miércoles, 15 de julio de 2015

Ley aplicable y autoridad competente en materia de protección de datos

Entre las complejas cuestiones que plantea en materia de determinación del Derecho aplicable el actual marco normativo de protección de datos de la Unión Europea, es de prever que un par de ellas sean objeto de precisiones adicionales en la próxima jurisprudencia del Tribunal de Justicia. En efecto, tras la célebre sentencia Google Spain, cabe esperar que el asunto C-230/14, Weltimmo, permita al Tribunal de Justicia realizar nuevas aportaciones en este ámbito. En concreto, las conclusiones en dicho asunto del Abogado General Cruz Villalón, presentadas el pasado 25 de junio, revisten especial interés fundamentalmente en relación con dos aspectos. Por una parte, como es sabido, a partir de lo dispuesto en el artículo 4.1.a) de la Directiva 95/46, la concreción de que el tratamiento de datos se efectúa en el marco de las actividades de un establecimiento del responsable en el territorio de un Estado miembro, resulta    determinante de que el tratamiento quede sometido a la legislación europea, al tiempo que en el plano ad intra permite fijar la legislación nacional que resulta aplicable al tratamiento. Con respecto a este último aspecto, es clave la identificación del concreto Estado miembro en el que se considera que un responsable del tratamiento tiene el establecimiento en el marco del cual se efectúa el tratamiento en cuestión. Por otra parte, las conclusiones en el asunto Weltimmo presentan singular importancia en lo relativo al alcance de la correlación entre ley aplicable y autoridad nacional competente en materia de protección de datos, así como la concreción del alcance de dichas autoridades.


I. Determinación del establecimiento y ley aplicable

El asunto Weltimmo resulta especialmente de interés en aquellas situaciones en las que no cabe cuestionar que el responsable del tratamiento tiene un establecimiento en un Estado miembro pero realiza actividades en otro (u otros) Estado(s) miembro(s), en relación con las cuales puede surgir la duda de si el tratamiento se lleva a cabo en el marco de las actividades de un establecimiento del responsable en ese otro Estado miembro. En consecuencia, a estos efectos resulta de gran importancia cuándo cabe entender que un responsable tiene establecimientos en más de un Estado miembro, pues tal circunstancia es determinante para que pueda quedar sometido a las legislaciones (y eventualmente a sanciones por las autoridades de control) de más de un Estado miembro.

En concreto, el litigio principal en el asunto Weltimmo va referido a una controversia entre la autoridad húngara de protección de datos y una empresa, con domicilio social en Eslovaquia, que gestiona una página web de intermediación inmobiliaria en la que se anuncian inmuebles sitos en Hungría y algunos de cuyos anunciantes, residentes en Hungría habían presentado reclamaciones ante la autoridad húngara que pretendía sancionar a la empresa con domicilio social en Eslovaquia. Más allá de confirmar que el artículo 4.1.a) de la Directiva 95/46 excluye la posibilidad de que la autoridad húngara pueda aplicar la ley húngara a un responsable del tratamiento establecido exclusivamente en otro Estado miembro, las conclusiones resultan relevantes al fijar las pautas que pueden llevar a entender que el responsable del tratamiento tiene establecimientos en más de un Estado miembro y si el tratamiento en cuestión se ha realizado en el marco de un establecimiento situado en un Estado miembro distinto de aquel en el que tiene su domicilio social el responsable.

Con respecto a la concreción de cuando un responsable del tratamiento tiene un establecimiento en un Estado miembro (o potencialmente varios) distinto del Estado de su domicilio social, las conclusiones parten de que en materia de protección de datos se impone una concepción flexible de la noción de establecimiento, rechazando un enfoque formalista (y la idea de que una sociedad a estos efectos estaría establecida exclusivamente en el Estado miembro en el que tenga su domicilio social). A partir de lo dispuesto en el considerando 19 de la Directiva 95/46, el Abogado General destaca que la noción de establecimiento incorpora: “un criterio de efectividad y un elemento de permanencia al señalar que «el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable […]». En segundo lugar, ofrece una considerable flexibilidad al determinar que «la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante al respecto».” (ap. 28 de las conclusiones). Además, tanto el grado de estabilidad de la instalación como la efectividad del desarrollo de las actividades deben interpretarse tomando en consideración la naturaleza específica de las actividades económicas y de las prestaciones de servicios del responsable (ap. 32 de las conclusiones), teniendo en cuenta el modelo de negocio del responsable y, en particular, la necesidad de “apreciar la particularidad de las empresas que operan exclusivamente a través de Internet, cuyo modelo de negocio relativiza la noción de instalación física permanente, condicionando también la intensidad de los medios tanto humanos como materiales. En efecto, en determinadas circunstancias, un agente con presencia duradera equipado con poco más que un ordenador portátil, puede constituir una estructura suficiente de cara a poder desempeñar una actividad efectiva, real y con un grado suficiente de estabilidad. A la luz de estas consideraciones, se hace necesario, a la hora de valorar dichos medios humanos y técnicos, considerar con cuidado las especificidades de las empresas que se dedican a ofrecer servicios a través de Internet, atendiendo a las particularidades de cada situación concreta” (ap. 34). 

Se trata de un enfoque que facilita la posibilidad de apreciar que a los efectos del artículo 4.1.a) de la Directiva 95/46 una sociedad puede considerarse establecida en Estados miembros distintos de aquel en el que tiene su domicilio social, lo que resulta determinante de que deba cumplir con la legislación sobre protección de datos (también) de ese otro Estado miembro y pueda ser sancionado por la autoridad de control de ese Estado en relación con el tratamiento de datos efectuado en el marco del establecimiento situado en su territorio.
II. Correlación entre ley aplicable y autoridad nacional competente

Cuando no quepa concluir que el responsable tiene un establecimiento en ese otro Estado miembro en el que también actúa, cobra importancia, la séptima cuestión prejudicial planteada en el asunto Weltimmo, relativa básicamente a la interpretación del artículo 28.6 de la Directiva 95/46 y a las posibilidades de que la autoridad de control de un Estado miembro actúe incluso cuando conforme al artículo 4.1.a) sea aplicable el Derecho de otro Estado miembro. En virtud del mencionado artículo 28.6: “Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.”

La propuesta del Abogado General ofrece una respuesta ponderada, coherente con el criterio básico de que –a diferencia de lo que sucede en el ámbito de las relaciones jurídico-privadas (piénsese, por ejemplo, en el caso de una eventual reclamación privada por daños derivados del incumplimiento de la legislación de protección de datos)- en relación con la aplicación jurídico-publica de la legislación sobre protección de datos, y en particular el ejercicio de la potestad sancionadora, el criterio de base es la correlación entre la legislación aplicable y la autoridad nacional competente: “el ejercicio de la potestad sancionadora —que es la que específicamente nos ocupa en el presente asunto— no puede tener lugar, como regla de principio, fuera de los límites legales dentro de los cuales una autoridad administrativa está autorizada para actuar sujeta a su Derecho nacional. Una separación de dicha regla parece requerir, cuanto menos, un fundamento legal específico que autorice y delimite la aplicación del Derecho público de otro Estado miembro, y que además haga posible, con precisión y claridad, que los sujetos de derecho puedan prever a qué Derecho se encuentra sometida su conducta, así como sus consecuencias” (ap. 50 de las conclusiones). Tal fundamento legal no lo constituye el artículo 28.6 de la Directiva, que se considera que no puede servir de fundamento con carácter general para la aplicación por parte de las autoridades administrativas de un Estado miembro de las disposiciones —en particular, sancionadoras— de otro (ap. 51 de las conclusiones). 

         La opinión del Abogado General sobre el significado del artículo 28.6 de la Directiva aparece básicamente sintetizada en los apartados 57 a 61 de sus conclusiones:

57.      …una autoridad de control instada a actuar a través de una reclamación o petición individual presentada ante ella, ha de poder activar sus capacidades de instrucción en su propio territorio. Esto resulta indubitado a la luz del artículo 28, apartado 4, de la Directiva, —que establece la obligación de las autoridades de control de entender de las solicitudes que cualquier persona les presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales—…
58.      Este modo de proceder puede dar ya respuesta suficiente a la preocupación (de que)… la efectividad de los remedios establecidos por la Directiva quedaría menoscabada si los interesados fueran obligados a dirigirse a autoridades extranjeras en idiomas que desconocen.
59.      En definitiva, las autoridades de control, independientemente del Derecho sustantivo aplicable que en su caso proceda, disponen de las competencias de investigación y de intervención enunciadas por el apartado 3 del artículo 28 de la Directiva, pero únicamente reguladas por su Derecho nacional, en su ámbito de actuación territorial, y en consideración del respeto a los principios señalados en el apartado 50 de las presentes conclusiones.
60.      Así, es obvio que la capacidad de actuación de la autoridad de control de un Estado miembro cuando resulte aplicable la ley sustantiva de otro Estado miembro no es ilimitada. En este punto, ha de señalarse que sigue siendo válido el principio según el cual, en el ejercicio de sus competencias, la autoridad de control estará vinculada por los límites que le impone su condición de sujeto de Derecho público sometido a la ley de su propio Estado miembro, y que únicamente podrá desarrollar las competencias en su propio territorio. En particular, la eventual estimación del ilícito y la igualmente eventual imposición de sanciones por las infracciones derivadas de la ilicitud del tratamiento de los datos habrán de llevarse a cabo inevitablemente por la autoridad del Estado miembro cuyo Derecho material es aplicable al tratamiento de datos, de acuerdo con el criterio del artículo 4, apartado 1, letra a), de la Directiva.
61.      Por lo tanto, si bien nada impide que el poder de imponer sanciones pueda ser considerado como uno de los poderes a los que se refiere el artículo 28, apartado 3, de la Directiva (cuyo tercer punto se refiere a la «capacidad procesal en caso de infracciones» de las autoridades de control), atendiendo a la obligación de cooperación establecida en el artículo 28, apartado 6, de la Directiva, deberá instarse a la autoridad del Estado miembro cuya ley es aplicable al tratamiento de los datos para proceder a la eventual determinación de la infracción de conformidad con la ley aplicable así como a la eventual imposición de sanciones, sobre la base de las informaciones recabadas, y en su caso transmitidas, por la autoridad del primer Estado miembro.

            En todo caso, es importante tener presente que estas consideraciones sólo son relevantes en la medida en que se concluya que el tratamiento no se efectúa en el marco de las actividades de un establecimiento del responsable en ese otro Estado miembro – cuya autoridad de control se han dirigido los afectados-, y que, precisamente, el enfoque adoptado por el Abogado General reseñado en el apartado previo de esta nota facilita la posibilidad de apreciar a tales efectos que el responsable tiene su establecimiento en varios Estados miembros.

III. Reflexión final

La próxima evolución de la legislación europea sobre protección de datos, mediante la aprobación del proyectado Reglamento en la materia a partir de la Propuesta de la Comisión de 2012 [COM(2012) 11 final] cambiará sustancialmente la situación actual en relación con el grueso de las cuestiones planteadas en este asunto. Precisamente la transformación en Reglamento, privará en gran medida de relevancia a la cuestión de determinar la legislación de qué concreto Estado miembro resulta aplicable. No debe extrañar que en tales circunstancias, la concreción de la autoridad nacional de control competente y el alcance de sus poderes hayan sido cuestiones especialmente controvertidas en el largo debate relativo a la aprobación del futuro reglamento.