CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2015:426

CONCLUSIONES DEL ABOGADO GENERAL

PEDRO CRUZ VILLALÓN

presentadas el 25 de junio de 2015 (1)

Asunto C‑230/14

Weltimmo s.r.o.

contra

Nemzeti Adatvédelmi és Információszabadság Hatóság

[Petición de decisión prejudicial planteada por la Kúria (Hungría)]

«Protección de datos de carácter personal — Directiva 95/46/CE — Artículos 4, apartado 1, y 28, apartados 1, 3 y 6 — Responsable del tratamiento de datos establecido en el territorio de otro Estado miembro — Determinación del Derecho aplicable y de la autoridad de control competente — Poderes de la autoridad de control — Poder de sanción — Concepto de “tratamiento de datos”»

1. Las cuestiones prejudiciales planteadas por la Kúria (Tribunal Supremo de Hungría) tienen su origen en un litigio que enfrenta a la Magyar Adatvédelmi és Információszabadság Hatóság (en lo sucesivo, «Autoridad húngara de protección de datos») a una empresa que gestiona una «página web» de intermediación inmobiliaria, registrada en Eslovaquia, en la que se anuncian inmuebles sitos en Hungría.

2. Así expuesto, el presente asunto ofrece de nuevo al Tribunal de Justicia la oportunidad de pronunciarse sobre la determinación del Derecho aplicable al tratamiento de datos con arreglo al artículo 4, apartado 1, letra a), de la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, (2) ya interpretado en la sentencia Google Spain y Google. (3) Adicionalmente, el presente asunto plantea cuestiones inéditas tanto sobre la determinación de la autoridad de control competente como sobre el Derecho nacional aplicable por dicha autoridad y sus poderes de actuación, en particular, en lo que a la facultad de imponer sanciones respecta.

I. Marco normativo

A. Derecho de la Unión

3. La Directiva 95/46 establece distintos criterios para la determinación de la ley aplicable al tratamiento de datos personales. Su considerando 18 señala que, «[…] para evitar que una persona sea excluida de la protección garantizada por la presente Directiva, es necesario que todo tratamiento de datos personales efectuado en la Comunidad respete la legislación de uno de sus Estados miembros; […] a este respecto, resulta conveniente someter el tratamiento de datos efectuado por cualquier persona que actúe bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado».

4. Por otra parte, el considerando 19 de la Directiva 95/46 pone de relieve que […] «el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante al respecto […]». Este mismo considerando señala que «cuando un mismo responsable esté establecido en el territorio de varios Estados miembros, en particular por medio de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a estas actividades».

5. El artículo 4, párrafo 1, de la Directiva 95/46, cuya letra a) es pertinente a los efectos del presente litigio, constituye la norma relativa al derecho aplicable al tratamiento de datos, estableciendo que:

«1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

[…]».

6. El artículo 28, que constituye la disposición relativa a las autoridades de control en materia de protección de datos, dispone lo siguiente en sus apartados 1, 3, 4 y 6:

«1. Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.

[…]

3. La autoridad de control dispondrá, en particular, de:

– poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;

– poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales;

– capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.

Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

4. Toda autoridad de control entenderá de las solicitudes que cualquier persona, o cualquier asociación que la represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud.

Toda autoridad de control entenderá, en particular, de las solicitudes de verificación de la licitud de un tratamiento que le presente cualquier persona cuando sean de aplicación las disposiciones nacionales tomadas en virtud del artículo 13 de la presente Directiva. Dicha persona será informada en todos los casos de que ha tenido lugar una verificación.

[…]

6. Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.

Las autoridades de control cooperarán entre sí en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información que estimen útil.

[…]»

B. Derecho húngaro

7. La Ley CXII de 2011, sobre el derecho de autodeterminación en materia de información y la libertad de información (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011; en lo sucesivo, «Ley Info»), constituye la norma nacional de transposición de la Directiva 95/46.

8. El artículo 2 de la Ley Info establece lo siguiente:

«(1) El ámbito de aplicación de esta Ley comprende todo tratamiento y procesamiento de datos operado en el territorio de Hungría en relación con datos de personas físicas así como con datos de interés público o con datos accesibles por razones de interés público.

(2) Esta Ley resulta aplicable tanto al tratamiento como al procesamiento de datos, operados bien por medios total o parcialmente automáticos, bien manualmente.

(3) Procederá aplicar lo dispuesto por esta Ley cuando el responsable del tratamiento de datos que trata datos personales fuera del territorio de la Unión Europea encomienda el procesamiento de datos a un encargado del procesamiento de datos que tenga en el territorio de Hungría su domicilio social o un establecimiento, sucursal, domicilio privado o residencia, o bien utiliza algún medio situado en este territorio, salvo en caso de que dicho medio se utilice solamente con fines de tránsito por el territorio de la Unión Europea. Tal responsable de tratamiento de datos deberá designar un representante en el territorio de Hungría.»

9. Por su parte, el artículo 3 de la Ley Info establece que, a los efectos de la aplicación de esta Ley, se entenderá por:

«(9) responsable del tratamiento de datos (“adatkezelő”): persona física o jurídica o entidad sin personalidad jurídica que, sola o conjuntamente con otros, determina la finalidad del tratamiento de datos, toma las decisiones sobre dicho tratamiento (incluidos los medios empleados para ello) y las ejecuta por sí mismo o a través de un encargado del procesamiento de datos (“adatfeldolgozó”);

(10) tratamiento de datos (“adatkezelés”): toda operación o conjunto de operaciones realizadas respecto de los datos, cualquiera que sea el procedimiento empleado, en particular la recogida, captación, registro, organización, conservación, modificación, utilización, solicitud, transmisión, publicación, cotejo o interconexión, bloqueo, supresión o destrucción, así como impedir otra utilización de los datos, captar fotografías, sonidos o imágenes, o registrar las características físicas que sirven para la identificación de las personas (por ejemplo, huellas dactilares o de la palma de la mano, muestras de ADN o imagen del iris);

(11) transmisión de datos: la puesta de datos a disposición de un tercero determinado;

[…]

(17) procesamiento de datos (“adatfeldolgozás”): la ejecución de tareas técnicas en relación con las operaciones de tratamiento de datos, cualquiera que sea el método y el medio empleado para realizar las operaciones, así como el lugar en que se desarrollen, siempre que las tareas técnicas se ejecuten en los datos;

(18) encargado del procesamiento de datos (“adatfeldolgozó”): persona física o jurídica o entidad sin personalidad jurídica que, en virtud de un contrato —incluidos los contratos celebrados por imperativo legal—, lleva a cabo el procesamiento de datos;

[…]».

II. Los hechos y el procedimiento en el litigio principal

10. La presente cuestión prejudicial se plantea con ocasión de un recurso de casación promovido ante la Kúria contra la sentencia del Fővárosi Közigazgatási és Munkaügyi Bíróság (Tribunal de lo contencioso-administrativo y de lo social de la capital), en el procedimiento contencioso-administrativo de protección de datos entre la sociedad Weltimmo s.r.o. (en lo sucesivo, «Weltimmo») y la Autoridad húngara de protección de datos.

11. Weltimmo es una sociedad que gestiona una página de Internet de intermediación inmobiliaria, con domicilio social en Eslovaquia. Su actividad consiste en la gestión de la referida página web, la cual publica anuncios de inmuebles situados en Hungría. Dichos anuncios son gratuitos para el anunciante durante el primer mes, trascurrido el cual, el servicio pasa a ser de pago. Un alto número de anunciantes solicitó por correo electrónico la supresión de sus respectivos anuncios así como de sus propios datos personales al no desear pasar, tras el primer mes, a la modalidad de servicio de pago. Weltimmo no dio curso sin embargo a tales demandas, facturando consiguientemente sus servicios. Ante el impago de dichas facturas, Weltimmo procedió a transmitir los datos personales de los anunciantes a empresas de cobro de impagados.

