La actualidad hoy en materia de
protección de datos se centra en la sentencia Schrems, que acaba de hacerse
pública y que, entre otros aspectos, declara inválida la Decisión 2000/520/CE
de la Comisión, relativa a los principios de puerto seguro que facilita las
transferencias de datos entre la UE y EEUU, La declaración de invalidez resulta de singular
trascendencia en un contexto en el que las tradicionales carencias en la
aplicación efectiva por las autoridades europeas (básicamente, nacionales) a ciertos prestadores de servicios procedentes terceros Estados de
la rigurosa legislación europea sobre protección de datos, unidas a ciertas prácticas de autoridades y empresas de EEUU, han
generado no sólo importantes riesgos (vulneraciones) del derecho fundamental a
la protección de datos de los afectados sino que han constituido también un
factor muy acusado de desventaja competitiva para las empresas europeas en el
ámbito de la sociedad de la información. Ahora bien, habida cuenta de que la
sentencia Schrems requiere su propio
comentario, dedicaré esta entrada únicamente a un comentario que tenía pendiente de otra reciente
sentencia del Tribunal de Justicia en materia de protección de datos. Se trata
de la sentencia de 1 de octubre de 2015, en el asunto C-230/14, Weltimmo, en la
que el Tribunal realiza importantes precisiones en materia de determinación de
la ley aplicable al tratamiento de datos personales en páginas de Internet, así
como con respecto a la concreción de la autoridad competente para investigar y sancionar esas conductas. Habida cuenta de
que el Tribunal básicamente confirma las conclusiones
presentadas el pasado 25 de junio por el Abogado General Cruz Villalón,
utilizaré como base la entrada que ya dediqué a esas conclusiones.
Para
valorar la trascendencia de las cuestiones planteadas, cabe partir del supuesto
litigioso en el marco del cual se plantea. En concreto, el litigio principal en
el asunto Weltimmo va referido a una controversia entre la autoridad húngara de
protección de datos y una empresa, con domicilio social en Eslovaquia, que
gestiona una página web de intermediación inmobiliaria en la que se anuncian
inmuebles sitos en Hungría y algunos de cuyos anunciantes, residentes en
Hungría habían presentado reclamaciones ante la autoridad húngara que pretendía
sancionar a la empresa con domicilio social en Eslovaquia. Tal como se describe
en la propia sentencia:
“9 Weltimmo, sociedad
constituida en Eslovaquia, gestiona un sitio de Internet de anuncios de
inmuebles situados en Hungría. En dicho contexto, trata los datos personales de
los anunciantes. Los anuncios son gratuitos durante un mes, trascurrido el
cual, el servicio pasa a ser de pago. Numerosos anunciantes solicitaron, por
correo electrónico, la retirada de sus anuncios a partir de dicho plazo así
como la supresión de sus datos personales. Sin embargo, Weltimmo no los
suprimió y facturó sus servicios a los interesados. Ante el impago de las
facturas, dicha sociedad transmitió los datos personales de los anunciantes en
cuestión a empresas de cobro de impagados.
10 Los referidos anunciantes
presentaron denuncias ante la autoridad húngara de control. Ésta se declaró
competente basándose en el artículo 2, apartado 1, de la Ley sobre la
información, por estimar que la recogida de los datos de que se trataba había
tenido lugar en el territorio húngaro y que constituía un tratamiento o un
procesamiento de datos relativos a unas personas físicas. Dicha autoridad de
control consideró que Weltimmo había infringido la Ley sobre la información e
impuso a la citada sociedad una multa de diez millones de forintos húngaros
(HUF) (alrededor de 32 000 euros).
11 Weltimmo acudió entonces
al tribunal contencioso-administrativo y de lo social de Budapest (Fővárosi
Közigazgatási és Munkaügyi Bíróság), el cual consideró que el hecho de que esta
sociedad no dispusiera de domicilio social o de establecimiento en Hungría no
constituía un argumento de defensa válido, puesto que tanto la prestación de
los datos relativos a los inmuebles húngaros de que se trata como el tratamiento
de dichos datos se habían realizado en Hungría. No obstante, dicho tribunal
anuló la resolución de la autoridad húngara de control por otros motivos,
referentes a la imprecisión de algunos hechos.
12 Weltimmo recurrió en
casación ante el órgano jurisdiccional remitente alegando que no era necesario
un mayor esclarecimiento de los hechos, ya que, en virtud del artículo 4,
apartado 1, letra a), de la Directiva 95/46, la autoridad húngara de control,
en el presente caso, carecía de competencia y no podía aplicar el Derecho
húngaro a un prestador de servicios establecido en otro Estado miembro.
Weltimmo sostuvo que, con arreglo al artículo 28, apartado 6, de la Directiva
95/46, dicha autoridad debió haber instado a la autoridad eslovaca competente
en la materia a que actuara en su lugar.”
Las
aportaciones de esta sentencia van referidas básicamente a dos cuestiones.
I. Determinación del establecimiento y ley aplicable
Como
es sabido, conforme al artículo 4.1.a) Directiva 95/46 (traspuesto en nuestro
ordenamiento en la LOPD y en su Reglamento):
«Los Estados miembros aplicarán las disposiciones nacionales que [hayan]
aprobado para la aplicación de la presente Directiva a todo tratamiento de
datos personales cuando:
a) el tratamiento sea
efectuado en el marco de las actividades de un establecimiento del responsable
del tratamiento en el territorio del Estado miembro. Cuando el mismo
responsable del tratamiento esté establecido en el territorio de varios Estados
miembros deberá adoptar las medidas necesarias para garantizar que cada uno de
dichos establecimientos cumple las obligaciones previstas por el Derecho
nacional aplicable».
En
consecuencia, la concreción de que el tratamiento de datos se efectúa en el
marco de las actividades de un establecimiento del responsable en el territorio
de un Estado miembro, resulta
determinante de que el tratamiento quede sometido a la legislación
europea (como puso de relieve la célebre sentencia Google Spain), al tiempo que en el plano ad intra (como en el supuesto planteada en el caso Weltimmo) permite fijar la legislación
de qué Estado miembro resulta aplicable al tratamiento. Con respecto a este último
aspecto, es clave la identificación del concreto Estado miembro en el que se
considera que un responsable del tratamiento tiene el establecimiento en el
marco del cual se efectúa el tratamiento en cuestión. El asunto Weltimmo resulta especialmente de
interés en aquellas situaciones en las que no cabe cuestionar que el
responsable del tratamiento tiene un establecimiento en un Estado miembro pero
realiza actividades en otro (u otros) Estado(s) miembro(s), en relación con las
cuales puede surgir la duda de si el tratamiento se lleva a cabo en el marco de
las actividades de un establecimiento del responsable en ese otro Estado miembro.
En tales supuestos resulta de gran importancia concretar cuándo cabe entender
que un responsable tiene establecimientos en más de un Estado miembro, pues tal
circunstancia es determinante para que pueda quedar sometido a las
legislaciones (y eventualmente a sanciones por las autoridades de control) de
más de un Estado miembro.
Más
allá de confirmar que el artículo 4.1.a) de la Directiva 95/46 excluye la
posibilidad de que la autoridad húngara pueda aplicar la ley húngara a un
responsable del tratamiento establecido exclusivamente en otro Estado miembro,
la sentencia Weltimmo resulta de gran importancia al fijar las pautas que
pueden llevar a entender que el responsable del tratamiento tiene
establecimientos en más de un Estado miembro y que el tratamiento en cuestión
se ha realizado en el marco de un establecimiento situado en un Estado miembro
distinto de aquel en el que tiene su domicilio social el responsable.
Con
respecto a la concreción de cuando un responsable del tratamiento tiene un
establecimiento en un Estado miembro (o potencialmente varios) distinto del
Estado de su domicilio social, la sentencia, al igual que las conclusiones del
Abogado General, establece, a partir del considerando 19 de la Directiva, que
en materia de protección de datos se impone una concepción flexible de la
noción de establecimiento, rechazando un enfoque formalista (y la idea de que
una sociedad a estos efectos estaría establecida exclusivamente en el Estado
miembro en el que tenga su domicilio social). La existencia de un
establecimiento en un Estado miembro implica el ejercicio efectivo y real de
una actividad mediante una instalación estable. De hecho la sentencia (ap. 31)
afirma que: “procede considerar que el
concepto de «establecimiento», en el sentido de la Directiva 95/46, se extiende
a cualquier actividad real y efectiva, aun mínima, ejercida mediante una
instalación estable”.
