CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2015:639

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Tercera)

de 1 de octubre de 2015 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Artículos 4, apartado 1, y 28, apartados 1, 3 y 6 — Responsable del tratamiento establecido formalmente en un Estado miembro — Vulneración del derecho a la protección de los datos personales relativos a las personas físicas en otro Estado miembro — Determinación del Derecho aplicable y de la autoridad de control competente — Ejercicio de las facultades de la autoridad de control — Potestad sancionadora»

En el asunto C‑230/14,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la Kúria [Tribunal Supremo] (Hungría), mediante resolución de 22 de abril de 2014, recibida en el Tribunal de Justicia el 12 de mayo de 2014, en el procedimiento entre

Weltimmo s.r.o.

Nemzeti Adatvédelmi és Információszabadság Hatóság,

EL TRIBUNAL DE JUSTICIA (Sala Tercera),

integrado por el Sr. M. Ilešič, Presidente de Sala, y el Sr. A. Ó Caoimh, la Sra. C. Toader y los Sres. E. Jarašiūnas y C.G. Fernlund (Ponente), Jueces;

Abogado General: Sr. P. Cruz Villalón;

Secretario: Sr. I. Illéssy, administrador;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 12 de marzo de 2015;

consideradas las observaciones presentadas:

– en nombre de la Nemzeti Adatvédelmi és Információszabadság Hatóság, por el Sr. A. Péterfalvi, en calidad de agente, asistido por el Sr. G. Dudás, ügyvéd;

– en nombre del Gobierno húngaro, por los Sres. M.Z. Fehér y G. Koós y la Sra. A. Pálfy, en calidad de agentes;

– en nombre del Gobierno polaco, por el Sr. B. Majczyna y las Sras. M. Kamejsza y M. Pawlicka, en calidad de agentes;

– en nombre del Gobierno eslovaco, por la Sra. B. Ricziová, en calidad de agente;

– en nombre del Gobierno del Reino Unido, por el Sr. M. Holt en calidad de agente, asistido por el Sr. J. Holmes, Barrister;

– en nombre de la Comisión Europea, por los Sres. A. Tokár y B. Martenczuk y la Sra. J. Vondung, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 25 de junio de 2015;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 4, apartado 1, letra a), y 28, apartados 1, 3 y 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31).

2 Esta petición se ha presentado en el marco de un litigio entre Weltimmo s. r. o. (en lo sucesivo, «Weltimmo»), sociedad cuyo domicilio social se encuentra en Eslovaquia, y la Nemzeti Adatvédelmi és Információszabadság Hatóság (autoridad nacional encargada de la protección de datos y de la libertad de información; en lo sucesivo, «autoridad húngara de control») en relación con una multa impuesta por ésta por infracción de la Ley nº CXII de 2011, sobre sobre el derecho de autodeterminación en materia de información y la libertad de información (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi Törvény; en lo sucesivo, «Ley sobre la información»), que transpuso la Directiva 95/46 al Derecho húngaro.

Marco jurídico

Derecho de la Unión

3 En los considerandos 3, 18 y 19 de la Directiva 95/46 se manifiesta lo siguiente:

«(3) Considerando que el establecimiento y funcionamiento del mercado interior, dentro del cual está garantizada, con arreglo al artículo [26 TFUE], la libre circulación de mercancías, personas, servicios y capitales, hacen necesaria no sólo la libre circulación de datos personales de un Estado miembro a otro, sino también la protección de los derechos fundamentales de las personas;

[...]

(18) Considerando que, para evitar que una persona sea excluida de la protección garantizada por la presente Directiva, es necesario que todo tratamiento de datos personales efectuado en la Comunidad respete la legislación de uno de sus Estados miembros; que, a este respecto, resulta conveniente someter el tratamiento de datos efectuados por cualquier persona que actúe bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado;

(19) Considerando que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante al respecto; que cuando un mismo responsable esté establecido en el territorio de varios Estados miembros, en particular por medio de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a estas actividades».

4 El artículo 2 de la Directiva 95/46 establece lo siguiente:

«A efectos de la presente Directiva, se entenderá por:

[...]

b) “tratamiento de datos personales [‘feldolgozása’]” (“tratamiento” [‘feldolgozás’]): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

[...]»

5 El artículo 4, apartado 1, letra a), de la Directiva 95/46 dispone cuanto sigue:

«1. Los Estados miembros aplicarán las disposiciones nacionales que [hayan] aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable».

6 A tenor del artículo 28, apartados 1, 3 y 6, de la Directiva 95/46:

«1. Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.

[...]

3. La autoridad de control dispondrá, en particular, de:

– poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;

– poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales;

– capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.

Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

[...]

6. Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.

Las autoridades de control cooperarán entre sí en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información que estimen útil.»

Derecho húngaro

7 El artículo 2, apartado 1, de la Ley sobre la información establece lo siguiente:

«El ámbito de aplicación de esta Ley comprende todo tratamiento y procesamiento de datos operado en el territorio de Hungría en relación con datos relativos a personas físicas, así como con datos de interés público o con datos accesibles por razones de interés público.»

8 El artículo 3, apartados 10 y 17, de la Ley sobre la información contiene las siguientes definiciones:

«10. “tratamiento de datos”: toda operación o conjunto de operaciones realizadas respecto de los datos, cualquiera que sea el procedimiento empleado, en particular la recogida, captación, registro, organización, conservación, modificación, utilización, solicitud, transmisión, publicación, cotejo o interconexión, bloqueo, supresión o destrucción, así como impedir otra utilización de los datos, captar fotografías, sonidos o imágenes, o registrar las características físicas que sirven para la identificación de las personas (por ejemplo, huellas dactilares o de la palma de la mano, muestras de ADN o imagen del iris);

[...]

17. “procesamiento de datos” [“adatfeldolgozás”]: la ejecución de tareas técnicas en relación con las operaciones de tratamiento de datos, cualquiera que sea el método y el medio empleado para realizar las operaciones, así como el lugar en que se desarrollen, siempre que las tareas técnicas se ejecuten en los datos».

Litigio principal y cuestiones prejudiciales

9 Weltimmo, sociedad constituida en Eslovaquia, gestiona un sitio de Internet de anuncios de inmuebles situados en Hungría. En dicho contexto, trata los datos personales de los anunciantes. Los anuncios son gratuitos durante un mes, trascurrido el cual, el servicio pasa a ser de pago. Numerosos anunciantes solicitaron, por correo electrónico, la retirada de sus anuncios a partir de dicho plazo así como la supresión de sus datos personales. Sin embargo, Weltimmo no los suprimió y facturó sus servicios a los interesados. Ante el impago de las facturas, dicha sociedad transmitió los datos personales de los anunciantes en cuestión a empresas de cobro de impagados.

10 Los referidos anunciantes presentaron denuncias ante la autoridad húngara de control. Ésta se declaró competente basándose en el artículo 2, apartado 1, de la Ley sobre la información, por estimar que la recogida de los datos de que se trataba había tenido lugar en el territorio húngaro y que constituía un tratamiento o un procesamiento de datos relativos a unas personas físicas. Dicha autoridad de control consideró que Weltimmo había infringido la Ley sobre la información e impuso a la citada sociedad una multa de diez millones de forintos húngaros (HUF) (alrededor de 32 000 euros).

11 Weltimmo acudió entonces al tribunal contencioso-administrativo y de lo social de Budapest (Fővárosi Közigazgatási és Munkaügyi Bíróság), el cual consideró que el hecho de que esta sociedad no dispusiera de domicilio social o de establecimiento en Hungría no constituía un argumento de defensa válido, puesto que tanto la prestación de los datos relativos a los inmuebles húngaros de que se trata como el tratamiento de dichos datos se habían realizado en Hungría. No obstante, dicho tribunal anuló la resolución de la autoridad húngara de control por otros motivos, referentes a la imprecisión de algunos hechos.

12 Weltimmo recurrió en casación ante el órgano jurisdiccional remitente alegando que no era necesario un mayor esclarecimiento de los hechos, ya que, en virtud del artículo 4, apartado 1, letra a), de la Directiva 95/46, la autoridad húngara de control, en el presente caso, carecía de competencia y no podía aplicar el Derecho húngaro a un prestador de servicios establecido en otro Estado miembro. Weltimmo sostuvo que, con arreglo al artículo 28, apartado 6, de la Directiva 95/46, dicha autoridad debió haber instado a la autoridad eslovaca competente en la materia a que actuara en su lugar.

13 La autoridad húngara de control alegó que Weltimmo tenía, en Hungría, un representante de nacionalidad húngara, concretamente uno de los propietarios de esta sociedad, que la representó en los procedimientos administrativo y judicial seguidos en dicho Estado miembro. La citada autoridad añadió que los servidores de Internet de Weltimmo estaban instalados aparentemente en Alemania o en Austria, pero que los propietarios de dicha sociedad vivían en Hungría. Por último, según esta autoridad, del artículo 28, apartado 6, de la Directiva 95/46 se deriva, en cualquier caso, su propia competencia, con independencia del Derecho aplicable.

14 Al albergar dudas en cuanto a la determinación del Derecho aplicable y a las facultades de que dispone la autoridad húngara de control a la luz de los artículos 4, apartado 1, y 28 de la Directiva 95/46, la Kúria decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales siguientes:

«1) ¿Procede interpretar el artículo 28, apartado 1, de la Directiva [95/46], en el sentido de que la normativa nacional de un Estado miembro puede aplicarse en su territorio a un responsable del tratamiento de datos establecido exclusivamente en otro Estado miembro, que gestiona una página web de intermediación inmobiliaria y anuncia, entre otros, inmuebles situados en el territorio del primer Estado miembro, habiendo transmitido los propietarios de los inmuebles sus datos personales a un medio (servidor) de almacén y procesamiento de datos que pertenece al gestor de la página web y que está situado en [ese] otro Estado miembro?

2) ¿Procede interpretar el artículo 4, apartado 1, letra a), de la Directiva [95/46], a la luz de sus considerandos 18 a 20 y de sus artículos 1, apartado 2, y 28, apartado 1, en el sentido de que la [autoridad húngara de control] no puede aplicar la ley húngara de protección de datos, como Derecho nacional, a un gestor de una página web de intermediación inmobiliaria establecido exclusivamente en otro Estado miembro, ni aun cuando éste anuncie, entre otros, inmuebles húngaros cuyos propietarios transmitieron, probablemente desde el territorio de Hungría, los datos relativos a sus inmuebles a un medio (servidor) de almacén y procesamiento de datos que pertenece al gestor de la página web y que está situado en [ese] otro Estado miembro?

3) ¿Es significativo, a efectos de la interpretación, que el servicio prestado por el responsable del tratamiento de datos que gestiona la página web esté dirigido al territorio de otro Estado miembro?

4) ¿Es significativo, a efectos de la interpretación, que los datos relativos a los inmuebles situados en el territorio del otro Estado miembro y los datos personales de los propietarios se hayan cargado efectivamente desde el territorio de ese otro Estado miembro?

5) ¿Es significativo, a efectos de la interpretación, que los datos personales en relación con dichos inmuebles sean datos personales de ciudadanos de otro Estado miembro?

6) ¿Es significativo, a efectos de la interpretación, que los propietarios de la empresa establecida en Eslovaquia vivan en Hungría?

7) Si de las respuestas dadas a las preguntas anteriores resulta que la [autoridad húngara de control] puede tramitar un procedimiento, pero que no puede aplicar el Derecho nacional, sino que debe aplicar el Derecho del Estado miembro de establecimiento, ¿debe interpretarse el artículo 28, apartado 6, de la Directiva [95/46] en el sentido de que la [autoridad húngara de control] sólo puede ejercer las facultades establecidas en el artículo 28, apartado 3, de la dicha Directiva de conformidad con lo dispuesto en la normativa del Estado miembro de establecimiento, y que por ello no está facultada para imponer una multa?

8) En la terminología de la Directiva [95/46], ¿puede considerarse que el concepto de “adatfeldolgozás” [procesamiento de datos] empleado tanto en el artículo 4, apartado 1, letra a), como en el artículo 28, apartado 6, de la [versión húngara de la] Directiva, es idéntico al concepto de “adatkezelés” [tratamiento de datos]?»

Sobre las cuestiones prejudiciales

Observaciones preliminares

15 Por lo que respecta, en primer lugar, a los antecedentes de hecho del litigio principal, procede mencionar varios elementos adicionales de información, presentados por la autoridad húngara de control en sus observaciones escritas y en la vista ante el Tribunal de Justicia.

16 De tales elementos resulta, primero, que dicha autoridad tuvo conocimiento, de manera informal, por su homóloga eslovaca, de que Weltimmo no ejercía ninguna actividad donde radicaba su domicilio social, en Eslovaquia. Por otra parte, Weltimmo desplazó dicho domicilio, en reiteradas ocasiones, de un Estado a otro. Segundo, Weltimmo desarrolló dos sitios de anuncios inmobiliarios, redactados exclusivamente en húngaro. Abrió una cuenta bancaria en Hungría, destinada al cobro de sus créditos, y dispuso de un apartado de correos en dicho Estado miembro, para sus asuntos corrientes. El correo se recogía regularmente y se remitía a Weltimmo por vía electrónica. Tercero, eran los propios anunciantes quienes debían no sólo inscribir los datos relativos a sus inmuebles en el sitio de Weltimmo, sino también suprimirlos de dicho sitio si no deseaban que siguieran figurando en él una vez transcurrido el plazo de un mes señalado anteriormente. Weltimmo adujo un problema de gestión informática para explicar que dicha supresión no se había podido realizar. Cuarto, Weltimmo es una sociedad compuesta solamente por una o dos personas. Su representante en Hungría intentó negociar con los anunciantes el pago de los créditos impagados.

17 Por lo que respecta, en segundo lugar, a la redacción de las cuestiones prejudiciales planteadas, aun cuando el órgano jurisdiccional remitente utiliza los términos «establecido exclusivamente» en sus cuestiones primera y segunda, de la resolución de remisión y de las observaciones escritas y orales presentadas por la autoridad húngara de control se desprende que si bien Weltimmo está registrada en Eslovaquia y, en consecuencia, está establecida en ese Estado miembro, en el sentido del Derecho de sociedades, existe la duda de si está «establecida» únicamente en dicho Estado miembro, a efectos del artículo 4, apartado 1, letra a), de la Directiva 95/46. Al preguntar al Tribunal de Justicia sobre la interpretación de esta disposición, el órgano jurisdiccional remitente desea saber qué comprende el concepto de «establecimiento» utilizado en dicha disposición.

18 Por último, es preciso señalar que en las cuestiones prejudiciales primera y segunda, el órgano jurisdiccional remitente manifiesta que el servidor utilizado por Weltimmo está instalado en Eslovaquia, mientras que, en otro pasaje de la resolución de remisión, menciona la posibilidad de que los servidores de dicha sociedad se encuentren en Alemania o en Austria. En estas circunstancias, resulta oportuno considerar que no está zanjado el extremo de en qué Estado miembro están instalados el servidor o los servidores utilizados por la citada sociedad.

Sobre las cuestiones prejudiciales primera a sexta

19 Mediante sus cuestiones prejudiciales primera a sexta, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 4, apartado 1, letra a), y 28, apartado 1, de la Directiva 95/46 deben interpretarse en el sentido de que, en circunstancias como las controvertidas en el litigio principal, permiten a la autoridad de control de un Estado miembro aplicar su legislación nacional sobre protección de datos al responsable del tratamiento, cuya sociedad está registrada en otro Estado miembro y que gestiona un sitio de Internet de intermediación inmobiliaria que anuncia inmuebles situados en el territorio del primero de esos dos Estados. En particular, pregunta si es relevante que dicho Estado miembro sea aquel:

– hacia el que se dirige la actividad del responsable del tratamiento de los datos personales,

– en el que están situados los inmuebles de que se trata,

– a partir del cual se transmiten los datos relativos a los propietarios de dichos bienes,

– del que éstos son nacionales, y

– en el que viven los propietarios de dicha sociedad.

20 Por lo que respecta al Derecho aplicable, el órgano jurisdiccional remitente menciona más concretamente los Derechos eslovaco y húngaro, siendo el primero de ellos el del Estado miembro en el que está registrado el responsable del tratamiento de los datos personales en cuestión y el segundo, el del Estado miembro que constituye el objetivo de los sitios de Internet de que se trata en el litigio principal, en cuyo territorio están situados los inmuebles objeto de los anuncios publicados.

21 Sobre este particular, es preciso señalar que el artículo 4 de la Directiva 95/46, titulado «Derecho nacional aplicable», que figura en el capítulo 1 de esta Directiva, la cual lleva por rúbrica «Disposiciones generales», regula precisamente la pregunta planteada.

22 El artículo 28 de la Directiva 95/46, titulado «Autoridad de control», se dedica, en cambio, a la función y facultades de dicha autoridad. En virtud del artículo 28, apartado 1, se encarga de vigilar la aplicación, en el territorio de su propio Estado miembro, de las disposiciones adoptadas por los Estados miembros en aplicación de esta Directiva. Conforme al artículo 28, apartado 6, de la citada Directiva, la autoridad de control ejerce los poderes que se le atribuyen, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de los datos personales.

23 Por lo tanto, es preciso determinar a la luz del artículo 4 de la Directiva 95/46, y no de su artículo 28, el Derecho nacional aplicable al responsable de dicho tratamiento.

24 A tenor del artículo 4, apartado 1, letra a), de la Directiva 95/46, los Estados miembros aplicarán las disposiciones nacionales que hayan aprobado para la aplicación de esta Directiva a todo tratamiento de datos personales cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro.

25 Visto el objetivo perseguido por la Directiva 95/46, consistente en garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, concretamente del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, la expresión «en el marco de las actividades de un establecimiento» no puede ser objeto de interpretación restrictiva (véase, en este sentido, la sentencia Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 53).

26 A fin de alcanzar este objetivo y evitar que una persona sea excluida de la protección garantizada por la citada Directiva, en el considerando 18 de ésta se manifiesta que es necesario que todo tratamiento de datos personales efectuado en la Unión Europea respete la legislación de uno de sus Estados miembros y que resulta conveniente someter el tratamiento de datos efectuados por cualquier persona que actúe bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de este Estado.

27 Así pues, el legislador de la Unión estableció un ámbito de aplicación territorial de la Directiva 95/46 particularmente extenso, que recogió en el artículo 4 de ésta (véase, en este sentido, la sentencia Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 54).

28 En primer lugar, por lo que respecta al concepto de «establecimiento», es preciso recordar que según el considerando 19 de la Directiva 95/46, el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable y que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante (véase la sentencia Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 48). Por otra parte, este considerando puntualiza que, cuando un mismo responsable esté establecido en el territorio de varios Estados miembros debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a estas actividades.

29 De lo anterior se deriva, como señaló en esencia el Abogado General en los puntos 28 y 32 a 34 de sus conclusiones, una concepción flexible de la noción de establecimiento, que rechaza cualquier enfoque formalista según el cual una empresa estaría establecida únicamente en el lugar en que se encontrase registrada. Por lo tanto, para determinar si una sociedad, responsable de un tratamiento de datos, dispone de un establecimiento, en el sentido de la Directiva 95/46, en un Estado miembro distinto del Estado miembro o del tercer país en el que está registrada, procede interpretar tanto el grado de estabilidad de la instalación como la efectividad del desarrollo de las actividades en ese otro Estado miembro tomando en consideración la naturaleza específica de las actividades económicas y de las prestaciones de servicios en cuestión. Esto es válido concretamente para las empresas que se dedican a ofrecer servicios exclusivamente a través de Internet.

30 A este respecto, es preciso considerar, habida cuenta del objetivo perseguido por la citada Directiva —consistente en garantizar una protección eficaz y completa del derecho a la intimidad y evitar que se eluda la normativa aplicable— que la presencia de un único representante puede bastar, en determinadas circunstancias, para constituir una instalación estable si actúa con un grado de estabilidad suficiente a través de los medios necesarios para la prestación de los servicios concretos de los que se trate en el Estado miembro en cuestión.

31 Además, a fin de alcanzar dicho objetivo, procede considerar que el concepto de «establecimiento», en el sentido de la Directiva 95/46, se extiende a cualquier actividad real y efectiva, aun mínima, ejercida mediante una instalación estable.

32 En el caso de autos, la actividad ejercida por Weltimmo consiste, como mínimo, en la gestión de uno o varios sitios de Internet de anuncios de inmuebles situados en Hungría, que están redactados en húngaro y que pasan a ser de pago transcurrido el primer mes. Por lo tanto, procede señalar que dicha sociedad ejerce una actividad real y efectiva en Hungría.

33 Además, de las puntualizaciones aportadas por la autoridad húngara de control se desprende que Weltimmo dispone de un representante en Hungría, que se menciona en el registro de sociedades eslovaco con una dirección en Hungría y que intentó negociar con los anunciantes el pago de los créditos impagados. Dicho representante sirvió de enlace entre la citada sociedad y los denunciantes y la representó en los procedimientos administrativo y judicial. Por añadidura, la referida sociedad abrió una cuenta bancaria en Hungría, destinada al cobro de sus créditos, y utiliza un apartado de correos en el territorio de dicho Estado miembro para la gestión de sus asuntos corrientes. Estos factores, que corresponde al órgano jurisdiccional remitente comprobar, pueden demostrar, en una situación como la controvertida en el litigio principal, la existencia de un «establecimiento», a efectos del artículo 4, apartado 1, letra a), de la Directiva 95/46.

34 En segundo lugar, es necesario saber si el tratamiento de los datos personales de que se trata se realizó «en el marco de las actividades» de dicho establecimiento.

35 El Tribunal de Justicia ya ha declarado que el artículo 4, apartado 1, letra a), de la Directiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado «por» el propio establecimiento en cuestión, sino únicamente «en el marco de las actividades» de éste (sentencia Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 52).

36 En el caso de autos, el tratamiento controvertido en el litigio principal consiste, concretamente, en la publicación, en los sitios de Internet de anuncios inmobiliarios de Weltimmo, de datos personales relativos a los propietarios de dichos bienes y, en su caso, en la utilización de esos datos para la facturación de los anuncios transcurrido un plazo de un mes.

37 A este respecto, es preciso recordar que, en lo que atañe concretamente a Internet, el Tribunal de Justicia ya ha tenido ocasión de declarar que la conducta que consiste en hacer referencia, en una página de Internet, a datos personales debe considerarse un «tratamiento» en el sentido del artículo 2, letra b), de la Directiva 95/46 (sentencias Lindqvist, C‑101/01, EU:C:2003:596, apartado 25, y Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 26).

38 Pues bien, no cabe duda de que dicho tratamiento tiene lugar en el marco de las actividades, descritas en el apartado 32 de la presente sentencia, a las que se dedica Weltimmo en Hungría.

39 Por lo tanto, sin perjuicio de las comprobaciones recordadas en el apartado 33 de la presente sentencia, que incumbe realizar al órgano jurisdiccional remitente a efectos de determinar, en su caso, la existencia de un establecimiento del responsable del tratamiento en Hungría, procede considerar que dicho tratamiento se efectúa en el marco de las actividades de ese establecimiento y que el artículo 4, apartado 1, letra a), de la Directiva 95/46 permite, en una situación como la controvertida en el litigio principal, aplicar el Derecho húngaro relativo a la protección de los datos personales.

