martes, 6 de octubre de 2015

Ley aplicable y autoridad competente en materia de protección de datos: la sentencia Weltimmo

    La actualidad hoy en materia de protección de datos se centra en la sentencia Schrems, que acaba de hacerse pública y que, entre otros aspectos, declara inválida la Decisión 2000/520/CE de la Comisión, relativa a los principios de puerto seguro que facilita las transferencias de datos entre la UE y EEUU, La declaración de invalidez resulta de singular trascendencia en un contexto en el que las tradicionales carencias en la aplicación efectiva por las autoridades europeas (básicamente, nacionales) a ciertos prestadores de servicios procedentes terceros Estados de la rigurosa legislación europea sobre protección de datos, unidas a ciertas prácticas de autoridades y empresas de EEUU, han generado no sólo importantes riesgos (vulneraciones) del derecho fundamental a la protección de datos de los afectados sino que han constituido también un factor muy acusado de desventaja competitiva para las empresas europeas en el ámbito de la sociedad de la información. Ahora bien, habida cuenta de que la sentencia Schrems requiere su propio comentario, dedicaré esta entrada únicamente a un comentario que tenía pendiente de otra reciente sentencia del Tribunal de Justicia en materia de protección de datos. Se trata de la sentencia de 1 de octubre de 2015, en el asunto C-230/14, Weltimmo, en la que el Tribunal realiza importantes precisiones en materia de determinación de la ley aplicable al tratamiento de datos personales en páginas de Internet, así como con respecto a la concreción de la autoridad competente para investigar y sancionar esas conductas. Habida cuenta de que el Tribunal básicamente confirma las conclusiones presentadas el pasado 25 de junio por el Abogado General Cruz Villalón, utilizaré como base la entrada que ya dediqué a esas conclusiones.

                Para valorar la trascendencia de las cuestiones planteadas, cabe partir del supuesto litigioso en el marco del cual se plantea. En concreto, el litigio principal en el asunto Weltimmo va referido a una controversia entre la autoridad húngara de protección de datos y una empresa, con domicilio social en Eslovaquia, que gestiona una página web de intermediación inmobiliaria en la que se anuncian inmuebles sitos en Hungría y algunos de cuyos anunciantes, residentes en Hungría habían presentado reclamaciones ante la autoridad húngara que pretendía sancionar a la empresa con domicilio social en Eslovaquia. Tal como se describe en la propia sentencia:

9        Weltimmo, sociedad constituida en Eslovaquia, gestiona un sitio de Internet de anuncios de inmuebles situados en Hungría. En dicho contexto, trata los datos personales de los anunciantes. Los anuncios son gratuitos durante un mes, trascurrido el cual, el servicio pasa a ser de pago. Numerosos anunciantes solicitaron, por correo electrónico, la retirada de sus anuncios a partir de dicho plazo así como la supresión de sus datos personales. Sin embargo, Weltimmo no los suprimió y facturó sus servicios a los interesados. Ante el impago de las facturas, dicha sociedad transmitió los datos personales de los anunciantes en cuestión a empresas de cobro de impagados.
10      Los referidos anunciantes presentaron denuncias ante la autoridad húngara de control. Ésta se declaró competente basándose en el artículo 2, apartado 1, de la Ley sobre la información, por estimar que la recogida de los datos de que se trataba había tenido lugar en el territorio húngaro y que constituía un tratamiento o un procesamiento de datos relativos a unas personas físicas. Dicha autoridad de control consideró que Weltimmo había infringido la Ley sobre la información e impuso a la citada sociedad una multa de diez millones de forintos húngaros (HUF) (alrededor de 32 000 euros).
11      Weltimmo acudió entonces al tribunal contencioso-administrativo y de lo social de Budapest (Fővárosi Közigazgatási és Munkaügyi Bíróság), el cual consideró que el hecho de que esta sociedad no dispusiera de domicilio social o de establecimiento en Hungría no constituía un argumento de defensa válido, puesto que tanto la prestación de los datos relativos a los inmuebles húngaros de que se trata como el tratamiento de dichos datos se habían realizado en Hungría. No obstante, dicho tribunal anuló la resolución de la autoridad húngara de control por otros motivos, referentes a la imprecisión de algunos hechos.
12      Weltimmo recurrió en casación ante el órgano jurisdiccional remitente alegando que no era necesario un mayor esclarecimiento de los hechos, ya que, en virtud del artículo 4, apartado 1, letra a), de la Directiva 95/46, la autoridad húngara de control, en el presente caso, carecía de competencia y no podía aplicar el Derecho húngaro a un prestador de servicios establecido en otro Estado miembro. Weltimmo sostuvo que, con arreglo al artículo 28, apartado 6, de la Directiva 95/46, dicha autoridad debió haber instado a la autoridad eslovaca competente en la materia a que actuara en su lugar.

                Las aportaciones de esta sentencia van referidas básicamente a dos cuestiones.

