El 10 de febrero de 2026, la Gran Sala del Tribunal de Justicia dictó sentencia en el asunto C-97/23 P, estimando el recurso de casación interpuesto por WhatsApp Ireland contra el auto del Tribunal General de 7 de diciembre de 2022 (T-709/21), que había declarado inadmisible el recurso de anulación formulado por WhatsApp contra una decisión vinculante del Comité Europeo de Protección de Datos (CEPD). Se trata de una sentencia de primer orden para el sistema de supervisión del RGPD y para el acceso a la tutela judicial de los responsables del tratamiento.
El contexto del litigio
Tras la entrada en vigor del RGPD, la Autoridad de Control irlandesa (DPC), en su condición de autoridad de control principal de WhatsApp —cuya sede europea radica en Irlanda—, inició en 2018 una investigación de oficio sobre el cumplimiento por parte de WhatsApp de las obligaciones de transparencia e información previstas en los artículos 12 a 14 del RGPD. Concluida la instrucción, en diciembre de 2020 la DPC remitió a las demás autoridades de control afectadas el proyecto de resolución para su consulta, conforme al artículo 60.3 RGPD.
En enero de 2021, ocho autoridades de control formularon objeciones pertinentes y motivadas frente a determinados aspectos del proyecto. Al no lograrse consenso, la DPC rechazó las objeciones y sometió la controversia al CEPD, que el 28 de julio de 2021 adoptó su decisión vinculante 1/2021 al amparo del artículo 65.1.a) RGPD. Mediante esa decisión el CEPD se pronunció, entre otras cuestiones, sobre la infracción del artículo 13.1.d) RGPD (información sobre la base jurídica del tratamiento), la calificación como datos personales de los elementos resultantes de la técnica de lossy hashing aplicada a los contactos de no usuarios, la infracción del principio de transparencia del artículo 5.1.a) RGPD, las infracciones de los artículos 13.2.e) y 14 RGPD, y los criterios y el importe de las sanciones, ordenando incrementar las multas que la DPC proyectaba —de entre 30 y 50 millones de euros— hasta una cifra que finalmente se fijó en 225 millones de euros en la resolución definitiva de la DPC de 20 de agosto de 2021.
WhatsApp impugnó esa resolución definitiva ante los tribunales irlandeses y, de manera autónoma, interpuso recurso de anulación ante el Tribunal General contra la decisión vinculante del CEPD. Este último inadmitió el recurso por auto de diciembre de 2022, al considerar que la decisión del CEPD era un acto preparatorio o intermedio, sin efectos jurídicos independientes, y que WhatsApp no estaba directamente afectada por ella, dado que la resolución definitiva correspondía a la DPC.
La sentencia del Tribunal de Justicia
Primera cuestión previa: el plazo de interposición del recurso.
El CEPD alegó extemporaneidad. El Tribunal de Justicia rechaza este argumento: la publicación de la decisión en el sitio web del CEPD el 2 de septiembre de 2021, que es la forma de publicación prevista en el artículo 65.5 RGPD, determina el inicio del plazo de dos meses del artículo 263 TFUE. La presentación de la demanda el 1 de noviembre de 2021 fue, por tanto, en plazo.
Acto impugnable (artículo 263, párrafo primero, TFUE).
El Tribunal de Justicia concluye que el Tribunal General incurrió en error de Derecho. La decisión vinculante del CEPD adoptada en virtud del artículo 65 RGPD no es un acto preparatorio ni un mero eslabón de trámite, sino que expresa la posición definitiva del CEPD sobre todas las cuestiones que le fueron sometidas. Es, por su contenido y por las competencias del órgano que la dicta, un acto cuyo objeto es producir efectos jurídicos obligatorios frente a terceros —las autoridades de control destinatarias— y, en última instancia, frente al propio responsable del tratamiento. Que la resolución definitiva corresponda formalmente a la autoridad de control nacional no altera esta calificación, pues lo relevante no es si el acto puede invocarse directamente contra el demandante, sino si produce efectos jurídicos vinculantes objetivamente apreciados.
Afectación directa (artículo 263, párrafo cuarto, TFUE).
El Tribunal de Justicia aprecia también error de Derecho en el Tribunal General en este punto. Para que un acto afecte directamente al demandante deben concurrir dos condiciones acumulativas: que produzca efectos directos en su situación jurídica, y que no deje margen de apreciación a sus destinatarios en la ejecución. Ambas concurren aquí. La decisión del CEPD modificó la situación jurídica de WhatsApp —al calificar los datos de lossy hashing como datos personales y al establecer que ciertas infracciones habían tenido lugar—, y la DPC carecía de margen para apartarse de las conclusiones del CEPD sobre las cuestiones que este había resuelto, aunque conservara discrecionalidad en aspectos no cubiertos por aquella decisión (como la cuantía exacta de la multa). Que dos procesos paralelos —el recurso ante el Tribunal General y el recurso ante la jurisdicción irlandesa— puedan coexistir no convierte en indirecto el efecto de la decisión del CEPD sobre WhatsApp.
Fallo y devolución al Tribunal General.
El Tribunal de Justicia anula el auto del Tribunal General, declara admisible el recurso de anulación de WhatsApp contra la decisión vinculante 1/2021 del CEPD, y devuelve el asunto al Tribunal General para que se pronuncie sobre el fondo, dado que este no lo había examinado.
Hasta ahora, el RGPD generaba una incertidumbre notable: el responsable del tratamiento recibía los efectos materiales de la decisión vinculante del CEPD a través de la resolución definitiva de su autoridad de control nacional, pero no podía impugnar directamente la primera ante los tribunales de la Unión. El Tribunal de Justicia cierra esa brecha de tutela judicial, reconociendo que la decisión del CEPD es un acto autónomamente impugnable cuando produce efectos jurídicos objetivos y vinculantes. La sentencia equilibra así la lógica descentralizada del sistema de cooperación del RGPD con las exigencias del derecho a la tutela judicial efectiva consagrado en el artículo 47 de la Carta de los Derechos Fundamentales.
.