12. En respuesta a las quejas presentadas por los anunciantes, la Autoridad húngara de protección de datos declaró su propia competencia, así como la aplicabilidad de la ley nacional (en virtud del artículo 3, apartado 10, de la Ley Info, la recogida de datos constituye un tratamiento de datos), e impuso una sanción de diez millones de forintos húngaros (HUF). Dicha resolución fue recurrida por Weltimmo ante el tribunal contencioso-administrativo y de lo social de la capital que, si bien no puso en cuestión la competencia de la autoridad de protección de datos ni la ley aplicable, anuló la resolución administrativa por falta de suficiente esclarecimiento de algunos de los hechos alegados.

13. En su recurso de casación, Weltimmo solicita, entre otras cosas, que se declare que no procede un mayor esclarecimiento de los hechos, ya que, conforme al artículo 4, apartado 1, letra a), de la Directiva 95/46, la Autoridad húngara de protección de datos carece de competencia para tramitar un procedimiento y aplicar el Derecho húngaro a un prestador de servicios establecido en otro Estado miembro, señalando particularmente a este respecto que, conforme al artículo 28, apartado 6, de la Directiva 95/46, dicha autoridad debería haber instado a su homóloga eslovaca a que actuara contra la demandante.

14. La Autoridad húngara de protección de datos alega en el procedimiento principal, en orden a fundamentar su competencia y la aplicabilidad de la legislación húngara, que Weltimmo tiene una «persona de contacto húngara» —uno de sus propietarios, de nacionalidad húngara—, quien la ha representado tanto en el procedimiento administrativo como en el proceso judicial nacional. Asimismo, señala que los propietarios de Weltimmo son residentes en Hungría. En todo caso, considera esta autoridad que el artículo 28, apartado 6, de la Directiva 95/46 establece una competencia a su favor, con independencia del Derecho aplicable.

III. Las cuestiones prejudiciales y el procedimiento ante el Tribunal de Justicia

15. En este marco, al considerar que las disposiciones pertinentes de la Directiva 95/46 no son suficientemente claras, la Kúria ha planteado, en su resolución de 22 de abril de 2014, que hizo entrada en el Tribunal de Justicia el 12 de mayo de 2014, las siguientes cuestiones prejudiciales:

«1) ¿Procede interpretar el artículo 28, apartado 1, de la Directiva 95/46 […], en el sentido de que la normativa nacional de un Estado miembro puede aplicarse en su territorio a un responsable de tratamiento de datos establecido exclusivamente en otro Estado miembro, que gestiona una página web de intermediación inmobiliaria y anuncia, entre otros, inmuebles situados en el territorio del primer Estado miembro, habiendo transmitido los propietarios de los inmuebles sus datos personales a un medio (servidor) de almacén y procesamiento de datos que pertenece al gestor de la página web y que está situado en otro Estado miembro?

2) ¿Procede interpretar el artículo 4, apartado 1, letra a), de la Directiva de protección de datos, a la luz de sus considerandos 18 a 20 y de sus artículos 1, apartado 2, y 28, apartado 1, en el sentido de que la [Autoridad húngara de protección de datos] no puede aplicar la ley húngara de protección de datos, como Derecho nacional, a un gestor de una página web de intermediación inmobiliaria establecido exclusivamente en otro Estado miembro, ni aun cuando éste anuncie, entre otros, inmuebles húngaros cuyos propietarios transmitieron, probablemente desde el territorio de Hungría, los datos relativos a sus inmuebles a un medio (servidor) de almacén y procesamiento de datos que pertenece al gestor de la página web y que está situado en otro Estado miembro?

3) ¿Es significativo, a efectos de la interpretación, que el servicio prestado por el responsable de tratamiento de datos que gestiona la página web esté dirigido al territorio de otro Estado miembro?

4) ¿Es significativo, a efectos de la interpretación, que los datos relativos a los inmuebles situados en el territorio del otro Estado miembro y los datos personales de los propietarios se hayan cargado efectivamente desde el territorio de ese otro Estado miembro?

5) ¿Es significativo, a efectos de la interpretación, que los datos personales en relación con dichos inmuebles sean datos personales de ciudadanos de otro Estado miembro?

6) ¿Es significativo, a efectos de la interpretación, que los propietarios de la empresa establecida en Eslovaquia dispongan de domicilio en Hungría?

7) Si de las respuestas dadas a las preguntas anteriores resulta que la Autoridad húngara de protección de datos puede tramitar un procedimiento, pero que no puede aplicar el Derecho nacional, sino que debe aplicar el Derecho del Estado miembro de establecimiento, ¿debe interpretarse el artículo 28, apartado 6, de la Directiva de protección de datos en el sentido de que la Autoridad húngara de protección de datos sólo puede ejercer las facultades establecidas en el artículo 28, apartado 3, de la Directiva de protección de datos de conformidad con lo dispuesto en la normativa del Estado miembro de establecimiento, y que por ello no está facultada para imponer una multa?

8) En la terminología de la Directiva de protección de datos, ¿puede considerarse que el concepto de “adatfeldolgozás” empleado tanto en el artículo 4, apartado 1, letra a), como en el artículo 28, apartado 6, de la [versión húngara de la] Directiva, es idéntico al concepto de “adatkezelés”?»

16. Han presentado observaciones escritas el Gobierno húngaro, el Gobierno eslovaco, el Gobierno del Reino Unido, la Autoridad húngara de protección de datos y la Comisión Europea. Han participado en la vista oral, celebrada 12 de marzo de 2015, el Gobierno húngaro, el Gobierno eslovaco, el Gobierno polaco, la Autoridad húngara de protección de datos y la Comisión Europea.

IV. Análisis

17. Las diversas cuestiones prejudiciales planteadas por la Kúria versan sobre dos problemas que, aunque presentados de manera interrelacionada, merecen una atención diferenciada —como así se refleja también en las observaciones escritas y orales presentadas en el procedimiento ante el Tribunal de Justicia—, a saber, el de la ley aplicable al tratamiento de datos y el de la determinación de la autoridad de control competente. Por esta razón, estructuraré mi razonamiento esencialmente en dos partes. En primer lugar, abordaré la cuestión de la ley aplicable al tratamiento de los datos, y en definitiva, la cuestión del «establecimiento», examinando de manera conjunta las cuestiones primera a sexta. En segundo lugar, examinaré la cuestión de la determinación de la autoridad de control competente y de sus competencias —analizando, asimismo, la cuestión de la posible disociación entre la autoridad de control competente y la ley aplicable— (cuestión séptima). Por último, habré de ocuparme de la cuestión terminológica planteada por la octava de las cuestiones prejudiciales.

A. Sobre la ley aplicable al tratamiento de datos y sobre el concepto de establecimiento (cuestiones prejudiciales primera a sexta)

18. A través de sus cuestiones prejudiciales primera a sexta, que procede examinar conjuntamente, la Kúria desea saber, en esencia, si los artículos 4, apartado 1, letra a), y 28, apartado 1 de la Directiva 95/46, pueden interpretarse en el sentido de que, en unas circunstancias tales como las del litigio principal, permiten la aplicación de la ley húngara de protección de datos, así como que sea la autoridad húngara de protección de datos quien aplique dicha ley a un gestor de una página web establecido exclusivamente en otro Estado miembro. A este respecto, la Kúria pregunta, además, sobre la incidencia de una serie de factores específicos, tales como que los servicios de dicha empresa estén dirigidos al territorio de otro Estado miembro, el lugar desde el cual los datos relativos a los inmuebles han sido cargados, la nacionalidad de los afectados o el hecho de que los propietarios de la empresa dispongan de domicilio en Hungría.

19. La Kúria, en sus dos primeras preguntas, ha hecho referencia tanto al artículo 28, apartado 1, como al artículo 4, apartado 1, letra a), de la Directiva. A efectos, sin embargo, de la respuesta a sus preguntas considero que es perfectamente posible prescindir del análisis del alcance del primero de los preceptos citados. En efecto, el artículo 28, apartado 1, se limita a establecer que «los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva». Considero que esta disposición no es determinante a los efectos del establecimiento de la ley aplicable. En primer lugar, y desde una perspectiva sistemática, el artículo 28 se sitúa en el capítulo VI de la Directiva, destinado a la regulación de las autoridades de control así como del grupo de protección de las personas en lo que respecta al tratamiento de datos personales, y no a la cuestión de la ley aplicable. En segundo lugar, el propio tenor literal del artículo 28, apartado 1, de la Directiva, no ofrece criterio adicional alguno para la determinación de la ley aplicable al tratamiento de los datos. En suma, dicha disposición no contiene ningún elemento cuya interpretación permita conducir a una respuesta diferente a la cuestión de la determinación de la ley aplicable resultante de los criterios establecidos por el artículo 4 de dicha Directiva, que es el que específicamente regula la cuestión de la ley aplicable.

20. Centrándonos ya en el artículo 4, apartado 1, letra a), de la Directiva, conviene comenzar indicando que tanto las observaciones presentadas en la vista oral como las presentadas durante el procedimiento escrito coinciden en señalar la relevancia de esta disposición para responder a las cuestiones relacionadas con la ley aplicable, al igual que la particular importancia de determinar el lugar de establecimiento de Weltimmo.

21. La problemática de la ley aplicable en situaciones transfronterizas de tratamiento de datos constituye una cuestión controvertida desde hace décadas en el ámbito internacional. (4) El artículo 4 de la Directiva, destinado a la determinación del Derecho nacional aplicable, ha venido a ser la primera norma que ha conseguido establecer una regla de determinación de Derecho aplicable a este respecto. (5) Dicha disposición establece distintos criterios para determinar si el Derecho nacional aprobado para la transposición de la Directiva es aplicable, estableciendo así, de manera indirecta (a través del señalamiento de la aplicabilidad de dichas normas nacionales), el ámbito de aplicación territorial de la propia Directiva.

22. De particular significado para las situaciones en las que es relevante la cuestión de la ley aplicable entre Estados miembros de la Unión es, pues, el artículo 4, apartado 1, letra a), de la Directiva 95/46, que establece que «los Estados miembros aplicarán las disposiciones nacionales que haya[n] ^[(6)^] aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando: a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro».

23. El artículo 4, apartado 1, letra a), desempeña así una doble función. Por una parte, posibilita la aplicación del Derecho de la Unión a través del Derecho de uno de sus Estados miembros cuando el tratamiento de datos tiene exclusivamente lugar «en el marco» de las actividades de un establecimiento sito en ellos, y ello por más que el tratamiento de datos «propiamente dicho» se efectúe en un tercer Estado (cual era el caso en el asunto Google Spain y Google) (7). Por otra parte, dicha disposición funciona como la norma que determina la ley aplicable entre Estados miembros (que es la cuestión aquí debatida). En esta segunda situación, el artículo 4, apartado 1, letra a), de la Directiva constituye la disposición que determina la ley aplicable en tanto que norma de conflicto entre las legislaciones de los distintos Estados miembros.

24. A este respecto, ha de ponerse de relieve que la jurisdicción nacional formula sus cuestiones en relación con un gestor de una página de Internet dedicada a anuncios inmobiliarios que está exclusivamente establecido en otro Estado Miembro —afirmación que es rebatida por la Autoridad de control húngara—. El Reino Unido considera evidente que ha de estimarse que la ley aplicable en el presente asunto debe ser la del Estado miembro de establecimiento, en este caso, Eslovaquia, estando la autoridad húngara privada de la posibilidad de aplicar las normas de su propio Derecho nacional. En la misma línea, la Comisión subraya la circunstancia de que, con independencia de que pudiera aceptarse la aplicación de la ley húngara si se estimase que la demandante está también establecida en territorio húngaro, la Kúria ha señalado que la empresa está en este caso exclusivamente establecida en otro Estado miembro.

25. A este respecto, y más allá de la estimación fáctica inserta en el tenor de las cuestiones prejudiciales relativa al efectivo lugar del establecimiento, las preguntas tercera a sexta planteadas por la Kúria permiten adivinar cierta incertidumbre por parte de la jurisdicción de remisión en relación con la noción de establecimiento, en el sentido de la Directiva, en tanto que noción acaso no puramente formal. Por esta razón, estimo que una respuesta útil a las preguntas primera a sexta exige determinar los criterios que permitan concluir si existe un tratamiento de datos que se ha efectuado «en el marco de las actividades de un establecimiento del responsable del tratamiento» en territorio húngaro, en el sentido del artículo 4, párrafo 1, letra a) de la Directiva.

26. Para determinar, pues, en el presente asunto, si la legislación aplicable es la húngara o, por el contrario, la eslovaca, resultaría preciso desarrollar un examen en dos etapas, siguiendo el método adoptado en la sentencia Google Spain y Google. (8) Así, procedería, en primer lugar, dilucidar si Weltimmo disponía de un establecimiento en el territorio de Hungría y, en segundo lugar, si el tratamiento de datos se ha producido en el ámbito de las actividades de dicho establecimiento. No obstante, ha de señalarse que, en las circunstancias del presente asunto, y a diferencia de las que subyacían al asunto Google Spain y Google, no resulta controvertida la cuestión relativa a si el tratamiento de los datos se ha producido en el «marco de las actividades de un establecimiento». La cuestión determinante es propiamente la de la existencia o no de un establecimiento en Hungría y/o en Eslovaquia. Por lo tanto, mi análisis se centrará, fundamentalmente, en esta primera etapa de análisis.

27. Sobre esta cuestión, el Gobierno húngaro ha señalado en sus observaciones escritas que las diferentes versiones lingüísticas de esta disposición apoyan una interpretación de la noción de establecimiento que pudiera no contentarse con la mera referencia al establecimiento en el sentido del Derecho de sociedades. El Gobierno eslovaco, apuntando igualmente a una concepción no formalista de la noción de establecimiento, señala que es pertinente, en este contexto, referirse a la jurisprudencia del Tribunal de Justicia relativa a la libertad de establecimiento. Asimismo, la Autoridad húngara de protección de datos aboga por una concepción de la noción de establecimiento en la cual no sea determinante la forma jurídica, y señala que el establecimiento puede estar constituido por el representante en Hungría de Weltimmo, el Sr. Benkö, en el caso. Esta persona, en efecto, ha representado a dicha empresa en el procedimiento administrativo y contencioso en primera instancia, ha estado en contacto con los afectados que presentaron las quejas y figura inscrito en el registro de sociedades eslovaco con una dirección en Hungría. Además, la Autoridad puso de relieve en la vista oral que Weltimmo cuenta con un apartado de correos en Hungría para la gestión de sus negocios corrientes y que, tras una consulta informal con la Autoridad eslovaca de protección de datos, ésta le confirmó la ausencia de actividad efectiva en Eslovaquia por parte de la empresa. Únicamente el Gobierno polaco ha hecho hincapié, en sus observaciones presentadas en la vista oral, en la necesidad de que sea exclusivamente tenido en cuenta el registro de la sociedad en un Estado miembro en tanto que único elemento objetivo y verificable.

28. Dicho esto, resulta de obligada referencia el considerando 19 de la Directiva 95/46, que constituye un elemento interpretativo fundamental para determinar el contenido de la noción de establecimiento, en el sentido de esta misma Directiva. El referido considerando apunta, en efecto, a una concepción flexible de la noción, apartándose de un enfoque formalista, en virtud del cual una empresa estaría establecida únicamente en el lugar en el cual se encuentre registrada. Así, en primer lugar, dicho considerando incorpora un criterio de efectividad y un elemento de permanencia al señalar que «el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable […]». En segundo lugar, ofrece una considerable flexibilidad al determinar que «la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante al respecto».

29. Esta concepción de la noción de establecimiento está en línea con la interpretación que dicho concepto ha recibido por la jurisprudencia del Tribunal de Justicia en otras esferas del Derecho de la Unión. Particularmente, según jurisprudencia reiterada, «el concepto de establecimiento, en el sentido de las disposiciones del Tratado relativas a la libertad de establecimiento, implica el ejercicio efectivo de una actividad económica por medio de una instalación permanente en dicho Estado por una duración indeterminada», (9) lo que «supone una implantación real de la sociedad de que se trate en el Estado miembro de acogida y el ejercicio de una actividad económica efectiva en éste». (10)

30. Por otra parte, el Dictamen 8/2010 del Grupo de Protección de Datos del Artículo 29 (en lo sucesivo, «Grupo del artículo 29»), (11) se refiere a la interpretación de la noción de establecimiento en tanto que criterio de conexión a efectos fiscales en materia de IVA. (12) La jurisprudencia del Tribunal en esta materia resulta particularmente interesante —al actuar la noción de establecimiento como criterio de conexión para determinar la sujeción a una legislación fiscal nacional—, y profundiza en la noción de establecimiento permanente, el cual «[…] debe caracterizarse por un grado suficiente de permanencia y una estructura adecuada en términos de medios humanos y técnicos que le permitan recibir y utilizar los servicios que le sean prestados para las necesidades propias de dicho establecimiento». (13) Adicionalmente, la noción de establecimiento presente tanto en el ámbito del Convenio de Roma, (14) como en el Convenio de Bruselas (15) aboga igualmente por una concepción no formalista. (16)

31. Con independencia de la obvia divergencia de contextos y objetivos entre los ámbitos en los que se inserta la jurisprudencia del Tribunal en las materias a las que se acaba de hacer referencia y el asunto que nos ocupa, resulta en todo caso significativo que el Derecho de la Unión, en distintos ámbitos, haga hincapié en una concepción de la noción de establecimiento basada en la efectividad del ejercicio de las actividades económicas y en un grado cierto de estabilidad, coincidiendo así con las indicaciones que se reflejan asimismo en el considerando 19 de la Directiva 95/46.

32. Por otra parte, teniendo en cuenta el objeto específico de la Directiva 95/46, tal y como queda recogido en su artículo 1, apartado 1, de «garantizar la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad en lo que respecta al tratamiento de los datos personales», considero que procede interpretar tanto el grado de estabilidad de la instalación como la efectividad del desarrollo de las actividades tomando en consideración la naturaleza específica de las actividades económicas y de las prestaciones de servicios en cuestión.

33. Así, tal y como señalan la Autoridad húngara de protección de datos y el Gobierno eslovaco, y siguiendo asimismo los criterios ofrecidos por el Grupo del artículo 29, (17) un único agente bastaría para considerar que se está en presencia de una instalación estable si el mismo actúa con un grado de estabilidad suficiente a través de la presencia de los medios necesarios para la prestación de los servicios concretos de los que se trate en el Estado miembro en cuestión.

34. En efecto, tal y como señaló el Abogado General Jääskinen en sus conclusiones en el asunto Google Spain y Google, el modelo de negocios del actor en cuestión debe tenerse en cuenta en la apreciación de las condiciones del artículo 4 de la Directiva 95/46. (18) Por ello, es necesario aquí apreciar la particularidad de las empresas que operan exclusivamente a través de Internet, cuyo modelo de negocio relativiza la noción de instalación física permanente, condicionando también la intensidad de los medios tanto humanos como materiales. En efecto, en determinadas circunstancias, un agente con presencia duradera equipado con poco más que un ordenador portátil, puede constituir una estructura suficiente de cara a poder desempeñar una actividad efectiva, real y con un grado suficiente de estabilidad. A la luz de estas consideraciones, se hace necesario, a la hora de valorar dichos medios humanos y técnicos, considerar con cuidado las especificidades de las empresas que se dedican a ofrecer servicios a través de Internet, atendiendo a las particularidades de cada situación concreta.

35. La especificidad de las actividades económicas prestadas a través de Internet ha sido ya, en efecto, tomada en consideración a los efectos de determinar el contenido de la noción de establecimiento en otros instrumentos de Derecho de la Unión. En particular, la Directiva sobre el comercio electrónico (19) establece en su considerando 19 que «[…] cuando se trata de una sociedad que proporciona servicios mediante un sitio Internet, [el] lugar de establecimiento no se encuentra allí donde está la tecnología que mantiene el sitio ni allí donde se puede acceder al sitio, sino el lugar donde se desarrolla la actividad económica». Esta definición ha sido considerada pertinente por el Grupo del artículo 29 a los efectos de interpretar el artículo 4 de la Directiva 95/46. (20)

36. Atendiendo a estas consideraciones, puede concluirse que, sin poner en discusión que Weltimmo es una sociedad formalmente inscrita en Eslovaquia, no cabe excluir que dicha sociedad ejerza efectiva y realmente su actividad en el territorio de otro Estado, en el presente caso, Hungría, a través de una instalación estable —que puede venir dada por un único agente—. Si este fuera el caso, Weltimmo contaría con un establecimiento en Hungría, en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46.

37. Los diversos factores adicionales señalados por la Kúria en sus cuestiones prejudiciales —el lugar desde dónde se han cargado los datos, el Estado miembro al que estén dirigidos los servicios, la nacionalidad de los afectados o el lugar de residencia de los propietarios de la empresa— no tienen, a este respecto, una incidencia directa y determinante en la fijación del derecho aplicable. (21) En efecto, dichos elementos no figuran en la Directiva en tanto que criterios pertinentes que permitieran apartarse del criterio establecido por el artículo 4, apartado 1, letra a). (22)

38. No obstante lo anterior, varios de tales factores podrían constituir, en determinadas circunstancias, indicios del carácter real y efectivo de la actividad —a los efectos de determinar el lugar de establecimiento— y, en particular, a la hora de determinar si el tratamiento de datos ha tenido lugar en el marco de las operaciones de un establecimiento del responsable del tratamiento.

39. Así, en particular, en relación con el segundo de los elementos —que el tratamiento de datos se efectúe en el marco de las actividades del establecimiento situado en un Estado miembro—, procede referirse a la interpretación fijada por la sentencia Google Spain y Google. (23) Con arreglo a la misma, el artículo 4, apartado 1, letra a), de la Directiva 95/46 «no exige que el tratamiento de datos personales controvertido sea efectuado “por” el propio establecimiento en cuestión, sino que se realice “en el marco de las actividades” de éste». (24) Además —continúa el Tribunal—, atendiendo al objetivo de la Directiva «esta expresión no puede ser objeto de una interpretación restrictiva». (25)

40. La aplicación de este segundo criterio resulta de particular relevancia para el caso de que la jurisdicción de reenvío estime que Weltimmo se encuentra establecido —en aplicación de los criterios previamente enunciados— en los dos Estados miembros en cuestión. En este caso, tal y como ponen de relieve en sus observaciones escritas el Gobierno eslovaco y la Comisión, habrá de atenderse precisamente a las actividades en el marco de las cuales se ha realizado el tratamiento y, en particular, a su grado de conexión con un establecimiento en particular. (26) Asimismo, otros elementos determinantes a este respecto han sido apuntados por el Grupo del artículo 29 en relación con los motores de búsqueda, pudiendo resultar de utilidad para la determinación de si las actividades se sitúan en el contexto del establecimiento: el hecho de que el establecimiento sea responsable de las relaciones con los usuarios; que participe en la venta de publicidad orientada a los habitantes de este Estado o que responda ante las autoridades competentes de un Estado miembro respecto a los datos de los usuarios. (27)

41. En definitiva, para determinar, en el presente asunto, si el Derecho húngaro puede ser aplicable a la actividad de Weltimmo en Hungría, habría que constatar si Weltimmo dispone de un establecimiento en dicho Estado miembro, en el ámbito de cuyas actividades se ha efectuado el tratamiento de datos controvertido. Para ello, habría que determinar si el agente al que se refiere la resolución de remisión dispone de una instalación estable, independientemente de su forma jurídica, a través de la cual desempeña el ejercicio efectivo y real de una actividad, en cuyo marco se haya desarrollado el tratamiento de datos controvertido.

42. En conclusión, considero que procede responder conjuntamente a las cuestiones primera a sexta de la Kúria en el sentido de que el artículo 4, apartado 1, letra a) de la Directiva 95/46, impide que la Autoridad húngara de protección de datos pueda aplicar la ley húngara a un responsable de tratamiento de datos establecido exclusivamente en otro Estado miembro. A estos efectos, la noción de establecimiento ha de interpretarse como la existencia de una instalación estable, independientemente de su forma jurídica, a través de la cual desempeña el ejercicio efectivo y real de una actividad. Un único agente puede ser considerado como una instalación estable si presenta un grado de estabilidad suficiente a través de la presencia de medios humanos y técnicos necesarios para la prestación de los servicios concretos de los que se trate.

Otros elementos, tales como el lugar desde donde se han cargado los datos, la nacionalidad de los afectados, el domicilio de los propietarios de la empresa responsable del tratamiento de datos, o el hecho de que el servicio prestado por dicho responsable esté dirigido al territorio de otro Estado miembro, carecen de relevancia directa y determinante para la fijación de la ley aplicable, con independencia de que puedan constituir indicios del carácter real y efectivo de la actividad —a los efectos de determinar el lugar de establecimiento— y, en particular, a la hora de determinar si el tratamiento de datos ha tenido lugar en el marco de las operaciones de dicho establecimiento.

B. Sobre la autoridad de control competente y la posible disociación entre derecho aplicable y autoridad competente (séptima cuestión prejudicial)

43. Por medio de la séptima cuestión prejudicial la Kúria pregunta al Tribunal de Justicia, «en el supuesto de que de las respuestas dadas a las preguntas anteriores resulte que la Autoridad húngara de protección de datos puede tramitar un procedimiento, pero que no puede aplicar el Derecho nacional, sino que debe aplicar el Derecho del Estado miembro de establecimiento, [si] debe interpretarse el artículo 28, apartado 6, de la Directiva en el sentido de que la Autoridad húngara de protección de datos sólo puede ejercer las facultades establecidas en el artículo 28, apartado 3, de conformidad con lo dispuesto en la normativa del Estado miembro de establecimiento, y que, por ello, no está facultada para imponer una multa».

44. Como se ve, esta cuestión prejudicial resulta únicamente determinante para el caso de que la jurisdicción de reenvío considere que, de conformidad con los criterios previamente enunciados, Weltimmo no dispone de un establecimiento en Hungría, sino que está exclusivamente establecida en Eslovaquia. Para poder dar una respuesta útil a la presente cuestión prejudicial es preciso contemplar, por lo tanto, y con carácter previo —ya que ello no resulta expresamente de la respuesta dada a las cuestiones anteriores— la posibilidad de que una autoridad de control de un Estado miembro pueda actuar incluso cuando, en función de los criterios del artículo 4, apartado 1, letra a), de la Directiva, resulte aplicable el Derecho de otro Estado miembro. Una respuesta positiva a esta cuestión conduciría, en segundo término, a la necesidad de determinar la amplitud y el contenido de las competencias de dicha autoridad.

45. Con carácter preliminar se plantea, por lo tanto, el interrogante de si el artículo 4, relativo a la ley aplicable constituye, además de una cláusula de determinación de la ley aplicable, una cláusula de jurisdicción y, en su caso, el valor de las precisiones aportadas por el artículo 28 en relación con la competencia de las autoridades públicas. Y todo ello, en la tesitura de una reforma de envergadura del Derecho de la Unión en materia de protección de datos. (28)

46. Las observaciones presentadas ante el Tribunal de Justicia avanzan distintas interpretaciones de los apartados 1, 3 y 6 del artículo 28 de la Directiva. Así, la Autoridad húngara de protección de datos sostiene su propia competencia para imponer una sanción pecuniaria incluso cuando fuese aplicable la legislación de otro Estado miembro. En este mismo sentido se pronuncia también el Gobierno húngaro, según el cual resulta evidente que las modalidades del estatuto y del procedimiento para el ejercicio de las competencias de las autoridades de control enunciadas en el artículo 28, apartado 3, de la Directiva, quedarían regidas por el Derecho nacional del Estado en el que dicha autoridad tiene su sede, con la consecuencia de que la imposición de sanciones deberá llevarse a cabo conforme a su propio Derecho nacional.

47. Por su parte, la Comisión considera que las autoridades de control de un Estado miembro tienen el derecho de ejercer las competencias enumeradas en el artículo 28, apartado 3, de la Directiva, en tanto en cuanto puedan ejercerlas en su propio territorio, conforme al artículo 28, apartados 1 y 6. Por el contrario, si una competencia únicamente pudiera ser ejercida en el territorio de otro Estado miembro, esta autoridad no tendría otra opción que la de solicitar la cooperación administrativa de la autoridad de control de dicho Estado miembro. La autoridad de control del primer Estado miembro no podría pues infligir una sanción a un responsable del tratamiento establecido exclusivamente en otro Estado miembro. En el mismo sentido, el Gobierno eslovaco considera que, si fuese aplicable el Derecho eslovaco, la Autoridad húngara de protección de datos tendría la competencia, en aplicación del artículo 28, apartados 3 y 6, de llevar a cabo una investigación y de examinar las quejas interpuestas ante ella, actuando según sus propias reglas de procedimiento, pero debería dirigir una demanda de cooperación a la autoridad del Estado miembro cuya ley es aplicable, ya que sería esta autoridad de control la que debería pronunciarse sobre la eventual imposición de una sanción. Polonia subraya que la posibilidad de aplicar el Derecho material de un Estado miembro por las autoridades de otro no está prevista por la Directiva, aduciendo que si el legislador hubiese deseado prever tal ambiciosa posibilidad, la misma contendría disposiciones precisas definiendo su ámbito de aplicación. Por último, el Gobierno del Reino Unido estima que, teniendo en cuenta que el Derecho eslovaco es aplicable, la Autoridad húngara de protección de datos carece de competencia.

48. Llama la atención, a la vista de lo anterior, la división de posiciones en las observaciones presentadas, de las cuales, únicamente las del Reino Unido y Polonia parecen asumir una absoluta necesidad de coherencia entre el Derecho aplicable y la jurisdicción de la autoridad de control —de tal forma que la determinación del Derecho aplicable conforme al artículo 4, apartado 1, letra b), de la Directiva, determinaría también la autoridad de control competente. (29)

49. Como argumentaré a continuación, considero que la compleja cuestión que nos ocupa ha de resolverse tratando de conciliar los objetivos particulares de la Directiva y los principios que rigen la actuación de las autoridades administrativas de control.

50. A la problemática planteada por esta cuestión prejudicial subyace una cuestión de fondo de envergadura, como es la de si cabe admitir que la Directiva mitigue o incluso derogue la validez de la regla según la cual las autoridades administrativas de un Estado, en principio, actúan conforme a y aplican su Derecho propio nacional. En efecto, en relación con la competencia de las autoridades públicas, y tratándose por tanto del ejercicio de potestades de Derecho público, en particular, del ius puniendi, resulta imperativo partir de las exigencias derivadas de la soberanía territorial del Estado, (30) del principio de legalidad y, en definitiva, de la noción del Estado de Derecho, (31) las cuales impondrían la necesidad de coincidencia entre la jurisdicción de la autoridad de control con la ley aplicable. (32) En este sentido, el ejercicio de la potestad sancionadora —que es la que específicamente nos ocupa en el presente asunto— no puede tener lugar, como regla de principio, fuera de los límites legales dentro de los cuales una autoridad administrativa está autorizada para actuar sujeta a su Derecho nacional. (33) Una separación de dicha regla parece requerir, cuanto menos, un fundamento legal específico que autorice y delimite la aplicación del Derecho público de otro Estado miembro, y que además haga posible, con precisión y claridad, que los sujetos de derecho puedan prever a qué Derecho se encuentra sometida su conducta, así como sus consecuencias. (34)

51. En coherencia con lo más arriba señalado, no considero que el artículo 28, apartado 6, primera frase, cuyo tenor literal dispone que «toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo», constituya una disposición suficiente para abocar a tan relevante consecuencia. (35) Dicha disposición no establece, en efecto, especificación alguna en cuanto al ámbito de aplicación, alcance y garantías que pudieran posibilitar una aplicación por parte de las autoridades administrativas de un Estado miembro de las disposiciones —en particular, sancionadoras— de otro.

