Límites del Derecho de la Unión a la concesión de la nacionalidad por los Estados miembros

 

Distanciándose del criterio propuesto por el Abogado General en sus conclusiones, el Tribunal de Justicia (Gran Sala), en su sentencia de ayer en el asunto Comisión / Malte (Citoyenneté par investissement), C-181/23, EU:C:2025:283, ha decidido que el "programa de ciudadanía (nacionalidad) para inversores", o "procedimiento transaccional de naturalización a cambio de pagos o de inversiones predeterminados", establecido por la República de Malta viola el Derecho de la Unión, en concreto, el artículo 20 TFUE y el artículo 4.3 TUE. Se trata de una sentencia muy significativa, en la medida en que determina que el Derecho de la UE, en particular el principio de cooperación leal (art. 4.3 TUE), en relación con la ciudadanía de la Unión atribuida a toda persona que tenga la nacionalidad de un Estado miembro -y que incluye el derecho a circular y residir libremente en el territorio de todos los Estados miembros- (art. 20 TFUE), limita la libertad de los Estados miembros en un ámbito tan particular de soberanía y de su competencia, como es la concesión de la nacionalidad. El Tribunal de Justicia deriva de esas disposiciones límites al ejercicio por los Estados miembros de su competencia en materia de concesión de la nacionalidad.

Directrices sobre el tratamiento de datos personales mediante tecnologías blockchain

 

La publicación por el Comité Europeo de Protección de Datos (CEPD o EDPB) de sus Guidelines 02/2025 onprocessing of personal data through blockchain technologies (Version 1.1 para consulta pública), de 8 de abril, constituye un hito en el análisis de los desafíos que el cumplimiento del marco legal imperativo de la UE en materia de protección de datos personales plantea en relación con ciertos usos de las tecnologías de registros distribuidos, especialmente algunas de las que han recibido más atención en los últimos años, como las llamadas public permissionless blockchains. Por ejemplo, destaca la constatación de que la persona física o jurídica que controla un nodo de una cadena de bloques de ese tipo puede en determinadas circunstancias ser considerada responsable del tratamiento de datos personales a los efectos del Reglamento (UE) 2016/679 general de protección de datos (RGPD) (apdos. 43 y 130 de las Directrices). Antes de hacer referencia a algunos aspectos del contenido de las Directrices, la lectura del documento se presta a dos reflexiones generales. La primera es que constituye un buen ejemplo de un principio básico aplicable en lo que tiene que ver con la regulación de las nuevas tecnologías y los modelos de negocio disruptivos basados en ellas, aunque frecuentemente olvidado.

De nuevo sobre la competencia judicial internacional de los tribunales de la Unión Europea en materia de infracción de patentes

 

     El auto del Tribunal de Primera Instancia (División Local de París) del Tribunal Unificado de Patentes (TUP) del pasado 21 de marzo constituye el primer supuesto de aplicación del criterio de la STJUE BSH Hausgeräte, del 25 de febrero pasado, que constata la paradójica situación a la que conduce la redacción del artículo 24.4 Reglamento 1215/2012 o Reglamento Bruselas I bis (RBIbis), combinada con el criterio adoptado por el TJUE en esa sentencia (al respecto, aquí y aquí). Más allá del contenido de ese auto, en el marco de un litigio relativo a la infracción, además de una patente europea con efecto unitario, de las expedidas en España, Suiza y el Reino Unido, cabe ilustrar el estado de la cuestión tomando como ejemplo el siguiente supuesto hipotético.

Datos personales de representantes de personas jurídicas

 

    El considerando 20 del RGPD -cuyo objeto se limita a la protección de las personas físicas (art. 1)- señala que este instrumento “no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto”. En su sentencia de ayer, Ministerstvo zdravotnictví (Données relatives au représentant d’une personne morale), C-710/23, EU:C:2025:231, el Tribunal de Justicia confirma que lo anterior no es obstáculo para apreciar que la información relativa a las personas físicas que, como órgano de una sociedad o miembro de este, tengan poder para obligar a una sociedad con respecto a terceros constituye «datos personales», siempre que se trate de datos vinculados a una persona física identificada o identificable. Por lo tanto, es necesario diferenciar entre los datos de contacto de la persona física que representa a la persona jurídica y los datos de contacto de la propia persona jurídica. A diferencia de estos últimos, los primeros pueden ir referidos a personas físicas identificadas o identificables y en esa medida quedan comprendidos dentro del RGPD. En consecuencia, la comunicación a terceros de datos personales -como el nombre, la firma o los datos de contacto- de tales personas físicas representantes de la persona jurídica constituyen un tratamiento de datos personales conforme al artículo 4.2 RGPD.

Diez años después: competencia judicial internacional en materia de derechos morales de autor

 

     La sentencia del Tribunal Supremo (Sala de lo Civil) 735/2025, de 26 de febrero de 2025, ES:TS:2025:735, constata que el llamado criterio del centro de intereses de la víctima para atribuir competencia con carácter general a los tribunales de uno de los lugares de manifestación del daño no es aplicable respecto de actividades que se desarrollan al margen de Internet. Niega la competencia judicial internacional de los tribunales españoles para conocer de una demanda relativa a la infracción de los derechos morales de autor, en la medida en que la infracción consistía en la reproducción en un soporte tangible y la instalación en Qatar, en concreto, de farolas a cuyo diseño iban referidos los derechos de autor supuestamente infringidos de una persona con centro de intereses en España. En consecuencia, el TS rechaza el criterio de la AP de Barcelona que había desestimado la declinatoria de falta de competencia judicial internacional de los tribunales españoles en este asunto, mediante Auto de 12 de marzo de 2015, objeto en su momento de reseña en este blog, poniendo de relieve sus carencias (puede verse también Derecho privado de Internet, 6ª ed., 2022, pp. 1191-1192 o apdos. 6.630-6.632). Habida cuenta de la sustancial coincidencia entre lo ya dicho en esa reseña y el contenido de la nueva sentencia, me limitaré a hacer tres consideraciones.

Los acuerdos de jurisdicción asimétricos tras la sentencia Società Italiana Lastre

 

Tenía pendiente reseñar la sentencia del Tribunal de Justicia en el asunto C-537/23, Società Italiana Lastre, EU:C:2025:120, que tanto interés y desconcierto ha generado desde el 27 de febrero. Se trata de la primera ocasión en la que el Tribunal se pronuncia acerca de la admisibilidad de los acuerdos de elección de foro -o cláusulas de jurisdicción- asimétricos en el marco del artículo 25 del Reglamento UE 1215/2012 (RBIbis). Tras una breve referencia al contexto de la sentencia (I, infra), me referiré al alcance de la regla de conflicto específica sobre la validez material del acuerdo de jurisdicción (II, infra), la interpretación autónoma de los requisitos de validez de tales acuerdos conforme al artículo 25 RBIbis (III, infra), la admisibilidad en el marco de ese artículo de los acuerdos cuando son asimétricos (IV) y los requisitos a los que el Tribunal subordina su eficacia (V). Terminaré con reflexiones preliminares acerca de algunas posibles implicaciones prácticas de la sentencia en la redacción e interpretación de estas cláusulas (VI), incluyendo la interacción con las situaciones en las que los tribunales designados/implicados son de terceros Estados (VII).

Decisiones automatizadas sobre solvencia: derecho de acceso en materia de datos personales y protección de los algoritmos

           La sentencia de este jueves del Tribunal de Justicia en el asunto Dun & Bradstreet Austria, C-203/22, EU:C:2025:117, complementa en buena medida su sentencia en el SCHUFA Holding (Scoring), C-634/21, EU:C:2023:957, en relación con el artículo 22 RGPD, que, prohíbe las decisiones basadas únicamente en el tratamiento automatizado de datos personales, incluida la elaboración de perfiles, que produzcan efectos jurídicos en el interesado, sin perjuicio de ciertas excepciones. Entre éstas se encuentra el que la decisión sea necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; o que la decisión se basa en el consentimiento explícito del interesado. Respecto estas situaciones atribuye al interesado, entre otros, el derecho a expresar su punto de vista sobre la decisión e impugnarla. En la mencionada sentencia SCHUFA Holding (Scoring) el Tribunal estableció la necesidad de una interpretación amplia del concepto de “decisión automatizada” a los efectos del artículo 22 RGPD, para hacer frente a los riesgos específicos que tales decisiones generan en relación con potenciales efectos discriminatorios en las personas físicas, en el contexto de la expansión de herramientas de inteligencia artificial (IA). Además, puso de relieve la importancia, cuando existen decisiones automatizadas, del derecho de acceso del interesado a “información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado”, conforme a lo dispuesto en el artículo 15.1.h) RGPD. La nueva sentencia aporta presiones acerca de cómo debe interpretarse el concepto “información significativa sobre la lógica aplicada” -que figura también en los arts. 13 y 14 RGPD relativos a la información a facilitar a los interesados en la obtención de datos-, así como en relación con el tratamiento de las situaciones en las que el responsable del tratamiento considera que esa información puede incluir secretos comerciales, objeto de tutela conforme a la Directiva (UE) 2016/943, o datos de terceros protegidos por el RGPD. En relación con supuestos habituales de empleo de herramientas de IA en actividades de importancia para la vida de las personas físicas -como las que están condicionadas por la evaluación previa de su solvencia-, la sentencia resulta de interés para determinar el alcance de los derechos de tales personas, así como de ciertas obligaciones inherentes al empleo por los responsables del tratamiento de datos personales de ese tipo de herramientas.