I. Determinación del establecimiento y ley aplicable

        Como es sabido, conforme al artículo 4.1.a) Directiva 95/46 (traspuesto en nuestro ordenamiento en la LOPD y en su Reglamento):

       «Los Estados miembros aplicarán las disposiciones nacionales que [hayan] aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:
a)      el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable».

En consecuencia, la concreción de que el tratamiento de datos se efectúa en el marco de las actividades de un establecimiento del responsable en el territorio de un Estado miembro, resulta  determinante de que el tratamiento quede sometido a la legislación europea (como puso de relieve la célebre sentencia Google Spain), al tiempo que en el plano ad intra (como en el supuesto planteada en el caso Weltimmo) permite fijar la legislación de qué Estado miembro resulta aplicable al tratamiento. Con respecto a este último aspecto, es clave la identificación del concreto Estado miembro en el que se considera que un responsable del tratamiento tiene el establecimiento en el marco del cual se efectúa el tratamiento en cuestión. El asunto Weltimmo resulta especialmente de interés en aquellas situaciones en las que no cabe cuestionar que el responsable del tratamiento tiene un establecimiento en un Estado miembro pero realiza actividades en otro (u otros) Estado(s) miembro(s), en relación con las cuales puede surgir la duda de si el tratamiento se lleva a cabo en el marco de las actividades de un establecimiento del responsable en ese otro Estado miembro. En tales supuestos resulta de gran importancia concretar cuándo cabe entender que un responsable tiene establecimientos en más de un Estado miembro, pues tal circunstancia es determinante para que pueda quedar sometido a las legislaciones (y eventualmente a sanciones por las autoridades de control) de más de un Estado miembro.

                Más allá de confirmar que el artículo 4.1.a) de la Directiva 95/46 excluye la posibilidad de que la autoridad húngara pueda aplicar la ley húngara a un responsable del tratamiento establecido exclusivamente en otro Estado miembro, la sentencia Weltimmo resulta de gran importancia al fijar las pautas que pueden llevar a entender que el responsable del tratamiento tiene establecimientos en más de un Estado miembro y que el tratamiento en cuestión se ha realizado en el marco de un establecimiento situado en un Estado miembro distinto de aquel en el que tiene su domicilio social el responsable.
         Con respecto a la concreción de cuando un responsable del tratamiento tiene un establecimiento en un Estado miembro (o potencialmente varios) distinto del Estado de su domicilio social, la sentencia, al igual que las conclusiones del Abogado General, establece, a partir del considerando 19 de la Directiva, que en materia de protección de datos se impone una concepción flexible de la noción de establecimiento, rechazando un enfoque formalista (y la idea de que una sociedad a estos efectos estaría establecida exclusivamente en el Estado miembro en el que tenga su domicilio social). La existencia de un establecimiento en un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable. De hecho la sentencia (ap. 31) afirma que: “procede considerar que el concepto de «establecimiento», en el sentido de la Directiva 95/46, se extiende a cualquier actividad real y efectiva, aun mínima, ejercida mediante una instalación estable”.

                Esa actividad real y efectiva puede llevarse a cabo mediante un sitio de Internet dirigido al Estado en cuestión. En los términos del apartado 32 de la Sentencia: “En el caso de autos, la actividad ejercida por Weltimmo consiste, como mínimo, en la gestión de uno o varios sitios de Internet de anuncios de inmuebles situados en Hungría, que están redactados en húngaro y que pasan a ser de pago transcurrido el primer mes. Por lo tanto, procede señalar que dicha sociedad ejerce una actividad real y efectiva en Hungría”. La nacionalidad de los afectados no se considera relevante a esos efectos. De acuerdo con su jurisprudencia previa –sentencias Lindqvist y Google Spain-, el Tribunal confirma que hacer referencia a datos personales en una página de Internet constituye un tratamiento de los mismos, que tiene lugar en el marco de las actividades que lleva a cabo quien gestiona el sitio de Internet en cuestión.

                Para apreciar que hay establecimiento, además del ejercicio efectivo y real de esa mínima actividad, la existencia de “una instalación estable” en el Estado en cuestión. La sentencia Weltimmo adopta un criterio según el cual debe valorarse “el grado de estabilidad de la instalación como la efectividad del desarrollo de las actividades… tomando en consideración la naturaleza específica de las actividades económicas y de las prestaciones de servicios en cuestión”, lo que en particular facilita la posibilidad de determinar que existe una instalación estable a esos efectos en un Estado distinto al del domicilio social especialmente para las empresas que se dedican a ofrecer servicios exclusivamente a través de Internet (ap. 29). En concreto, puede bastar a tal fin la presencia en ese país de un único representante de la sociedad domiciliada en otro Estado “si actúa con un grado de estabilidad suficiente a través de los medios necesarios para la prestación de los servicios concretos de los que se trate en el Estado miembro en cuestión” (ap. 30). Como circunstancias relevantes en el caso concreto para llevar a cabo esa apreciación, destaca el Tribunal: “se desprende que Weltimmo dispone de un representante en Hungría, que se menciona en el registro de sociedades eslovaco con una dirección en Hungría y que intentó negociar con los anunciantes el pago de los créditos impagados. Dicho representante sirvió de enlace entre la citada sociedad y los denunciantes y la representó en los procedimientos administrativo y judicial. Por añadidura, la referida sociedad abrió una cuenta bancaria en Hungría, destinada al cobro de sus créditos, y utiliza un apartado de correos en el territorio de dicho Estado miembro para la gestión de sus asuntos corrientes. Estos factores, que corresponde al órgano jurisdiccional remitente comprobar, pueden demostrar, en una situación como la controvertida en el litigio principal, la existencia de un «establecimiento», a efectos del artículo 4, apartado 1, letra a), de la Directiva 95/46.” (ap. 33).

