Aunque la repercusión de la reciente jurisprudencia del Tribunal de Justicia en materia de ley aplicable a la protección de datos, en particular sus sentencias Google Spain y Weltimmo, así como la evolución que a este respecto está llamado a representar el próximo Reglamento (UE) en materia de protección de datos, han sido objeto de análisis en este blog, resulta de interés hacer referencia al último documento en esta materia adoptado por el llamado Grupo de trabajo en materia de protección de del artículo 29 (GTPD). Este documento constituye una actualización de su Dictamen 8/2010 sobre derecho aplicable. En particular, el GTPD realiza ciertas consideraciones adicionales acerca de la delimitación del amplio alcance territorial de aplicación de la legislación europea sobre protección de datos con base en el artículo 4.1.a) de la Directiva, y valora las implicaciones de la reciente jurisprudencia del Tribunal respecto del sometimiento de empresas que operan en varios países de la UE a las legislaciones de cada uno de esos países, aspecto en el que la próxima adopción del nuevo Reglamento (UE) en esta materia implicará una sustancial transformación, en la medida en que la mera aproximación de las legislaciones nacionales sobre protección de datos será sustituida por el régimen unificado del Reglamento.
De particular interés resultan las precisiones del GTPD acerca de cómo debe apreciarse si las actividades de un establecimiento local “están indisociablemente ligadas” con las actividades de tratamiento de datos personales. Es sabido que de conformidad con el artículo 4.1.a) de la Directiva, el que el tratamiento de datos personales sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro determina que sea aplicable la legislación de la UE sobre protección de datos. La aplicación de este criterio plantea cuestiones adicionales cuando se trata de proveedores de servicios (motores de búsqueda, redes sociales…) situados en terceros Estados que proporcionan el servicio a través de una entidad establecida en un tercer Estado, pero que tienen algún tipo de presencia en territorio europeo, como sucursales o filiales dedicadas a la contratación de publicidad. Conforme al criterio desarrollado por el Tribunal de Justicia en su sentencia Google Spain (aps. 55 y 56), cabe apreciar que el tratamiento se produce “en el marco de las actividades” de un establecimiento cuando las actividades del responsable (típicamente la prestación del servicio de motor de búsqueda, red social…) situado en un tercer Estado “están indisociablemente ligadas” a la de su establecimiento situado en el Estado miembro de que se trate.
Destaca el GTPD que ese vínculo indisociable puede existir aunque el establecimiento en la UE no participe en el tratamiento de datos, por ejemplo, cuando ese establecimiento sirve para obtener fondos aunque los mismos no financien directamente la prestación del servicio, de modo que tal vínculo puede estar presente aunque la relación económica entre ambas actividades no sea particularmente directa. Ahora bien, se impone un análisis casuístico. El GTPD ofrece sólo pautas muy limitadas acerca de cómo llevarlo a cabo. Una de ellas es que la mera pertenencia a un mismo grupo de empresas no resulta suficiente para apreciar la existencia de ese vínculo indisociable, en particular cuando las actividades de la sociedad que lleva a cabo el tratamiento de datos (por ejemplo, una red social establecida en un tercer Estado) y las de la sociedad del mismo grupo establecida en la Unión Europea carecen de toda conexión (por ejemplo, una sociedad dedicada al comercio al por mayor de productos alimenticios sin vinculación con la sociedad del mismo grupo titular de la red social). De cara al futuro, el que el proyectado Reglamento sobre protección de datos (en el art. 3 de la última versión publicada) introduzca como criterio determinante de la aplicación de la legislación de la UE, el que las actividades de tratamiento se hallen relacionadas con actividades comerciales o de control dirigidas a la Unión Europea, como criterio adicional al basado en que el tratamiento se produzca en el marco de las actividades de un establecimiento en la Unión, facilitará su eventual aplicación a empresas sin un establecimiento en la Unión.
Por último, también aborda el documento las implicaciones derivadas de la sentencia Google Spain y Weltimmo con respecto a aquellas situaciones en las que una empresa procedente de un tercer Estado tiene establecimientos en varios Estados miembros de la UE, además de una sede principal para Europa en algún Estado miembro. El riesgo de que se produzcan ese tipo de situaciones es elevado en la medida en que prevalece una interpretación muy amplia del concepto de establecimiento, como ilustra la sentencia Weltimmo, según la cual: “el concepto de «establecimiento», en el sentido de la Directiva 95/46, se extiende a cualquier actividad real y efectiva, aun mínima, ejercida mediante una instalación estable” (ap. 31). Precisamente a partir del criterio establecido en esa sentencia el GTPD concluye que en tales situaciones debe valorarse en el caso concreto si las actividades de tratamiento tienen lugar en el marco de las actividades de un establecimiento, de modo que resultará habitual que empresas que tienen una sede principal para Europa en un Estado miembro pero operen en varios Estados miembros deban cumplir con las legislaciones de todos ellos en la medida correspondiente. De cara al futuro, el próximo Reglamento supondrá un cambio significativo a este respecto, en particular en la medida en que llevará a cabo la unificación de la legislación de protección de datos para el conjunto de la Unión.