Fashion ID GmbH & Co.KG contra Verbraucherzentrale NRW eV.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2019:629
• Date: 29 July 2019
• Celex Number: 62017CJ0040
• Court: Court of Justice (European Union)
• Procedure Type: Reference for a preliminary ruling
• Docket Number: C-40/17

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Segunda)

de 29 de julio de 2019 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Artículo 2, letra d) — Concepto de “responsable del tratamiento” — Administrador de un sitio de Internet que incorporó en este un módulo social que permite comunicar los datos personales del visitante de ese sitio al proveedor de dicho módulo — Artículo 7, letra f) — Legitimación de los tratamientos de datos — Toma en consideración del interés del administrador del sitio de Internet o del interés del proveedor del módulo social — Artículos 2, letra h), y 7, letra a) — Consentimiento del interesado — Artículo 10 — Información del interesado — Normativa nacional que permite a las asociaciones de defensa de los intereses de los consumidores ejercitar acciones judiciales»

En el asunto C‑40/17,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania), mediante resolución de 19 de enero de 2017, recibida en el Tribunal de Justicia el 26 de enero de 2017, en el procedimiento entre

Fashion ID GmbH & Co. KG

y

Verbraucherzentrale NRW eV,

con intervención de:

Facebook Ireland Ltd,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,

EL TRIBUNAL DE JUSTICIA (Sala Segunda),

integrado por el Sr. K. Lenaerts, Presidente del Tribunal de Justicia, en funciones de Presidente de la Sala Segunda, y las Sras. A. Prechal y C. Toader y los Sres. A. Rosas (Ponente) y M. Ilešič, Jueces;

Abogado General: Sr. M. Bobek;

Secretario: Sr. D. Dittert, jefe de unidad;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 6 de septiembre de 2018;

consideradas las observaciones presentadas:

– en nombre de Fashion ID GmbH & Co. KG, por los Sres. C.‑M. Althaus y J. Nebel, Rechtsanwälte;

– en nombre de Verbraucherzentrale NRW eV, por los Sres. K. Kruse, C. Rempe y S. Meyer, Rechtsanwälte;

– en nombre de Facebook Ireland Ltd, por los Sres. H.-G. Kamann, C. Schwedler y M. Braun, Rechtsanwälte, y la Sra. I. Perego, avvocatessa;

– en nombre de Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, por la Sra. U. Merger, en calidad de agente;

– en nombre del Gobierno alemán, inicialmente por los Sres. T. Henze y J. Möller, y posteriormente por el Sr. Möller, en calidad de agentes;

– en nombre del Gobierno belga, por el Sr. P. Cottin y la Sra. L. Van den Broeck, en calidad de agentes;

– en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por el Sr. P. Gentili, avvocato dello Stato;

– en nombre del Gobierno austriaco, inicialmente por la Sra. C. Pesendorfer, y posteriormente por el Sr. G. Kunnert, en calidad de agentes;

– en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;

– en nombre de la Comisión Europea, por los Sres. H. Krämer y H. Kranenborg, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 19 de diciembre de 2018;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 2, 7, 10 y 22 a 24 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

2 Esta petición se ha presentado en el contexto de un litigio entre Fashion ID GmbH & Co. KG y Verbraucherzentrale NRW eV en relación con la inserción, por Fashion ID, en su sitio de Internet, de un módulo social de Facebook Ireland Ltd.

Marco jurídico

Derecho de la Unión

3 La Directiva 95/46 fue derogada y sustituida, con efectos a partir del 25 de mayo de 2018, por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 2016, L 119, p. 1). Sin embargo, dada la fecha en que ocurrieron los hechos del litigio principal, dicha Directiva es aplicable a este.

4 Según el considerando 10 de la Directiva 95/46:

«(10) Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, [hecho en Roma el 4 de noviembre de 1950,] así como en los principios generales del Derecho [de la Unión]; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la [Unión]».

5 El artículo 1 de la Directiva 95/46 establece lo siguiente:

«1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.»

6 El artículo 2 de dicha Directiva dispone cuanto sigue:

«A efectos de la presente Directiva, se entenderá por:

a) “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

[…]

d) “responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o [de la Unión], el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o [de la Unión];

[…]

f) “tercero”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento;

g) “destinatario”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación específica no serán considerados destinatarios;

h) “consentimiento del interesado”: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.»

7 El artículo 7 de la citada Directiva establece lo siguiente:

«Los Estados miembros dispondrán que el tratamiento de datos personales solo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca, o

[…]

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.»

8 A tenor del artículo 10 de la misma Directiva, que lleva por título «Información en caso de obtención de datos recabados del propio interesado»:

«Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a) la identidad del responsable del tratamiento y, en su caso, de su representante;

b) los fines del tratamiento de que van a ser objeto los datos;

c) cualquier otra información tal como:

– los destinatarios o las categorías de destinatarios de los datos,

– el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

– la existencia de derechos de acceso y rectificación de los datos que la conciernen,

en la medida en que, habida cuenta de las circunstancias específicas en que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.»

9 El artículo 22 de la Directiva 95/46 está redactado como sigue:

«Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante la autoridad de control mencionada en el artículo 28, y antes de acudir a la autoridad judicial, los...