Asunto C‑230/14
Weltimmo s.r.o.
contra
Nemzeti Adatvédelmi és Információszabadság Hatóság
(Petición de decisión prejudicial planteada por la Kúria)
«Procedimiento prejudicial— Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Directiva 95/46/CE— Artículos 4, apartado 1, y 28, apartados 1, 3 y6— Responsable del tratamiento establecido formalmente en un Estado miembro— Vulneración del derecho a la protección de los datos personales relativos a las personas físicas en otro Estado miembro— Determinación del Derecho aplicable y de la autoridad de control competente— Ejercicio de las facultades de la autoridad de control— Potestad sancionadora»
Sumario— Sentencia del Tribunal de Justicia (Sala Tercera) de 1 de octubre de2015
1.Aproximación de las legislaciones— Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Directiva 95/46/CE— Establecimiento de una sociedad responsable del tratamiento de datos— Concepto— Interpretación flexible
(Directiva 95/46/CE del Parlamento Europeo y del Consejo, considerando19)
2.Aproximación de las legislaciones— Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Directiva 95/46/CE— Sociedad responsable de un tratamiento de datos en un Estado miembro distinto de aquel en el que está registrada— Aplicación de la legislación de este otro Estado miembro— Requisito— Ejercicio de una actividad efectiva y real mediante una instalación estable— Criterios de apreciación
[Directiva 95/46/CE del Parlamento Europeo y del Consejo, art.4, ap.1, letraa)]
3.Aproximación de las legislaciones— Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Directiva 95/46/CE— Denuncia presentada ante la autoridad de control de un Estado miembro— Autoridad de control que concluye que puede aplicarse la legislación de otro Estado miembro relativa al tratamiento de datos— Facultades de intervención de dicha autoridad— Límites
(Directiva 95/46/CE del Parlamento Europeo y del Consejo, art.28, aps.1, 3, 4 y6)
4.Aproximación de las legislaciones— Protección de las personas físicas en lo que respecta al tratamiento de datos personales— Directiva 95/46/CE— Concepto de «adatfeldolgozás» (procesamiento de datos) que figura en la versión húngara— Alcance
[Directiva 95/46/CE del Parlamento Europeo y del Consejo, arts.4, ap.1, letraa), y 28, ap.6]
1.Del considerando 19 de la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se deriva una concepción flexible de la noción de establecimiento, que rechaza cualquier enfoque formalista según el cual una empresa estaría establecida únicamente en el lugar en que se encontrase registrada. Por lo tanto, para determinar si una sociedad, responsable de un tratamiento de datos, dispone de un establecimiento, en el sentido de la Directiva 95/46, en un Estado miembro distinto del Estado miembro o del tercer país en el que está registrada, procede interpretar tanto el grado de estabilidad de la instalación como la efectividad del desarrollo de las actividades en ese otro Estado miembro tomando en consideración la naturaleza específica de las actividades económicas y de las prestaciones de servicios en cuestión. Esto es válido concretamente para las empresas que se dedican a ofrecer servicios exclusivamente a través de Internet.
(véase el apartado29)
2.El artículo 4, apartado 1, letraa), de la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que permite aplicar la legislación relativa a la protección de los datos personales de un Estado miembro distinto de aquel en el que está registrado el responsable del tratamiento de esos datos, siempre que éste ejerza, mediante una instalación estable en el territorio de dicho Estado miembro, una actividad efectiva y real, aun mínima, en cuyo marco se realice el referido tratamiento.
Para determinar si así ocurre, el órgano jurisdiccional remitente puede tener en cuenta, por un lado, que la actividad del responsable de dicho tratamiento, en cuyo marco éste tiene lugar, consiste en la gestión de sitios de Internet de anuncios de inmuebles situados en el territorio de dicho Estado miembro y redactados en la lengua de ese Estado y que, en consecuencia, se dirige principalmente, incluso íntegramente, a dicho Estado miembro y, por otro lado, que ese responsable dispone de un representante en el referido Estado miembro que se encarga de cobrar los créditos resultantes de dicha actividad y de representarlo en los procedimientos administrativo y judicial relativos al tratamiento de los datos en cuestión.
En cambio, es irrelevante el tema de la nacionalidad de las personas afectadas por dicho tratamiento de datos.
(véanse el apartado 41 y el punto1 delfallo)
3.En el supuesto de que la autoridad de control de un Estado miembro que entiende de unas denuncias, de conformidad con el artículo 28, apartado 4, de la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, llegue a la conclusión de que el Derecho aplicable al tratamiento de los datos personales de que se trata no es el Derecho de ese Estado miembro, sino el de otro Estado miembro, el artículo 28, apartados 1, 3 y 6, de esa misma Directiva debe interpretarse en el sentido de que dicha autoridad de control sólo podría ejercer en el territorio de su propio Estado miembro las facultades efectivas de intervención que se le han conferido conforme al artículo 28, apartado 3, de la citada Directiva. Por lo tanto, no puede imponer sanciones basándose en el Derecho de ese Estado miembro al responsable del tratamiento de tales datos que no está establecido en dicho territorio, sino que, con arreglo al artículo 28, apartado 6, de la misma Directiva, debe instar la intervención de la autoridad de control dependiente del Estado miembro cuyo Derecho es aplicable.
En efecto, de las exigencias derivadas de la soberanía territorial del Estado miembro de que se trate, del principio de legalidad y del concepto de Estado de Derecho se desprende que el ejercicio de la potestad sancionadora no puede tener lugar, en principio, fuera de los límites legales dentro de los cuales una autoridad administrativa está autorizada para actuar, sujeta al Derecho de su propio Estado miembro.
(véanse los apartados 56 y 60 y el punto2 delfallo)
4.La Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que el concepto de «adatfeldolgozás» (procesamiento de datos), utilizado en la versión húngara de esta Directiva, en particular en sus artículos 4, apartado 1, letraa), y 28, apartado 6, tiene el mismo sentido que el término «adatkezelés» (tratamiento de datos).
(véanse el apartado 65 y el punto3 delfallo)