52. El artículo 28, apartado 1, de la Directiva tampoco constituye, a mi parecer, un fundamento legal suficiente de esta pretensión con base en la mera circunstancia, alegada por el Gobierno húngaro y la Autoridad húngara de protección de datos, de que esta disposición utiliza el plural al establecer que «los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.» (36)

53. No obstante lo anterior, estas disposiciones apuntan a la posibilidad de que se produzca una cierta disociación entre la autoridad competente y el Derecho aplicable. En todo caso, admiten la posibilidad de que la autoridad de un Estado miembro vigile las actividades ejercidas en su territorio incluso cuando resulte aplicable la legislación de otro Estado miembro.

54. Llegado a este punto, considero posible conciliar una interpretación del artículo 28, apartados 1, 3 y 6, con los principios básicos que rigen el ejercicio de la potestad administrativa sancionadora. Ello se vería facilitado por una consideración conjunta de la primera frase del primer párrafo del apartado 6 del artículo 28, con la segunda frase del mismo párrafo —que estima que la autoridad que ejerce los poderes en el territorio de su propio Estado miembro «podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro»—, y con el segundo párrafo de la misma disposición —que establece que «las autoridades de control cooperarán entre sí en la medida necesaria para el cumplimiento de sus funciones […]»—.

55. En este sentido, la posibilidad de actuación que brinda el artículo 28, apartado 6, a las autoridades de control incluso cuando el Derecho de su Estado miembro no resulta aplicable ha de ser objeto de una interpretación sistemática que tome en consideración tanto la existencia de un mandato claro de cooperación entre autoridades administrativas, como la circunstancia de que una autoridad pueda ser instada a ejercer sus poderes por parte de otra. Una apreciación de conjunto de esta disposición apunta, en efecto, a una división de tareas entre las distintas autoridades de control, en un marco de cooperación y asistencia mutua.

56. El hecho de que la legislación aplicable resulte ser la de un Estado miembro no priva a las autoridades de control de otros Estados miembros de sus posibilidades de actuar, en particular, teniendo en cuenta que, en determinadas situaciones, a pesar de que sea aplicable el Derecho de otro Estado miembro conforme al criterio del artículo 4, apartado 1, letra a), de la Directiva, pueden existir muchos otros elementos de conexión con el territorio —tales como los medios técnicos o, en particular, las personas afectadas por el tratamiento de datos—. Todo ello haría necesario, a los efectos de la efectiva aplicación de la Directiva, que la autoridad local pueda investigar y adoptar ciertas medidas, y ello incluso antes de que haya podido determinarse cuál es el Derecho aplicable.

57. Dicho más concretamente, una autoridad de control instada a actuar a través de una reclamación o petición individual presentada ante ella, ha de poder activar sus capacidades de instrucción en su propio territorio. Esto resulta indubitado a la luz del artículo 28, apartado 4, de la Directiva, —que establece la obligación de las autoridades de control de entender de las solicitudes que cualquier persona les presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales—. Al mismo tiempo, esta apreciación está en consonancia con lo dispuesto por el Convenio 108 del Consejo de Europa de 1981, sobre la protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal, (37) cuyo artículo 14 prevé que, si una persona residiese en el territorio de otra Parte contratante, «deberá tener la facultad de presentar su demanda por intermedio de la autoridad designada por esa Parte».

58. Este modo de proceder puede dar ya respuesta suficiente a la preocupación manifestada por el Gobierno húngaro durante la vista oral, al señalar que, de no disponer de competencia la Autoridad húngara de protección de datos, la efectividad de los remedios establecidos por la Directiva quedaría menoscabada si los interesados fueran obligados a dirigirse a autoridades extranjeras en idiomas que desconocen.

59. En definitiva, las autoridades de control, independientemente del Derecho sustantivo aplicable que en su caso proceda, disponen de las competencias de investigación y de intervención enunciadas por el apartado 3 del artículo 28 de la Directiva, pero únicamente reguladas por su Derecho nacional, en su ámbito de actuación territorial,(38) y en consideración del respeto a los principios señalados en el apartado 50 de las presentes conclusiones.

60. Así, es obvio que la capacidad de actuación de la autoridad de control de un Estado miembro cuando resulte aplicable la ley sustantiva de otro Estado miembro no es ilimitada. En este punto, ha de señalarse que sigue siendo válido el principio según el cual, en el ejercicio de sus competencias, la autoridad de control estará vinculada por los límites que le impone su condición de sujeto de Derecho público sometido a la ley de su propio Estado miembro, y que únicamente podrá desarrollar las competencias en su propio territorio. En particular, la eventual estimación del ilícito y la igualmente eventual imposición de sanciones por las infracciones derivadas de la ilicitud del tratamiento de los datos habrán de llevarse a cabo inevitablemente por la autoridad del Estado miembro cuyo Derecho material es aplicable al tratamiento de datos, de acuerdo con el criterio del artículo 4, apartado 1, letra a), de la Directiva.

61. Por lo tanto, si bien nada impide que el poder de imponer sanciones pueda ser considerado como uno de los poderes a los que se refiere el artículo 28, apartado 3, de la Directiva (cuyo tercer punto se refiere a la «capacidad procesal en caso de infracciones» de las autoridades de control), atendiendo a la obligación de cooperación establecida en el artículo 28, apartado 6, de la Directiva, deberá instarse a la autoridad del Estado miembro cuya ley es aplicable al tratamiento de los datos para proceder a la eventual determinación de la infracción de conformidad con la ley aplicable así como a la eventual imposición de sanciones, sobre la base de las informaciones recabadas, y en su caso transmitidas, por la autoridad del primer Estado miembro.

62. Esta interpretación no contradice el parecer expresado en distintos documentos por el Grupo del artículo 29. En primer lugar, tal y como pone de relieve su Dictamen 8/2010, sobre el Derecho aplicable, el propósito del artículo 28, apartado 6, es precisamente el de «colmar la posible diferencia entre Derecho aplicable y competencia de la autoridad de control que puede presentarse en el campo de la protección de datos dentro del mercado interior.» (39) A estos efectos, si bien dicho Dictamen manifiesta expresamente que «[…] cuando es aplicable el Derecho de protección de datos de otro Estado miembro, la autoridad de control estará en condiciones de ejercer en su territorio todos los poderes que se le atribuyan por su sistema jurídico nacional», expresa asimismo dudas importantes en relación con la extensión de las competencias de las autoridades de control en este ámbito. (40) En efecto, como fruto de las reflexiones posteriores del Grupo del artículo 29, a instancias de la Comisión, éste ha especificado su posición en relación con la cuestión de la disociación entre Derecho aplicable y jurisdicción en su informe sobre la implementación práctica del artículo 28, apartado 6. (41) En una situación fáctica de disociación, el Grupo concluye que la autoridad tendrá que aplicar las disposiciones procedimentales y administrativas de su propio sistema jurídico, mientras que los aspectos materiales de la protección de datos corresponderán al Estado miembro cuya legislación es aplicable. (42)

63. Las consideraciones anteriores se insertan en un contexto jurídico particular en el que el instrumento de intervención del Derecho de la Unión es una Directiva, lo que ha permitido el mantenimiento de una latitud considerable por parte de las legislaciones de los Estados miembros en lo que se refiere singularmente a la regulación y las posibilidades de sanción por parte de las Autoridades de control. (43) Así, sería difícilmente conciliable con las exigencias de los principios de soberanía territorial y de legalidad, en ausencia de un fundamento legal claro y de garantías que aseguren la estrecha cooperación en la interpretación de las infracciones y la equivalencia de las sanciones, (44) que la disociación entre autoridad competente y Derecho aplicable condujese, ya fuera a la imposición de sanciones de acuerdo con el Derecho del Estado de la autoridad de control local —que pueden no estar previstas en el ordenamiento jurídico del Estado cuya legislación resulta aplicable al tratamiento de datos—, ya fuera a la aplicación por parte de una autoridad local del derecho sancionador de otro Estado miembro.

64. Por fin, no conduce a una conclusión diferente la invocación de la aplicación analógica de la sentencia del Tribunal de Justicia en el asunto UPC DTH, (45) instada por el Gobierno húngaro y por la Autoridad de control húngara para justificar la competencia de esta última para la imposición de sanciones en el caso que nos ocupa. En esta sentencia, relativa a la interpretación de determinados instrumentos del marco regulador de las comunicaciones electrónicas, (46) el Tribunal de Justicia declaró que «los procedimientos de vigilancia relativos a los servicios de comunicaciones electrónicas […] son competencia de las autoridades del Estado miembro en el que residan los destinatarios de los citados servicios». (47)

65. En respuesta a dicho alegato, baste señalar que, con independencia de que dicha interpretación se refiriese a una situación de libre prestación de servicios y estuviera circunscrita a un marco jurídico cuyos objetivos y estructura difieren marcadamente del que nos ocupa en el presente asunto, de forma más relevante, es el caso que estas consideraciones se pronunciaron en una situación en la que no existía discusión sobre el Derecho aplicable. (48)

66. Por todas estas razones, en el estado actual del Derecho de la Unión, considero que la séptima de las cuestiones prejudiciales planteadas por la Kúria debe responderse en los términos siguientes:

En el caso de que la jurisdicción nacional determine que no resulta aplicable su Derecho nacional, de acuerdo con el criterio establecido en el artículo 4, apartado 1, letra a), de la Directiva 95/46, el artículo 28, apartado 6, de dicha Directiva ha de interpretarse en el sentido de que la imposición de sanciones por las infracciones relacionadas con el tratamiento de los datos corresponde a la autoridad de control del Estado miembro cuyo Derecho es aplicable, con independencia de qué autoridad de control local pueda ejercer el conjunto de las facultades enumeradas en el artículo 28, apartado 3, en su territorio, y según las modalidades definidas en su derecho nacional.

C. Sobre la noción de «tratamiento» de datos (octava cuestión prejudicial)

67. En su octava cuestión prejudicial la jurisdicción de reenvío pregunta al Tribunal de Justicia lo siguiente: «En la terminología de la Directiva de protección de datos, ¿puede considerarse que el concepto de “adatfeldolgozás” empleado tanto en el artículo 4, apartado 1, letra a), como en el artículo 28, apartado 6, de la [versión húngara de la] Directiva, es idéntico al concepto de “adatkezelés”?»

68. Todas las observaciones presentadas ante el Tribunal de Justicia coinciden en concluir la ausencia de incidencia de la distinción terminológica apuntada por la resolución de remisión.

69. La Directiva 95/46 utiliza de manera sistemática en sus disposiciones únicamente el término «[adat]feldolgozás» para referirse a la noción de tratamiento de datos, tal y como queda definida en el artículo 2, letra b), de la Directiva. Es únicamente en la Ley Info donde aparece la disociación entre las nociones de «adatkezelés» y «adatfeldolgozás», (49) definiendo este último término como «la ejecución de tareas técnicas en relación con las operaciones de tratamiento de datos […]». (50)

70. Pues bien, la definición de la noción de «[adat]feldolgozás» contenida en el artículo 2, letra b), de la Directiva, y empleada tanto en el artículo 4, apartado 1, letra a), como en el artículo 28, apartado 6, es muy amplia e incluye cualquier operación aplicada a datos personales, realizada o no a través de procedimientos automatizados. Así, esta noción amplia de tratamiento incluiría la noción más limitada de la ejecución de tareas técnicas en relación con las operaciones de tratamiento de datos.

71. Por esta razón, propongo al Tribunal de Justicia responder a la octava cuestión prejudicial de la siguiente forma:

El concepto de «adatfeldolgozás» empleado en los artículos 4, apartado 1, letra a), y 28, apartado 6, de la versión húngara de la Directiva 95/46, ha de ser interpretado en el sentido de que incluye tanto el tratamiento de datos en sentido amplio, como la ejecución de tareas técnicas realizadas en relación con las operaciones de tratamiento de datos.

V. Conclusión

72. A la vista de los argumentos expuestos, propongo al Tribunal de Justicia que responda del siguiente modo a las preguntas planteadas por la Kúria:

«1) El artículo 4, apartado 1, letra a), de la Directiva 95/46, impide que la Autoridad húngara de protección de datos pueda aplicar la ley húngara a un responsable de tratamiento de datos establecido exclusivamente en otro Estado miembro. A estos efectos, la noción de establecimiento ha de interpretarse como la existencia de una instalación estable, independientemente de su forma jurídica, a través de la cual desempeña el ejercicio efectivo y real de una actividad. Un único agente puede ser considerado como una instalación estable si presenta un grado de estabilidad suficiente a través de la presencia de medios humanos y técnicos necesarios para la prestación de los servicios concretos de los que se trate.

2) En el caso de que la jurisdicción nacional determine que no resulta aplicable su Derecho nacional, de acuerdo con el criterio establecido en el artículo 4, apartado 1, letra a), de la Directiva 95/46, el artículo 28, apartado 6, de dicha Directiva ha de interpretarse en el sentido de que la imposición de sanciones por las infracciones relacionadas con el tratamiento de los datos corresponde a la autoridad de control del Estado miembro cuyo Derecho es aplicable, con independencia de qué autoridad de control local pueda ejercer el conjunto de las facultades enumeradas en el artículo 28, apartado 3, en su territorio, y según las modalidades definidas en su derecho nacional.

3) El concepto de “adatfeldolgozás” empleado en los artículos 4, apartado 1, letra a), y 28, apartado 6, de la versión húngara de la Directiva 95/46, ha de ser interpretado en el sentido de que incluye tanto el tratamiento de datos en sentido amplio, como las tareas técnicas realizadas en relación con las operaciones de tratamiento de datos.»

1 – Lengua original: español.

2 – Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (DO L 281, p. 31).

3 – C‑131/12, EU:C:2014:317.

4 – Véase, por todos, Rigaux, F. «La loi applicable à la protection des individus à l’égard du traitement automatisé des données à caractère personnel», Revue critique de droit international privé, 1980, pp. 443 a 478.

5 – Bygrave, L., «Determining applicable law pursuant to European Data Protection Legislation», Computer Law and Security Report, nº 16, 2000, p. 252.

6 – Existe un pequeño error en la traducción española de esta disposición en tanto en cuanto el verbo aparece en singular. Ello parece quedar confirmado por otras versions lingüisticas «each Member State shall apply the national provisions it adopts pursuant to this Directive (…)», «chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive», etc.

7 – C‑131/12, EU:C:2014:317.

8 – C‑131/12, EU:C:2014:317, apartados 48 a 50.

9 – Véanse las sentencias Factortame y otros, C‑221/89, EU:C:1991:320, apartado 20, así como Comisión/Reino Unido, C‑246/89, EU:C:1991:375, apartado 21.

10 – Sentencia Cadbury Schweppes y Cadbury Schweppes Overseas, C‑196/04, EU:C:2006:544, apartado 54.

11 – Dictamen sobre el Derecho aplicable, emitido el 16 de diciembre de 2010, 0836-02/10/ES, WP 179.

12 – En efecto, dicho Dictamen hace referencia a las sentencia Berkholz, 168/84, EU:C:1985:299, apartado 18, y Lease Plan, C‑390/96, EU:C:1998:206, que versaban sobre la interpretación del artículo 9, apartado 1, de la Directiva 77/388/CEE del Consejo, de 17 de mayo de 1977, Sexta Directiva en materia de armonización de las legislaciones de los Estados miembros relativas a los impuestos sobre el volumen de negocios — Sistema común del impuesto sobre el valor añadido: base imponible uniforme (DO L 145, p. 1; EE 09/01, p. 54).