40 En cambio, el hecho de que los propietarios de los bienes objeto de los anuncios inmobiliarios tengan la nacionalidad húngara no es en absoluto relevante para determinar el Derecho nacional aplicable al tratamiento de los datos de que se trata en el litigio principal.

41 Habida cuenta de todas las consideraciones anteriores, procede responder a la cuestiones prejudiciales primera a sexta como sigue:

– El artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que permite aplicar la legislación relativa a la protección de los datos personales de un Estado miembro distinto de aquel en el que está registrado el responsable del tratamiento de esos datos, siempre que éste ejerza, mediante una instalación estable en el territorio de dicho Estado miembro, una actividad efectiva y real, aun mínima, en cuyo marco se realice el referido tratamiento.

– Para determinar si así ocurre, en circunstancias como las controvertidas en el litigio principal, el órgano jurisdiccional remitente puede tener en cuenta, por un lado, que la actividad del responsable de dicho tratamiento, en cuyo marco éste tiene lugar, consiste en la gestión de sitios de Internet de anuncios de inmuebles situados en el territorio de dicho Estado miembro y redactados en la lengua de ese Estado y que, en consecuencia, se dirige principalmente, incluso íntegramente, a dicho Estado miembro y, por otro lado, que ese responsable dispone de un representante en el referido Estado miembro que se encarga de cobrar los créditos resultantes de dicha actividad y de representarlo en los procedimientos administrativo y judicial relativos al tratamiento de los datos en cuestión.

– En cambio, es irrelevante el tema de la nacionalidad de las personas afectadas por dicho tratamiento de datos.

Sobre la séptima cuestión prejudicial

42 La séptima cuestión prejudicial sólo se plantea en el supuesto de que la autoridad húngara de control considerase que Weltimmo dispone de un establecimiento, no en Hungría, sino en otro Estado miembro, a efectos del artículo 4, apartado 1, letra a), de la Directiva 95/46 y ejerce actividades en cuyo marco se efectúa el tratamiento de los datos personales de que se trata.

43 Mediante esta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si, en el supuesto de que la autoridad húngara de control llegara a la conclusión de que el Derecho aplicable al tratamiento de los datos personales no es el Derecho húngaro, sino el Derecho de otro Estado miembro, el artículo 28, apartados 1, 3 y 6, de la Directiva 95/46 debe interpretarse en el sentido de que dicha autoridad sólo podría ejercer las facultades establecidas en el artículo 28, apartado 3, de esta Directiva de conformidad con lo dispuesto en el Derecho de ese otro Estado miembro, y no podría imponer sanciones.

44 Por lo que respecta, en primer lugar, a la competencia de una autoridad de control para actuar en ese supuesto, es preciso señalar que, en virtud del artículo 28, apartado 4, de la Directiva 95/46, toda autoridad de control entenderá de las solicitudes que cualquier persona le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales.

45 Por consiguiente, en una situación como la controvertida en el litigio principal, pueden acudir a la autoridad húngara de control personas como los anunciantes de inmuebles de que se trata en el litigio principal, que se consideren víctimas de un tratamiento ilícito de sus datos personales en el Estado miembro en el que poseen tales bienes.

46 Es preciso examinar, en segundo lugar, cuáles son las facultades de dicha autoridad de control a la luz del artículo 28, apartados 1, 3 y 6, de la Directiva 95/46.

47 Del artículo 28, apartado 1, de dicha Directiva resulta que toda autoridad de control establecida por un Estado miembro vela por el cumplimiento, en el territorio de dicho Estado miembro, de las disposiciones adoptadas por los Estados miembros en aplicación de la Directiva 95/46.

48 En virtud del artículo 28, apartado 3, de la Directiva 95/46, dichas autoridades de control disponen, en particular, de facultades de investigación, como la de recabar toda la información necesaria para el cumplimiento de su misión de control, y de facultades efectivas de intervención, como las de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o dirigir una advertencia o amonestación al responsable del tratamiento.

49 Habida cuenta del carácter no exhaustivo de las facultades así enumeradas y del tipo de facultades de intervención mencionadas en esta disposición, así como del margen de maniobra de que disponen los Estados miembros para transponer la Directiva 95/46, es preciso considerar que dichas facultades de intervención pueden comprender la de sancionar al responsable del tratamiento de datos imponiéndole, en su caso, una multa.

50 Las facultades otorgadas a las autoridades de control deben ejercerse de conformidad con el Derecho procesal de sus propios Estados miembros.

