La normativa de un Estado miembro relativa a la protección de datos puede aplicarse a una sociedad extranjera que ejerza en dicho Estado una actividad real y efectiva mediante una instalación estable
La Directiva sobre protección de datos personales1 establece que los Estados miembros deben designar una o más autoridades públicas encargadas de vigilar la aplicación en su territorio de las disposiciones nacionales que adopten sobre la base de la Directiva. Toda autoridad es competente para ejercer en su territorio facultades de investigación y de intervención, sean cuales sean las disposiciones del Derecho nacional aplicables a ese tratamiento. Además, la citada autoridad podrá ser instada a ejercer sus facultades por una autoridad de otro Estado miembro.
Weltimmo, sociedad registrada en Eslovaquia, gestiona un sitio de Internet de anuncios de inmuebles situados en Hungría, para lo cual trata los datos personales de los anunciantes. Los anuncios son gratuitos durante un mes, trascurrido el cual, el servicio pasa a ser de pago. Numerosos anunciantes solicitaron, por correo electrónico, la retirada de sus anuncios a partir del primer mes, así como la supresión de sus datos personales. Sin embargo, Weltimmo no los suprimió y facturó sus servicios a los interesados. Ante el impago de las facturas, Weltimmo transmitió los datos personales de los anunciantes a empresas de cobro de impagados.
Los anunciantes presentaron denuncia ante la autoridad húngara encargada de la protección de datos. Ésta impuso a Weltimmo una multa de diez millones de forintos húngaros (HUF) (alrededor de 32 000 euros) por haber infringido la ley húngara que transpuso la Directiva.
Weltimmo impugnó entonces la resolución de la autoridad de control ante los tribunales húngaros. La Kúria (Tribunal Supremo, Hungría), que conoce del litigio en casación, pregunta al Tribunal de Justicia si, en el presente caso, la Directiva permitía a la autoridad húngara de control aplicar la Ley húngara adoptada sobre la base de la Directiva e imponer la multa establecida en dicha Ley.
Mediante su sentencia dictada el día 1 de octubre de 2015, el Tribunal de Justicia recuerda que, según la Directiva, los Estados miembros deben aplicar las disposiciones que hayan adoptado en virtud de ésta cuando el tratamiento de datos se efectúe en el marco de actividades llevadas a cabo en su territorio por un establecimiento del responsable del tratamiento. A este respecto, el Tribunal de Justicia señala que, en determinadas circunstancias, la presencia de un único representante puede bastar para constituir un establecimiento si dicho representante actúa con un grado de estabilidad suficiente para prestar los servicios de que se trate en el Estado miembro en cuestión. Además, el Tribunal de Justicia precisa que el concepto de «establecimiento» abarca cualquier actividad real y efectiva, aun mínima, ejercida mediante una instalación estable.
En este caso, el Tribunal de Justicia observa que Weltimmo ejerce indiscutiblemente una actividad real y efectiva en Hungría. Además, de las puntualizaciones aportadas por la autoridad húngara de control se desprende que Weltimmo dispone de un representante en Hungría, que figura en el registro de sociedades eslovaco con una dirección en Hungría y que intentó negociar con los anunciantes el pago de los créditos impagados. Dicho representante sirvió de enlace entre Weltimmo y los anunciantes y representó a la sociedad en los procedimientos administrativo y judicial. Además, la referida sociedad abrió en Hungría una cuenta bancaria destinada al cobro de sus créditos, y utiliza un apartado de correos en territorio húngaro para la gestión de sus asuntos corrientes.
Estos factores, que deben ser examinados por el órgano jurisdiccional nacional, pueden demostrar la existencia de un «establecimiento» en el territorio húngaro en el sentido de la Directiva. Si así fuera, la actividad de Weltimmo quedaría sometida a la normativa húngara sobre protección de datos.
El Tribunal de Justicia subraya que toda autoridad de control establecida por un Estado miembro debe velar por el cumplimiento, en el territorio de dicho Estado, de las disposiciones adoptadas por todos los Estados miembros en aplicación de la Directiva. En consecuencia, toda autoridad de control debe dar curso a las solicitudes que cualquier persona le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales, incluso si el Derecho aplicable a dicho tratamiento es el de otro Estado miembro.
No obstante, en caso de que se aplique el Derecho de otro Estado miembro, las facultades de intervención de la autoridad de control deben ejercerse respetando, en particular, la soberanía territorial de los demás Estados miembros, de modo que una autoridad nacional no puede imponer sanciones fuera del territorio de su propio Estado miembro.
En consecuencia, en el supuesto de que el Tribunal Supremo húngaro considerase que Weltimmo no dispone de un «establecimiento» en el territorio húngaro en el sentido de la Directiva, y que el Derecho aplicable al tratamiento de que se trata es, por lo tanto, el de otro Estado miembro, la autoridad húngara de control no podría ejercer la potestad sancionadora que le confiere el Derecho húngaro.
Sin embargo, en virtud de la obligación de cooperación establecida en la Directiva, dicha autoridad debe instar a la autoridad de control del otro Estado miembro interesado a declarar una eventual infracción del Derecho de ese Estado y a imponer las sanciones que, en su caso, se establezcan en ese Derecho.
Fuente: Tribunal de justicia de la unión europea
1 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos