TJUE: se declara recurrible la decisión del CEPD de endurecer las sanciones a WhatsApp en materia de privacidad

La STJUE n.º C-97/23 P, de 10 de febrero de 2026, ECLI:EU:C:2026:81, ha anulado el auto del Tribunal General que rechazó el recurso de anulación de la compañía por inadmisible, devolviéndole el asunto para que se pronuncie sobre el fondo. En su resolución, el Tribunal de Justicia de la Unión Europea (TJUE) ha declarado que la decisión vinculante 1/2021 del Comité Europeo de Protección de Datos (CEPD) es un acto que afecta directamente a WhatsApp Ireland Ltd. y es impugnable ante la jurisdicción de la Unión. Se concluye así que la Decisión 1/2021 del CEPD —que resolvió un conflicto entre autoridades de control nacionales acerca de si WhatsApp había infringido el Reglamento (UE) 2016/679 (RGPD) y ordenó a la autoridad irlandesa en materia de protección elevar la multa impuesta a WhatsApp— no es una mera medida intermedia, sino un acto que produce efectos jurídicos frente a terceros y que modifica sustancialmente la posición jurídica de la empresa afectada.

La Decisión 1/2021 del CEPD como acto recurrible en la UE

La sentencia analiza la naturaleza jurídica de las decisiones vinculantes del CEPD en el marco del  apartado 1 del artículo 65 del RGPD, y declara que la decisión objeto de controversia reúne los requisitos para ser considerada un acto recurrible ante los tribunales de la Unión. La decisión emana de un órgano de la Unión y está destinada a producir efectos jurídicos vinculantes frente a terceros, en este caso, la autoridad de control irlandesa y las demás autoridades de control interesadas. Además, la decisión vinculante fija definitivamente la posición del CEPD sobre todas las cuestiones que le fueron sometidas, agotando así el objeto del procedimiento de resolución de controversias previsto en el RGPD.

Por ello, el TJUE descarta la calificación de la Decisión 1/2021 como simple fase preparatoria de la resolución nacional definitiva y afirma que no puede tratarse como una medida intermedia no recurrible en el sentido del artículo 263 del TFUE.

Afectación directa a WhatsApp: sin margen para las autoridades nacionales

Junto a la recurribilidad objetiva del acto, el TJUE examinó si la decisión del CEPD afecta directamente a WhatsApp, siendo la respuesta afirmativa: el acto modificó de manera sustancial la situación jurídica de la empresa, al dejar sin margen de apreciación a sus destinatarios, las autoridades de control. Concretamente, la Decisión 1/2021 declaró la infracción de determinadas disposiciones del RGPD por parte de WhatsApp y obligó a la autoridad irlandesa a modificar las medidas correctivas inicialmente previstas, incluida la cuantía de las multas. Esa vinculación es incondicional: las autoridades de control interesadas no pueden alterar el resultado fijado por el CEPD, ni en lo relativo a la calificación de la infracción ni en cuanto a las correcciones que deben aplicarse. De este modo, aunque la decisión nacional definitiva tenga formalmente a la empresa como destinataria, el acto del CEPD es el que determina el contenido esencial de las obligaciones y sanciones impuestas, justificándose que la empresa pueda interponer recurso de anulación ante la jurisdicción de la Unión.

Origen del conflicto: investigación en Irlanda y mecanismo de coherencia

Tras la entrada en vigor del RGPD, la autoridad de control irlandesa (Data Protection Commission) recibió diversas quejas sobre el tratamiento de los datos personales por parte del servicio de mensajería «WhatsApp», iniciando de oficio una investigación general en diciembre de 2018.

Concluida la investigación, en diciembre de 2020 la autoridad irlandesa remitió a las demás autoridades de control interesadas un proyecto de decisión conforme al apartado 3 del artículo 60 del RGPD, a fin de recabar su dictamen. Al no lograrse consenso sobre aspectos relevantes del proyecto, la autoridad irlandesa acudió al CEPD para que, al amparo del apartado 1 del artículo 65 del RGPD, resolviera el conflicto, pronunciándose sobre las objeciones pertinentes y motivadas formuladas por otras autoridades.

El CEPD adoptó entonces la Decisión vinculante 1/2021, en la que declaró la infracción de ciertas disposiciones del RGPD por parte de WhatsApp y ordenó a la autoridad irlandesa modificar las medidas correctivas contempladas, así como revisar el importe de las sanciones pecuniarias. Sobre la base de esa decisión, la autoridad irlandesa dictó su decisión definitiva dirigida a WhatsApp, imponiendo varias multas por un importe total de 225 millones de euros, junto con otras medidas correctivas.

Itinerario procesal: del Tribunal General al Tribunal de Justicia

Frente a la Decisión 1/2021 del CEPD, WhatsApp interpuso un recurso de anulación ante el Tribunal General, con fundamento en el artículo 263 del TFUE, pero, mediante auto de 7 de diciembre de 2022, el Tribunal General declaró inadmisible el recurso, al entender que la decisión del CEPD:

• no constituía un acto impugnable, por tratarse de una medida intermedia en el marco del procedimiento de cooperación del RGPD; y
• no afectaba directamente a WhatsApp, ya que la empresa solo podría cuestionar la decisión definitiva de la autoridad irlandesa ante los tribunales nacionales competentes.

Disconforme con esta interpretación, WhatsApp interpuso el recurso de casación ante el TJUE contra el auto del Tribunal General.

Consecuencias inmediatas: el Tribunal General deberá pronunciarse sobre el fondo

Tras corregir el enfoque del Tribunal General sobre la admisibilidad, el TJUE devuelve el asunto a este órgano para que examine el litigio en cuanto al fondo. Deberá pronunciarse, entre otras cuestiones, sobre si WhatsApp ha infringido las disposiciones del RGPD que la Decisión 1/2021 del CEPD consideró vulneradas y sobre la corrección de las medidas adoptadas.

El TJUE recuerda, además, el marco general de los recursos de casación en la Unión: contra sentencias y autos del Tribunal General cabe recurso de casación limitado a cuestiones de Derecho, que, en principio, no tiene efecto suspensivo. Si el recurso es admisible y fundado, el Tribunal de Justicia anula la resolución impugnada y, si el asunto está en condiciones de ser resuelto, puede decidir definitivamente. En caso contrario, como sucede aquí, devuelve el asunto al Tribunal General, que queda vinculado por la interpretación jurídica fijada en casación.