Fashion ID GmbH & Co.KG contra Verbraucherzentrale NRW eV.

JurisdictionEuropean Union
ECLIECLI:EU:C:2019:629
Date29 July 2019
Celex Number62017CJ0040
CourtCourt of Justice (European Union)
Procedure TypeReference for a preliminary ruling
Docket NumberC-40/17

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Segunda)

de 29 de julio de 2019 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Artículo 2, letra d) — Concepto de “responsable del tratamiento” — Administrador de un sitio de Internet que incorporó en este un módulo social que permite comunicar los datos personales del visitante de ese sitio al proveedor de dicho módulo — Artículo 7, letra f) — Legitimación de los tratamientos de datos — Toma en consideración del interés del administrador del sitio de Internet o del interés del proveedor del módulo social — Artículos 2, letra h), y 7, letra a) — Consentimiento del interesado — Artículo 10 — Información del interesado — Normativa nacional que permite a las asociaciones de defensa de los intereses de los consumidores ejercitar acciones judiciales»

En el asunto C‑40/17,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania), mediante resolución de 19 de enero de 2017, recibida en el Tribunal de Justicia el 26 de enero de 2017, en el procedimiento entre

Fashion ID GmbH & Co. KG

y

Verbraucherzentrale NRW eV,

con intervención de:

Facebook Ireland Ltd,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,

EL TRIBUNAL DE JUSTICIA (Sala Segunda),

integrado por el Sr. K. Lenaerts, Presidente del Tribunal de Justicia, en funciones de Presidente de la Sala Segunda, y las Sras. A. Prechal y C. Toader y los Sres. A. Rosas (Ponente) y M. Ilešič, Jueces;

Abogado General: Sr. M. Bobek;

Secretario: Sr. D. Dittert, jefe de unidad;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 6 de septiembre de 2018;

consideradas las observaciones presentadas:

– en nombre de Fashion ID GmbH & Co. KG, por los Sres. C.‑M. Althaus y J. Nebel, Rechtsanwälte;

– en nombre de Verbraucherzentrale NRW eV, por los Sres. K. Kruse, C. Rempe y S. Meyer, Rechtsanwälte;

– en nombre de Facebook Ireland Ltd, por los Sres. H.-G. Kamann, C. Schwedler y M. Braun, Rechtsanwälte, y la Sra. I. Perego, avvocatessa;

– en nombre de Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, por la Sra. U. Merger, en calidad de agente;

– en nombre del Gobierno alemán, inicialmente por los Sres. T. Henze y J. Möller, y posteriormente por el Sr. Möller, en calidad de agentes;

– en nombre del Gobierno belga, por el Sr. P. Cottin y la Sra. L. Van den Broeck, en calidad de agentes;

– en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por el Sr. P. Gentili, avvocato dello Stato;

– en nombre del Gobierno austriaco, inicialmente por la Sra. C. Pesendorfer, y posteriormente por el Sr. G. Kunnert, en calidad de agentes;

– en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;

– en nombre de la Comisión Europea, por los Sres. H. Krämer y H. Kranenborg, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 19 de diciembre de 2018;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 2, 7, 10 y 22 a 24 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

2 Esta petición se ha presentado en el contexto de un litigio entre Fashion ID GmbH & Co. KG y Verbraucherzentrale NRW eV en relación con la inserción, por Fashion ID, en su sitio de Internet, de un módulo social de Facebook Ireland Ltd.

Marco jurídico

Derecho de la Unión

3 La Directiva 95/46 fue derogada y sustituida, con efectos a partir del 25 de mayo de 2018, por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 2016, L 119, p. 1). Sin embargo, dada la fecha en que ocurrieron los hechos del litigio principal, dicha Directiva es aplicable a este.

4 Según el considerando 10 de la Directiva 95/46:

«(10) Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, [hecho en Roma el 4 de noviembre de 1950,] así como en los principios generales del Derecho [de la Unión]; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la [Unión]».

5 El artículo 1 de la Directiva 95/46 establece lo siguiente:

«1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.»

6 El artículo 2 de dicha Directiva dispone cuanto sigue:

«A efectos de la presente Directiva, se entenderá por:

a) “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

[…]

d) “responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o [de la Unión], el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o [de la Unión];

[…]

f) “tercero”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento;

g) “destinatario”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación específica no serán considerados destinatarios;

h) “consentimiento del interesado”: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.»

7 El artículo 7 de la citada Directiva establece lo siguiente:

«Los Estados miembros dispondrán que el tratamiento de datos personales solo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca, o

[…]

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.»

8 A tenor del artículo 10 de la misma Directiva, que lleva por título «Información en caso de obtención de datos recabados del propio interesado»:

«Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a) la identidad del responsable del tratamiento y, en su caso, de su representante;

b) los fines del tratamiento de que van a ser objeto los datos;

c) cualquier otra información tal como:

– los destinatarios o las categorías de destinatarios de los datos,

– el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

– la existencia de derechos de acceso y rectificación de los datos que la conciernen,

en la medida en que, habida cuenta de las circunstancias específicas en que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.»

9 El artículo 22 de la Directiva 95/46 está redactado como sigue:

«Sin perjuicio del recurso administrativo que pueda interponerse, en particular ante la autoridad de control mencionada en el artículo 28, y antes de acudir a la autoridad judicial, los...

To continue reading

Request your trial
32 practice notes
  • Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos v Valstybinė duomenų apsaugos inspekcija.
    • European Union
    • Court of Justice (European Union)
    • 5 Diciembre 2023
    ...right of every person to the protection of personal data concerning him or her (see, to that effect, judgments of 29 July 2019, Fashion ID, C‑40/17, EU:C:2019:629, paragraph 66, and of 28 April 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, paragraph 73 and the case-law 30 The Court......
  • Lombard Pénzügyi és Lízing Zrt. v PN.
    • European Union
    • Court of Justice (European Union)
    • 31 Marzo 2022
    ...de la directiva de que se trate, conforme al objetivo de esta (véase, en este sentido, la sentencia de 29 de julio de 2019, Fashion ID, C‑40/17, EU:C:2019:629, apartado 49 y jurisprudencia 36 En cuanto a la Directiva 93/13, esta impone a los Estados miembros la obligación de prever medios a......
  • Opinion of Advocate General Medina delivered on 8 June 2023.
    • European Union
    • Court of Justice (European Union)
    • 8 Junio 2023
    ...December 2022, Google (De-referencing of allegedly false information) (C‑460/20, EU:C:2022:962, paragraph 49). 14 Judgment of 29 July 2019 (C‑40/17, EU:C:2019:629, paragraph 15 Article 4(7) of the GDPR. 16 Article 4(8) of the GDPR. For instance, with respect to the responsibility of a searc......
  • Opinion of Advocate General Campos Sánchez-Bordona delivered on 22 September 2022.
    • European Union
    • Court of Justice (European Union)
    • 22 Septiembre 2022
    ...dei pubblici poteri, sentenza del 15 marzo 1988, Commissione/Grecia (147/86, EU:C:1988:150). 17 Conclusioni presentate il 19 dicembre 2018 (C-40/17, EU:C:2018:1039), paragrafo 18 Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisich......
  • Request a trial to view additional results
18 cases
  • Lombard Pénzügyi és Lízing Zrt. v PN.
    • European Union
    • Court of Justice (European Union)
    • 31 Marzo 2022
    ...de la directiva de que se trate, conforme al objetivo de esta (véase, en este sentido, la sentencia de 29 de julio de 2019, Fashion ID, C‑40/17, EU:C:2019:629, apartado 49 y jurisprudencia 36 En cuanto a la Directiva 93/13, esta impone a los Estados miembros la obligación de prever medios a......
  • European Commission v Republic of Austria.
    • European Union
    • Court of Justice (European Union)
    • 12 Noviembre 2020
    ...Wirksamkeit der Richtlinie entsprechend ihrer Zielsetzung zu gewährleisten (vgl. in diesem Sinne Urteil vom 29. Juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 49 und die dort angeführte 61 Demnach muss die institutionelle Autonomie, über die die Mitgliedstaaten bei der Organisation und ......
  • Meta Platforms Ireland Limited, anciennement Facebook Ireland Limited v Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.
    • European Union
    • Court of Justice (European Union)
    • 28 Abril 2022
    ...per la protezione dei dati personali. Detto governo sottolinea, inoltre, che, nella sua sentenza del 29 luglio 2019, Fashion ID (C‑40/17, EU:C:2019:629), vertente sull’interpretazione delle disposizioni della direttiva 95/46, la Corte ha statuito che queste ultime non ostano alla succitata ......
  • Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos v Valstybinė duomenų apsaugos inspekcija.
    • European Union
    • Court of Justice (European Union)
    • 5 Diciembre 2023
    ...diritto di qualsiasi persona alla tutela dei dati personali che la riguardano (v., in tal senso, sentenze del 29 luglio 2019, Fashion ID, C‑40/17, EU:C:2019:629, punto 66, e del 28 aprile 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punto 73, e la giurisprudenza ivi 30 La Corte ha......
  • Request a trial to view additional results
6 firm's commentaries
1 books & journal articles
  • Responsibility for GDPR compliance: the data controller
    • European Union
    • Blockchain and the general data protection regulation. Can distributed ledgers be squared with European data protection law?
    • 6 Agosto 2019
    ...Case C-25/17 Jehovan todistajat [2018] EU:C:2018:551. 292 Ibid, para 66. 293 Ibid, para 73. 294 Ibid, para 68. 295 Opinion of AG Bobek in Case C-40/17 Fashion ID [2018] EU:C:2018:1039. 296 Ibid, para 67. 297 Ibid, para 74. 42 Blockchain and the General Data Protection Regulation which perso......

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT