demandante quien, mediante ajustes técnicos, simuló estar en Estados Unidos, provocando la transferencia de sus datos a ese país. Por tanto, desestimó esta parte de la reclamación.
- Transferencias a través de la opción "conectarse con Facebook": El TGUE concluyó que la Comisión, al ofrecer esta opción en su servicio de autenticación EU Login, facilitó la transferencia de la dirección IP del demandante a Meta Platforms, una empresa estadounidense. Dado que, en la fecha de la transferencia (30 de marzo de 2022), no existía una decisión que reconociera a Estados Unidos como país con un nivel de protección adecuado, y la Comisión no presentó garantías adecuadas como cláusulas contractuales, se consideró que la Comisión incumplió las condiciones establecidas en el Reglamento (UE) 2018/1725, por lo que se declara procedente la indemnización de 400 euros por daños inmateriales al demandante.