                En los términos del propio fallo de la sentencia, para apreciar si existe establecimiento: “…el órgano jurisdiccional remitente puede tener en cuenta, por un lado, que la actividad del responsable de dicho tratamiento, en cuyo marco éste tiene lugar, consiste en la gestión de sitios de Internet de anuncios de inmuebles situados en el territorio de dicho Estado miembro y redactados en la lengua de ese Estado y que, en consecuencia, se dirige principalmente, incluso íntegramente, a dicho Estado miembro y, por otro lado, que ese responsable dispone de un representante en el referido Estado miembro que se encarga de cobrar los créditos resultantes de dicha actividad y de representarlo en los procedimientos administrativo y judicial relativos al tratamiento de los datos en cuestión.”
                En síntesis, para asegurar el elevado nivel de protección que persigue la Directiva, el enfoque adoptado por el Tribunal facilita la posibilidad de apreciar que a los efectos del artículo 4.1.a) de la Directiva 95/46 una sociedad puede considerarse establecida en Estados miembros distintos de aquel en el que tiene su domicilio social, lo que resulta determinante de que deba cumplir con la legislación sobre protección de datos (también) de ese otro Estado miembro y pueda ser sancionado por la autoridad de control de ese Estado en relación con el tratamiento de datos efectuado en el marco del establecimiento situado en su territorio.

II. Correlación entre ley aplicable y autoridad nacional competente

                Cuando no quepa concluir que el responsable tiene un establecimiento en ese otro Estado miembro en el que también actúa, surge la duda acerca del alcance de los poderes de la autoridad nacional de control del Estado en el que actúa pero en el que no está establecida. A este aspecto va referida la séptima cuestión prejudicial planteada en el asunto Weltimmo, relativa básicamente a la interpretación del artículo 28.6 de la Directiva 95/46 y a las posibilidades de que la autoridad de control de un Estado miembro actúe incluso cuando conforme al artículo 4.1.a) sea aplicable el Derecho de otro Estado miembro. En virtud del mencionado artículo 28.6: “Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.” El mencionado apartado 3 contempla, entre otros, poderes de investigación y de intervención.

                El Tribunal destaca como punto de partida que el artículo 28.6 de la Directiva se vincula con la garantía de la libre circulación de los datos personales en la Unión, en particular para hacer posible la tutela de quienes se ven afectados por el tratamiento de datos personales llevado a cabo por quien estando sujeto al Derecho de un Estado miembro vulnera los derechos de personas en otro Estado miembro al que dirige su actividad pero en el que no está establecido (por carecer de cualquier instalación estable en ese otro Estado).

             Para dar respuesta a esa séptima cuestión, el Tribunal de Justicia básicamente acoge la propuesta del Abogado General, que ofrecía un enfoque ponderado, coherente con el criterio básico de que –a diferencia de lo que sucede en el ámbito de las relaciones jurídico-privadas (piénsese, por ejemplo, en el caso de una eventual reclamación privada por daños derivados del incumplimiento de la legislación de protección de datos)- en relación con la aplicación jurídico-publica de la legislación sobre protección de datos, y en particular el ejercicio de la potestad sancionadora, el criterio de base es la correlación entre la legislación aplicable y la autoridad nacional competente. Ello resulta determinante de que la capacidad de actuación de la autoridad de control de un Estado miembro cuando resulte aplicable la ley sustantiva de otro Estado miembro, por estar establecido sólo allí el responsable del tratamiento, es limitada.

En los términos del apartado 57 de la sentencia: “…cuando una autoridad de control entienda de una denuncia, de conformidad con el artículo 28, apartado 4, de la Directiva 95/46, puede ejercer sus facultades de investigación sea cual sea el Derecho aplicable e incluso antes de saber cuál es el Derecho nacional aplicable al tratamiento de que se trata. Sin embargo, si llega a la conclusión de que es aplicable el Derecho de otro Estado miembro, no puede imponer sanciones fuera del territorio de su propio Estado miembro. En tal situación, le corresponde instar, en ejecución de la obligación de cooperación que se establece en el artículo 28, apartado 6, de la citada Directiva, a la autoridad de control de ese otro Estado miembro a declarar una eventual infracción de ese Derecho y a imponer sanciones si éste lo permite, basándose, en su caso, en la información que ella le haya remitido.