**Artículo preparado para Lvcentinvs por Ana Candela Pérez, alumna del Magister Lvcentinvs**

La misma semana en la que medio mundo estaba pendiente de la publicación de la sentencia en el asunto “Schrems”, el Tribunal de Justicia de la Unión Europea (de aquí en adelante, ‘TJUE’ o ‘el tribunal’) adoptaba otra decisión no menos interesante sobre la interpreacion de la Directiva 95/46 sobre protección de datos personales. Se trata de la STJUE de 1 octubre 2015, C‑230/14, “Weltimmo

Antecedentes

En este caso, el TJUE responde a la preguntas formuladas por la Kúria, el Tribunal Supremo de Hungría, las cuales surgen a raíz de un litigio entre la empresa eslovaca ‘Weltimmo s.r.o.’ y la autoridad de control húngara a cargo de la protección de datos.

Los hechos controvertidos en el litigio principal son los siguientes:

La sociedad Weltimmo, constituida en Eslovaquia, se dedica principalmente a la prestación de un servicio online de publicidad relativa a inmuebles ubicados en Hungría, ofreciendo a los anunciantes espacios a tal efecto en su sitio web. Para la gestión de dicho servicio, la citada empresa trata los datos personales de los anunciantes.

Se trata de un servicio de pago, aunque la empresa ofrece a los anunciantes un primer mes gratuito. El problema surge cuando gran parte de los usuarios del servicio deciden retirar sus anuncios, junto con sus datos personales, transcurrido el citado periodo gratuito. Weltimmo no sólo ignora las peticiones de sus clientes en ese sentido, sino que les factura los servicios y, ante el impago de los mismos, recurre a una empresa de cobro, transmitiéndole a esta última los datos personales de los anunciantes.

Los usuarios afectados responden presentando denuncias ante la autoridad húngara de control, la cual se considera competente y termina imponiendo una multa a Weltimmo, alegando la existencia una infracción de la Ley húngara sobre la información.

Es entonces cuando Weltimmo inicia su andadura por los tribunales húngaros, la cual culmina con un recurso de casación ante el referido Tribunal Supremo, en el que la sociedad eslovaca trata de defenderse alegando que, en virtud del artículo 4 de la Directiva 95/46, la autoridad húngara de control no podía aplicar la ley húngara a un prestador de servicios establecido en otro Estado miembro, y que la misma debería haber acudido a su homóloga eslovaca, basando este último argumento en el artículo 28 de la misma norma.

Cuestiones prejudiciales

En este contexto, el Tribunal Supremo húngaro plantea ocho preguntas que el TJUE agrupa y reformula para su mejor análisis. Es por ello que la decisión aparece dividida en tres bloques. Este comentario estudia en mayor profundidad el primero de ellos, por ser a nuestro juicio, el de mayor relevancia e interés.

Las cuestiones primera a sexta, examinadas de forma conjunta, se dirigen a esclarecer si la autoridad de control de un Estado miembro está legitimada para aplicar su legislación nacional al responsable del tratamiento de datos que desarrolla una actividad como la del litigio principal –prestación de un servicio a través de Internet-, a pesar de estar registrado en otro Estado miembro. Todo ello teniendo en cuenta los artículos 4.1.a), sobre el Derecho nacional aplicable, y 28.1, 3 y 6, relativo a las funciones y facultades de las autoridades de control de datos.

El artículo 4.1.a) establece que será aplicable la ley de un Estado miembro cuando el tratamiento de datos se efectúe en el marco de las actividades de un establecimiento del responsable en el territorio de dicho Estado.

Por otro lado, el tribunal remitente expresa sus dudas sobre la relevancia de ciertos datos a la hora de valorar la cuestión referida.

1) El TJUE responde a este primer grupo de cuestiones (una a sexta) en el siguiente sentido:

En primer lugar, interpreta que el artículo 4.1.a) de la Directiva 95/46 permite que la autoridad de control de un Estado miembro aplique su legislación nacional a un responsable del tratamiento de datos cuya sociedad está registrada en un Estado miembro distinto, en el supuesto de que éste desarrolle una “actividad real y efectiva, aun mínima, en cuyo marco se realice el referido tratamiento”, a través de una instalación estable en el territorio del Estado miembro del que la autoridad de control es dependiente.

Sin embargo, el TJUE dispone que es tarea del tribunal nacional determinar si efectivamente ocurre así, y a tal efecto enumera una serie de factores que considera relevantes a la hora de llevar a cabo tal valoración, a saber: “por un lado, que la actividad del responsable de dicho tratamiento, en cuyo marco éste tiene lugar, consiste en la gestión de sitios de Internet de anuncios de inmuebles situados en el territorio de dicho Estado miembro y redactados en la lengua de ese Estado y que, en consecuencia, se dirige principalmente, incluso íntegramente, a dicho Estado miembro y, por otro lado, que ese responsable dispone de un representante en el referido Estado miembro que se encarga de cobrar los créditos resultantes de dicha actividad y de representarlo en los procedimientos administrativo y judicial relativos al tratamiento de los datos en cuestión”. Otros datos tenidos en cuenta son el hecho de que Weltimmo posee una cuenta bancaria así como un apartado de correos en Hungría para la gestión de sus asuntos corrientes.

No obstante, el TJUE aclara que la nacionalidad húngara de los propietarios de los inmuebles anunciados en la web de Weltimmo carece de relevancia alguna como factor a valorar.

Para alcanzar tales conclusiones, el tribunal interpreta en primer lugar el concepto de “establecimiento”, con tal de saber si podría considerarse que Weltimmo está establecido en Hungría, y evalúa en segundo lugar, si el tratamiento de datos se produjo “en el marco de las actividades de dicho establecimiento”. El tribunal recurre en varias ocasiones a los argumentos empleados en la sentencia “Google Spain” para justificar su decisión.

En cuanto a la primera de las consideraciones, el TJUE interpreta los preceptos controvertidos a la luz del objetivo perseguido por la Directiva de protección de datos, “consistente en garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, concretamente del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales”. Precisamente por ello, una interpretación restrictiva y formalista de los términos contenidos en dicha norma podría frustrar tal objetivo, privando de eficacia a la Directiva. En consonancia, el legislador europeo establece un ámbito de aplicación territorial muy amplio, que viene confirmado por los considerandos 18 y 19.

Es por ello que el tribunal considera, en línea con lo señalado por el Abogado General, que debe prevalecer “una concepción flexible de la noción de establecimiento”, de manera que la presencia de un único representante puede ser suficiente para constituir una instalación estable, si el resto de circunstancias apuntan igualmente en ese sentido. De este modo concluye que Weltimmo ejerce una actividad real y efectiva en el territorio de Hungría.

Para determinar si el tratamiento de datos personales tiene lugar en el marco de las actividades del establecimiento en cuestión, el TJUE cita de nuevo la sentencia “Google Spain”. En la misma declaró que no es necesario que el tratamiento se efectúe “por” el establecimiento, sino simplemente “en el marco de las actividades” que aquél desarrolla. No es controvertido que la referencia a datos personales en una página de Internet se incluye en la noción de “tratamiento” en el sentido del artículo 2 de la Directiva, y tampoco cabe duda de que, en el caso que nos ocupa, dicho tratamiento se efectúa en el marco de la gestión de las páginas web a través de las que se anuncian los inmuebles situados en Hungría. Consecuentemente, procede considerar que el artículo 4.1.a) permite aplicar el Derecho húngaro en una situación como la del litigio principal, sin perjuicio de que el tribunal nacional deba comprobar la concurrencia de indicios y datos suficientes que permitan afirmar la existencia de un establecimiento en Hungría por parte de Weltimmo.

2) El tribunal examina a continuación la séptima cuestión prejudicial, más breve, pero no por ello carente de interés.

A través de la misma se plantea si la autoridad de control de un Estado miembro estaría legitimada para imponer una sanción pecuniaria al responsable del tratamiento incluso aunque se hubiese determinado que la legislación aplicable a dicho tratamiento de datos no es la de ese Estado miembro.

Según el TJUE, el artículo 28 de la Directiva debe interpretarse en el sentido de que la autoridad de control debe limitarse, en el territorio de su Estado miembro, a las facultades de investigación y de intervención efectivamente conferidas por el apartado 3 del precepto. Las mismas pueden consistir en recabar información, bloquear o destruir datos, prohibir el tratamiento de los mismos, o advertir o amonestar al responsable del tratamiento.

A pesar de que en el párrafo 49 de la decisión se afirma que las citadas facultades pueden referirse a sanciones, tales como una multa, debido al carácter no exhaustivo de la enumeración del artículo 28 y al amplio margen concedido a los Estados para la transposición de la Directiva, procede considerar que la potestad sancionadora de una autoridad administrativa de un Estado miembro no autoriza a la misma para actuar más allá de los límites legales impuestos por su propio ordenamiento jurídico, y ello en virtud del principio de soberanía territorial, del principio de legalidad y del concepto de Estado de Derecho.

Por otro lado, y aunque a enumeración de facultades de las autoridades de control no constituya una lista cerrada, no puede inferirse del mismo que se les conceda una potestad sancionadora como tal.

Por lo tanto, debe entenderse que una autoridad de control no está legitimada para imponer sanciones fuera del territorio de su propio Estado en caso de que sea aplicable el Derecho de otro Estado miembro. El tribunal considera que la autoridad no sólo no puede imponer sanciones basadas en su legislación nacional a un responsable del tratamiento de datos establecido en un Estado miembro distinto al suyo, sino que “debe instar la intervención de la autoridad de control dependiente del Estado miembro cuyo Derecho es aplicable”. Ello no obsta para que una autoridad de esa naturaleza pueda ejercer sus facultades de investigación con independencia del Derecho nacional aplicable al tratamiento de datos –de acuerdo con lo previsto en el apartado 6 del artículo 28-, ya que de lo contrario sería muy difícil perseguir al responsable de un tratamiento de datos realizado en un Estado miembro, cuando su establecimiento estuviese situado en el territorio de otro Estado miembro.

Como conclusión, interesa poner de relieve la flexibilidad empleada por el TJUE a la hora de interpretar la Directiva en materia de protección de datos personales, tratando de otorgar una eficacia real a sus disposiciones de manera que se alcance de forma efectiva el objetivo perseguido por ésta, lo que se manifiesta con mayor incidencia en la amplitud con la que se aborda el concepto de ‘establecimiento’.

Compartir
Artículo anteriorDerechos morales
Artículo siguienteEse dichoso plátano
Avatar
Desde la Asociación de Antiguos Alumnos del Magister Lvcentinvs y la Universidad de Alicante (España), información actualizada sobre los avances en materia de propiedad intelectual y de Derecho internacional privado para juristas europeos e iberoamericanos.

Dejar respuesta

Please enter your comment!
Please enter your name here

Time limit is exhausted. Please reload CAPTCHA.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.