Esa
actividad real y efectiva puede llevarse a cabo mediante un sitio de Internet
dirigido al Estado en cuestión. En los términos del apartado 32 de la
Sentencia: “En el caso de autos, la
actividad ejercida por Weltimmo consiste, como mínimo, en la gestión de uno o
varios sitios de Internet de anuncios de inmuebles situados en Hungría, que
están redactados en húngaro y que pasan a ser de pago transcurrido el primer
mes. Por lo tanto, procede señalar que dicha sociedad ejerce una actividad real
y efectiva en Hungría”. La nacionalidad de los afectados no se considera
relevante a esos efectos. De acuerdo con su jurisprudencia previa –sentencias Lindqvist y Google Spain-, el Tribunal confirma que hacer referencia a datos
personales en una página de Internet constituye un tratamiento de los mismos,
que tiene lugar en el marco de las actividades que lleva a cabo quien gestiona
el sitio de Internet en cuestión.
Para
apreciar que hay establecimiento, además del ejercicio efectivo y real de esa mínima
actividad, la existencia de “una instalación estable” en el Estado en cuestión.
La sentencia Weltimmo adopta un
criterio según el cual debe valorarse “el
grado de estabilidad de la instalación como la efectividad del desarrollo de
las actividades… tomando en consideración la naturaleza específica de las
actividades económicas y de las prestaciones de servicios en cuestión”, lo
que en particular facilita la posibilidad de determinar que existe una
instalación estable a esos efectos en un Estado distinto al del domicilio
social especialmente para las empresas que se dedican a ofrecer servicios
exclusivamente a través de Internet (ap. 29). En concreto, puede bastar a tal
fin la presencia en ese país de un único representante de la sociedad domiciliada
en otro Estado “si actúa con un grado de estabilidad suficiente a través de los
medios necesarios para la prestación de los servicios concretos de los que se
trate en el Estado miembro en cuestión” (ap. 30). Como circunstancias
relevantes en el caso concreto para llevar a cabo esa apreciación, destaca el
Tribunal: “se desprende que Weltimmo
dispone de un representante en Hungría, que se menciona en el registro de
sociedades eslovaco con una dirección en Hungría y que intentó negociar con los
anunciantes el pago de los créditos impagados. Dicho representante sirvió de
enlace entre la citada sociedad y los denunciantes y la representó en los
procedimientos administrativo y judicial. Por añadidura, la referida sociedad
abrió una cuenta bancaria en Hungría, destinada al cobro de sus créditos, y
utiliza un apartado de correos en el territorio de dicho Estado miembro para la
gestión de sus asuntos corrientes. Estos factores, que corresponde al órgano
jurisdiccional remitente comprobar, pueden demostrar, en una situación como la
controvertida en el litigio principal, la existencia de un «establecimiento», a
efectos del artículo 4, apartado 1, letra a), de la Directiva 95/46.” (ap.
33).
En
los términos del propio fallo de la sentencia, para apreciar si existe
establecimiento: “…el órgano
jurisdiccional remitente puede tener en cuenta, por un lado, que la actividad
del responsable de dicho tratamiento, en cuyo marco éste tiene lugar, consiste
en la gestión de sitios de Internet de anuncios de inmuebles situados en el
territorio de dicho Estado miembro y redactados en la lengua de ese Estado y
que, en consecuencia, se dirige principalmente, incluso íntegramente, a dicho
Estado miembro y, por otro lado, que ese responsable dispone de un
representante en el referido Estado miembro que se encarga de cobrar los
créditos resultantes de dicha actividad y de representarlo en los
procedimientos administrativo y judicial relativos al tratamiento de los datos
en cuestión.”
En
síntesis, para asegurar el elevado nivel de protección que persigue la
Directiva, el enfoque adoptado por el Tribunal facilita la posibilidad de
apreciar que a los efectos del artículo 4.1.a) de la Directiva 95/46 una
sociedad puede considerarse establecida en Estados miembros distintos de aquel
en el que tiene su domicilio social, lo que resulta determinante de que deba
cumplir con la legislación sobre protección de datos (también) de ese otro
Estado miembro y pueda ser sancionado por la autoridad de control de ese Estado
en relación con el tratamiento de datos efectuado en el marco del
establecimiento situado en su territorio.
II. Correlación entre ley aplicable y autoridad nacional competente
Cuando
no quepa concluir que el responsable tiene un establecimiento en ese otro
Estado miembro en el que también actúa, surge la duda acerca del alcance de los
poderes de la autoridad nacional de control del Estado en el que actúa pero en
el que no está establecida. A este aspecto va referida la séptima cuestión
prejudicial planteada en el asunto Weltimmo,
relativa básicamente a la interpretación del artículo 28.6 de la Directiva
95/46 y a las posibilidades de que la autoridad de control de un Estado miembro
actúe incluso cuando conforme al artículo 4.1.a) sea aplicable el Derecho de
otro Estado miembro. En virtud del mencionado artículo 28.6: “Toda autoridad de control será competente,
sean cuales sean las disposiciones de Derecho nacional aplicables al
tratamiento de que se trate, para ejercer en el territorio de su propio Estado
miembro los poderes que se le atribuyen en virtud del apartado 3 del presente
artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por una
autoridad de otro Estado miembro.” El mencionado apartado 3 contempla,
entre otros, poderes de investigación y de intervención.
El
Tribunal destaca como punto de partida que el artículo 28.6 de la Directiva se
vincula con la garantía de la libre circulación de los datos personales en la
Unión, en particular para hacer posible la tutela de quienes se ven afectados
por el tratamiento de datos personales llevado a cabo por quien estando sujeto
al Derecho de un Estado miembro vulnera los derechos de personas en otro Estado
miembro al que dirige su actividad pero en el que no está establecido (por
carecer de cualquier instalación estable en ese otro Estado).
Para dar respuesta a esa séptima cuestión, el Tribunal de Justicia básicamente acoge la propuesta del Abogado General, que ofrecía un enfoque ponderado, coherente con el criterio básico de que –a diferencia de lo que sucede en el ámbito de las relaciones jurídico-privadas (piénsese, por ejemplo, en el caso de una eventual reclamación privada por daños derivados del incumplimiento de la legislación de protección de datos)- en relación con la aplicación jurídico-publica de la legislación sobre protección de datos, y en particular el ejercicio de la potestad sancionadora, el criterio de base es la correlación entre la legislación aplicable y la autoridad nacional competente. Ello resulta determinante de que la capacidad de actuación de la autoridad de control de un Estado miembro cuando resulte aplicable la ley sustantiva de otro Estado miembro, por estar establecido sólo allí el responsable del tratamiento, es limitada.
Para dar respuesta a esa séptima cuestión, el Tribunal de Justicia básicamente acoge la propuesta del Abogado General, que ofrecía un enfoque ponderado, coherente con el criterio básico de que –a diferencia de lo que sucede en el ámbito de las relaciones jurídico-privadas (piénsese, por ejemplo, en el caso de una eventual reclamación privada por daños derivados del incumplimiento de la legislación de protección de datos)- en relación con la aplicación jurídico-publica de la legislación sobre protección de datos, y en particular el ejercicio de la potestad sancionadora, el criterio de base es la correlación entre la legislación aplicable y la autoridad nacional competente. Ello resulta determinante de que la capacidad de actuación de la autoridad de control de un Estado miembro cuando resulte aplicable la ley sustantiva de otro Estado miembro, por estar establecido sólo allí el responsable del tratamiento, es limitada.
En los
términos del apartado 57 de la sentencia: “…cuando
una autoridad de control entienda de una denuncia, de conformidad con el
artículo 28, apartado 4, de la Directiva 95/46, puede ejercer sus facultades de
investigación sea cual sea el Derecho aplicable e incluso antes de saber cuál
es el Derecho nacional aplicable al tratamiento de que se trata. Sin embargo,
si llega a la conclusión de que es aplicable el Derecho de otro Estado miembro,
no puede imponer sanciones fuera del territorio de su propio Estado miembro. En
tal situación, le corresponde instar, en ejecución de la obligación de
cooperación que se establece en el artículo 28, apartado 6, de la citada
Directiva, a la autoridad de control de ese otro Estado miembro a declarar una
eventual infracción de ese Derecho y a imponer sanciones si éste lo permite,
basándose, en su caso, en la información que ella le haya remitido.”