51 Del artículo 28, apartados 1 y 3, de la Directiva 95/46 se desprende que la autoridad de control ejerce todas las facultades que se le han conferido en el territorio de su propio Estado miembro, a fin de garantizar en dicho territorio el respeto de las normas en materia de protección de datos.

52 Esta aplicación territorial de las facultades de la autoridad de control se confirma en el artículo 28, apartado 6, de la Directiva 95/46, en el que se establece que sean cuales sean las disposiciones de Derecho nacional aplicables, toda autoridad de control es competente para ejercer en el territorio de su propio Estado miembro las facultades que se le atribuyen en virtud del artículo 28, apartado 3, de la citada Directiva. El artículo 28, apartado 6, precisa también que dicha autoridad podrá ser instada a ejercer sus facultades por una autoridad de otro Estado miembro y que las autoridades de control cooperarán entre sí en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información que estimen útil.

53 Esta disposición es necesaria para garantizar la libre circulación de los datos personales en la Unión, velando por el respeto de las normas dirigidas a proteger la intimidad de las personas físicas que se establecen en la Directiva 95/46. De no existir dicha disposición, en el supuesto de que el responsable del tratamiento de los datos personales estuviera sujeto al Derecho de un Estado miembro, pero vulnerase el derecho a la protección de la intimidad de las personas físicas en otro Estado miembro, en concreto, dirigiendo su actividad hacia ese otro Estado miembro sin estar allí establecido, en el sentido de la citada Directiva, sería difícil, incluso imposible, que dichas personas pudieran hacer respetar su derecho a esa protección.

54 Así pues, del artículo 28, apartado 6, de la Directiva 95/46 se desprende que la autoridad de control de un Estado miembro, que entiende de una reclamación relativa al tratamiento de los datos personales que le presentan las personas físicas afectadas, sobre la base del artículo 28, apartado 4, de dicha Directiva, puede examinar dicha reclamación sea cual sea el Derecho aplicable y, por consiguiente, incluso si el Derecho aplicable al tratamiento de los datos de que se trata es el de otro Estado miembro.

55 No obstante, en tal supuesto, las facultades de la referida autoridad no comprenden necesariamente todas aquellas de las que está investida conforme al Derecho de su propio Estado miembro.

56 En efecto, como señaló el Abogado General en el punto 50 de sus conclusiones, de las exigencias derivadas de la soberanía territorial del Estado miembro de que se trate, del principio de legalidad y del concepto de Estado de Derecho se desprende que el ejercicio de la potestad sancionadora no puede tener lugar, en principio, fuera de los límites legales dentro de los cuales una autoridad administrativa está autorizada para actuar, sujeta al Derecho de su propio Estado miembro.

57 Así pues, cuando una autoridad de control entienda de una denuncia, de conformidad con el artículo 28, apartado 4, de la Directiva 95/46, puede ejercer sus facultades de investigación sea cual sea el Derecho aplicable e incluso antes de saber cuál es el Derecho nacional aplicable al tratamiento de que se trata. Sin embargo, si llega a la conclusión de que es aplicable el Derecho de otro Estado miembro, no puede imponer sanciones fuera del territorio de su propio Estado miembro. En tal situación, le corresponde instar, en ejecución de la obligación de cooperación que se establece en el artículo 28, apartado 6, de la citada Directiva, a la autoridad de control de ese otro Estado miembro a declarar una eventual infracción de ese Derecho y a imponer sanciones si éste lo permite, basándose, en su caso, en la información que ella le haya remitido.

58 La autoridad de control que entienda de tal denuncia puede verse obligada, en el marco de esta cooperación, a efectuar otras investigaciones, siguiendo las directrices de la autoridad de control del otro Estado miembro.

59 De lo anterior se desprende que, en una situación como la controvertida en el litigio principal, en el supuesto de que el Derecho aplicable sea el de un Estado miembro que no sea Hungría, la autoridad húngara de control no podría ejercer la potestad sancionadora que le confiere el Derecho húngaro.

60 De las consideraciones anteriores se desprende que procede responder a la séptima cuestión prejudicial que, en el supuesto de que la autoridad de control de un Estado miembro que entiende de unas denuncias, de conformidad con el artículo 28, apartado 4, de la Directiva 95/46, llegue a la conclusión de que el Derecho aplicable al tratamiento de los datos personales de que se trata no es el Derecho de ese Estado miembro, sino el de otro Estado miembro, el artículo 28, apartados 1, 3 y 6, de esa misma Directiva debe interpretarse en el sentido de que dicha autoridad de control sólo podría ejercer en el territorio de su propio Estado miembro las facultades efectivas de intervención que se le han conferido conforme al artículo 28, apartado 3, de la citada Directiva. Por lo tanto, no puede imponer sanciones basándose en el Derecho de ese Estado miembro al responsable del tratamiento de tales datos que no está establecido en dicho territorio, sino que, con arreglo al artículo 28, apartado 6, de la misma Directiva, debe instar la intervención de la autoridad de control dependiente del Estado miembro cuyo Derecho es aplicable.

