Hay situaciones específicas en las que la autoridad de protección de datos de un Estado miembro de la UE pueda ejercitar acciones judiciales por una supuesta infracción en relación con un tratamiento transfronterizo de datos tanto en el país donde la presunta empresa infractora tenga su sede principal, como en las de los países donde haya delegaciones.

El pronunciamiento del Abogado de la Unión Europea, el checo Michal Bobek, surge por la pregunta del Tribunal de Apelación de Bruselas sobre si el RGPD impide realmente que la autoridad nacional de protección de datos belga entable un procedimiento judicial en su Estado miembro por un tratamiento transfronterizo de datos realizado por Facebook, con delegación en Bélgica pero cuya sede europea se encuentra en Irlanda.

En sus conclusiones del 13 de enero de 2021, asunto C-645/19 (Facebook vs DPA Belga), el Abogado General recordó que la competencia para interponer acciones por la presunta infracción en relación con el tratamiento transfronterizo de datos la tiene la autoridad de protección de datos del Estado en el que el responsable o el encargado del tratamiento de los datos tenga su establecimiento principal en la Unión Europea.

Pero, también acotó que el Reglamento General de Protección de Datos (RGPD) permite que el Estado pueda actuar en cualquier otro Estado de la Unión.