Case nº C-230/14 of Tribunal de Justicia, October 01, 2015
| Resolution Date | October 01, 2015 |
| Issuing Organization | Tribunal de Justicia |
| Decision Number | C-230/14 |
Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Directiva 95/46/CE - Artículos 4, apartado 1, y 28, apartados 1, 3 y 6 - Responsable del tratamiento establecido formalmente en un Estado miembro - Vulneración del derecho a la protección de los datos personales relativos a las personas físicas en otro Estado miembro - Determinación del Derecho aplicable y de la autoridad de control competente - Ejercicio de las facultades de la autoridad de control - Potestad sancionadora
En el asunto C-230/14,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la Kúria [Tribunal Supremo] (Hungría), mediante resolución de 22 de abril de 2014, recibida en el Tribunal de Justicia el 12 de mayo de 2014, en el procedimiento entre
Weltimmo s. r. o.
y
Nemzeti Adatvédelmi és Információszabadság Hatóság,
EL TRIBUNAL DE JUSTICIA (Sala Tercera),
integrado por el Sr. M. Ilešič, Presidente de Sala, y el Sr. A. Ó Caoimh, la Sra. C. Toader y los Sres. E. Jarašiūnas y C.G. Fernlund (Ponente), Jueces;
Abogado General: Sr. P. Cruz Villalón;
Secretario: Sr. I. Illéssy, administrador;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 12 de marzo de 2015;
consideradas las observaciones presentadas:
- en nombre de la Nemzeti Adatvédelmi és Információszabadság Hatóság, por el Sr. A. Péterfalvi, en calidad de agente, asistido por el Sr. G. Dudás, ügyvéd;
- en nombre del Gobierno húngaro, por los Sres. M.Z. Fehér y G. Koós y la Sra. A. Pálfy, en calidad de agentes;
- en nombre del Gobierno polaco, por el Sr. B. Majczyna y las Sras. M. Kamejsza y M. Pawlicka, en calidad de agentes;
- en nombre del Gobierno eslovaco, por la Sra. B. Ricziová, en calidad de agente;
- en nombre del Gobierno del Reino Unido, por el Sr. M. Holt en calidad de agente, asistido por el Sr. J. Holmes, Barrister;
- en nombre de la Comisión Europea, por los Sres. A. Tokár y B. Martenczuk y la Sra. J. Vondung, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 25 de junio de 2015;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 4, apartado 1, letra a), y 28, apartados 1, 3 y 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31).
2 Esta petición se ha presentado en el marco de un litigio entre Weltimmo s. r. o. (en lo sucesivo, «Weltimmo»), sociedad cuyo domicilio social se encuentra en Eslovaquia, y la Nemzeti Adatvédelmi és Információszabadság Hatóság (autoridad nacional encargada de la protección de datos y de la libertad de información; en lo sucesivo, «autoridad húngara de control») en relación con una multa impuesta por ésta por infracción de la Ley nº CXII de 2011, sobre sobre el derecho de autodeterminación en materia de información y la libertad de información (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi Törvény; en lo sucesivo, «Ley sobre la información»), que transpuso la Directiva 95/46 al Derecho húngaro.
Marco jurídico
Derecho de la Unión
3 En los considerandos 3, 18 y 19 de la Directiva 95/46 se manifiesta lo siguiente:
(3) Considerando que el establecimiento y funcionamiento del mercado interior, dentro del cual está garantizada, con arreglo al artículo [26 TFUE], la libre circulación de mercancías, personas, servicios y capitales, hacen necesaria no sólo la libre circulación de datos personales de un Estado miembro a otro, sino también la protección de los derechos fundamentales de las personas;
[...]
(18) Considerando que, para evitar que una persona sea excluida de la protección garantizada por la presente Directiva, es necesario que todo tratamiento de datos personales efectuado en la Comunidad respete la legislación de uno de sus Estados miembros; que, a este respecto, resulta conveniente someter el tratamiento de datos efectuados por cualquier persona que actúe bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado;
(19) Considerando que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante al respecto; que cuando un mismo responsable esté establecido en el territorio de varios Estados miembros, en particular por medio de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a estas actividades
.
4 El artículo 2 de la Directiva 95/46 establece lo siguiente:
A efectos de la presente Directiva, se entenderá por:
[...]
b) “tratamiento de datos personales [‘feldolgozása’]” (“tratamiento” [‘feldolgozás’]): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;
[...]
5 El artículo 4, apartado 1, letra a), de la Directiva 95/46 dispone cuanto sigue:
1. Los Estados miembros aplicarán las disposiciones nacionales que [hayan] aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:
a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable
.
6 A tenor del artículo 28, apartados 1, 3 y 6, de la Directiva 95/46:
1. Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.
Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.
[...]
3. La autoridad de control dispondrá, en particular, de:
- poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;
- poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales;
- capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.
Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.
[...]
6. Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.
Las autoridades de control cooperarán entre sí en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información que estimen útil.
Derecho húngaro
7 El artículo 2, apartado 1, de la Ley sobre la información establece lo siguiente:
El ámbito de aplicación de esta Ley comprende todo tratamiento y procesamiento de datos operado en el territorio de Hungría en relación con datos relativos a personas físicas, así como con datos de interés público o con datos accesibles por razones de interés público.
8 El artículo 3, apartados 10 y 17, de la Ley sobre la información contiene las siguientes definiciones:
10. “tratamiento de datosˮ: toda operación o conjunto de operaciones realizadas respecto de los datos, cualquiera que sea el procedimiento empleado, en particular la recogida, captación, registro, organización, conservación, modificación, utilización, solicitud, transmisión, publicación, cotejo o interconexión, bloqueo, supresión o destrucción, así como impedir otra utilización de los datos, captar fotografías, sonidos o imágenes, o registrar las características físicas que sirven para la identificación de las personas (por ejemplo, huellas dactilares o de la palma de la mano, muestras de ADN o imagen del iris);
[...]
17. “procesamiento de datos” [“adatfeldolgozásˮ]: la ejecución de tareas técnicas en relación con las operaciones de tratamiento de datos, cualquiera que sea el método y el medio empleado para realizar las operaciones, así como el lugar en que se desarrollen, siempre que las tareas técnicas se ejecuten en los datos
.
Litigio principal y cuestiones prejudiciales
9 Weltimmo, sociedad constituida en Eslovaquia, gestiona un sitio de Internet de anuncios de inmuebles situados en Hungría. En dicho contexto, trata los datos personales de los...
To continue reading
Request your trial