Sobre la octava cuestión prejudicial

61 Mediante su octava cuestión prejudicial, el órgano jurisdiccional remitente pregunta al Tribunal de Justicia sobre el alcance del concepto de «adatfeldolgozás» (procesamiento de datos) utilizado, en particular, en el artículo 4, apartado 1, letra a), de la Directiva 95/46, relativo a la determinación del Derecho aplicable, y en el artículo 28, apartado 6, de esa misma Directiva, relativo a la competencia de la autoridad de control.

62 De la versión húngara de la Directiva 95/46 resulta un uso sistemático del término «adatfeldolgozás».

63 El órgano jurisdiccional remitente señala que la Ley sobre la información utiliza, concretamente en sus disposiciones dirigidas a aplicar las disposiciones de la Directiva 95/46 relativas a la competencia de las autoridades de control, el término «adatkezelés» (tratamiento de datos). Ahora bien, como se desprende del artículo 3, apartado 10, de esta Ley, este término tiene un sentido más amplio que el del término «adatfeldolgozás», definido en el artículo 3, apartado 17, de dicha Ley y engloba este último término.

64 Si bien el concepto de «adatfeldolgozás», según su acepción habitual y como resulta de la Ley sobre la información, tiene un sentido más estricto que el concepto de «adatkezelés», es preciso no obstante señalar que la versión húngara de la Directiva 95/46 define el término «adatfeldolgozás» en su artículo 2, letra b), de modo amplio, correspondiente al término «adatkezelés».

65 De lo anterior se desprende que procede responder a la octava cuestión prejudicial que la Directiva 95/46 debe interpretarse en el sentido de que el concepto de «adatfeldolgozás» (procesamiento de datos), utilizado en la versión húngara de esta Directiva, en particular en sus artículos 4, apartado 1, letra a), y 28, apartado 6, tiene el mismo sentido que el término «adatkezelés» (tratamiento de datos).

Costas

66 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a éste resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Tercera) declara:

1) El artículo 4, apartado 1, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que permite aplicar la legislación relativa a la protección de los datos personales de un Estado miembro distinto de aquel en el que está registrado el responsable del tratamiento de esos datos, siempre que éste ejerza, mediante una instalación estable en el territorio de dicho Estado miembro, una actividad efectiva y real, aun mínima, en cuyo marco se realice el referido tratamiento.

Para determinar si así ocurre, en circunstancias como las controvertidas en el litigio principal, el órgano jurisdiccional remitente puede tener en cuenta, por un lado, que la actividad del responsable de dicho tratamiento, en cuyo marco éste tiene lugar, consiste en la gestión de sitios de Internet de anuncios de inmuebles situados en el territorio de dicho Estado miembro y redactados en la lengua de ese Estado y que, en consecuencia, se dirige principalmente, incluso íntegramente, a dicho Estado miembro y, por otro lado, que ese responsable dispone de un representante en el referido Estado miembro que se encarga de cobrar los créditos resultantes de dicha actividad y de representarlo en los procedimientos administrativo y judicial relativos al tratamiento de los datos en cuestión.

En cambio, es irrelevante el tema de la nacionalidad de las personas afectadas por dicho tratamiento de datos.

2) En el supuesto de que la autoridad de control de un Estado miembro que entiende de unas denuncias, de conformidad con el artículo 28, apartado 4, de la Directiva 95/46, llegue a la conclusión de que el Derecho aplicable al tratamiento de los datos personales de que se trata no es el Derecho de ese Estado miembro, sino el de otro Estado miembro, el artículo 28, apartados 1, 3 y 6, de esa misma Directiva debe interpretarse en el sentido de que dicha autoridad de control sólo podría ejercer en el territorio de su propio Estado miembro las facultades efectivas de intervención que se le han conferido conforme al artículo 28, apartado 3, de la citada Directiva. Por lo tanto, no puede imponer sanciones basándose en el Derecho de ese Estado miembro al responsable del tratamiento de tales datos que no está establecido en dicho territorio, sino que, con arreglo al artículo 28, apartado 6, de la misma Directiva, debe instar la intervención de la autoridad de control dependiente del Estado miembro cuyo Derecho es aplicable.

3) La Directiva 95/46 debe interpretarse en el sentido de que el concepto de «adatfeldolgozás» (procesamiento de datos), utilizado en la versión húngara de esta Directiva, en particular en sus artículos 4, apartado 1, letra a), y 28, apartado 6, tiene el mismo sentido que el término «adatkezelés» (tratamiento de datos).

Firmas

* Lengua de procedimiento: húngaro.