13 – Sentencia Welmory, C‑605/12, EU:C:2014:2298, apartado 58, en relación con la interpretación del artículo 44 de la Directiva 2006/112/CE del Consejo, de 28 de noviembre de 2006, relativa al sistema común del impuesto sobre el valor añadido (DO L 347, p. 1), en su versión modificada por la Directiva 2008/8/CE del Consejo, de 12 de febrero de 2008 (DO L 44, p. 11). Véase, asimismo, la sentencia Planzer Luxembourg, C‑73/06, EU:C:2007:397, apartado 54 y jurisprudencia citada.

14 – Convenio sobre la ley aplicable a las obligaciones contractuales, abierto a la firma en Roma el 19 de junio de 1980 (DO L 266, p. 1; EE 01/03, p. 36).

15 – Convenio de Bruselas, de 27 de septiembre de 1968, relativo a la competencia judicial y a la ejecución de resoluciones judiciales en materia civil y mercantil (DO 1972, L 299, p. 32; texto consolidado en DO 1998, C 27, p. 1).

16 – Señalando que «el concepto de sucursal, agencia o cualquier otro establecimiento, supone un centro de operaciones, que se manifiesta de modo duradero hacia el exterior como la prolongación de una empresa principal, dotado de una dirección y materialmente equipado para poder realizar negocios con terceros […]» (sentencias Somafer, 33/78, EU:C:1978:205, apartado 12, y Blanckaert & Willems, 139/80, EU:C:1981:70, apartado 11), e insistiendo en que «[…] el término “establecimiento” se refiere a todas las estructuras estables de una empresa. En consecuencia, no sólo las filiales y las sucursales, sino también otras unidades, como las oficinas de una empresa, pueden constituir establecimientos en el sentido del artículo 6, apartado 2, letra b), del Convenio de Roma, incluso aunque carezcan de personalidad jurídica.» (sentencia Voogsgeerd, C‑384/10, EU:C:2011:842, apartado 54).

17 – Dictamen 8/2010, p. 14.

18 – C‑131/12, EU:C:2013:424, punto 65.

19 – Directiva 2000/31/CE, del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (DO L 178, p. 1).

20 – Véase el Documento de trabajo relativo a la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecidos fuera de la UE, WP 56, 5035/01/ES/Final, 30 de mayo de 2002, p. 8.

21 – Las observaciones presentadas ante el Tribunal de Justicia difieren entre sí al considerar estos factores. Mientras que la Autoridad húngara de protección de datos estima que estos elementos son pertinentes, el Reino Unido considera que ninguno de los factores enunciados es relevante, ya que el artículo 4, apartado 1, de la Directiva no hace mención de ninguno de ellos. En un sentido similar se pronuncia la Comisión europea. Para el Gobierno húngaro, únicamente serían relevantes el hecho de que los servicios estén dirigidos al territorio de un Estado miembro y el lugar donde los datos han sido cargados al sistema informático. El Gobierno eslovaco considera que no son pertinentes para determinar el derecho nacional aplicable ni el lugar desde donde se comunican los datos, ni la nacionalidad de los afectados, ni la residencia de los propietarios de la empresa.

22 – En este sentido se pronuncia también el Grupo del artículo 29, al señalar que «ni la nacionalidad o el lugar de residencia habitual de los interesados, ni la ubicación física de los datos personales son decisivos [a efectos de determinar el derecho aplicable.]» Dictamen 8/2010, p. 10. Véase, asimismo, los puntos 55 a 58 de las conclusiones del Abogado General Jääskinen en el asunto Google Spain y Google, C‑131/12, EU:C:2013:424.

23 – C‑131/12, EU:C:2014:317, apartados 48 a 50.

24 – Ibídem, apartado 52.

25 – Ibídem, apartado 53.

26 – Véase también, sobre este particular, el Dictamen 8/2010 del Grupo del artículo 29.

27 – Dictamen 1/2008 sobre cuestiones de protección de datos relacionadas con motores de búsqueda emitido el 4 de abril de 2008, WP 148, 00737/ES.

28 – Propuesta de reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, COM(2012) 11 final.

29 – Por lo demás, la doctrina se encuentra dividida a este respecto. Algunos autores consideran el artículo 4 de la Directiva como la norma también determinante de la jurisdicción (por ejemplo, Bing, J., «Data Protection, Jurisdiction and the Choice of Law», Privacy Law & Policy Reporter, 1999), mientras que otros consideran lo contrario. Véase, por ejemplo, Swire, P. P., «Of Elephants, Mice and Privacy: International Choice of Law and the Internet», The International Lawyer, 1998, p. 991. Asimismo, sobre esta discusión, Kuner, C., «Data Protection Law and International Jurisdiction on the Internet (Part 1)», International Journal of Law and Information Technology, nº 18, 2010, p. 176.

30 – El considerando 21 de la Directiva señala expresamente que la misma «no afecta a las normas de territorialidad aplicables en materia penal». Considero que la misma apreciación puede aplicarse a las sanciones administrativas.

31 – Cuyo núcleo fundamental puede ser definido en el sentido de que todas las autoridades públicas, a todos los niveles, «must exercise the powers conferred on them reasonably, in good faith, for the purpose for which the powers were conferred and without exceeding the limits of such powers», Lord Bingham, «The Rule of Law», The Cambridge Law Journal, nº 66, 2007, p. 78.

32 – La doctrina ha señalado que, «como consecuencia del carácter básicamente administrativo o jurídico-público del régimen de control, existe una estrecha correlación entre ley aplicable y autoridad competente para sancionar eventuales infracciones», de Miguel Asensio, P.A., Derecho Privado de Internet, 4ª ed., Madrid, 2011, p. 333. En sentido análogo se ha pronunciado la doctrina en relación con las competencias de las autoridades de control en materia de competencia, señalando que, en el ámbito de la actuación pública, la aplicabilidad de la norma determina la competencia de la autoridad que ha de aplicarla. Véase, por ejemplo, Basedow, J. «Antitrust or Competition Law, International», en Wolfrum, R. (ed.), Max Planck Encyclopedia of Public International Law, 2009.

33 – En este sentido, Rigaux: “On ne conçoit guère que les autorités administratives, les commissions de contrôle […] les organes de surveillance soumettent les fichiers du secteur privé à d’autres normes de conduite et qu’ils obéissent eux-mêmes à d’autres règles de fonctionnement qu’à celles qui sont contenues dans la lex fori», op. cit. p. 469.

34 – C. Ohler, Die Kollisionsordnung des allgemeinen Verwaltungsrechts, Mohr Siebeck, 2005, pp. 109 y 314.

35 – Énfasis añadido.

36 – Énfasis añadido. Sobre esta discusión, véase Damman U. y Simitis S., EG-Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden-Baden, 1997, p. 306.

37 – (ETS 108), del que son parte todos los Estados miembros. Según el considerando 11 de la Directiva, la misma precisa y amplía la protección ofrecida por dicho Convenio.

38 – Sobre esta cuestión, Damman U. y Simitis S., op. cit. p. 313.

39 – Dictamen 8/2010 sobre el Derecho aplicable, p. 29

40 – Así, por una parte, el Dictamen 8/2010 del Grupo del artículo 29 pone de relieve que el contenido de la cooperación entre autoridades de control, como bien indica, no abarca únicamente el intercambio de información, sino también «la tramitación de reclamaciones transfronterizas, obtención de pruebas para otras autoridades de protección de datos o imposición de sanciones». (p. 31). No obstante, dicho dictamen expresa dudas respecto del ámbito de las competencias que deben ejercerse por cada autoridad de protección: «en particular, ¿hasta qué punto ejercerá la autoridad de protección de datos del lugar sus poderes respecto de la aplicación de los principios materiales y las sanciones? ¿Debería limitar el ejercicio de sus poderes a la verificación de los hechos? ¿Puede adoptar medidas de ejecución provisionales o incluso medidas definitivas? ¿Puede dar su propia interpretación de las disposiciones del Derecho aplicable o es la prerrogativa de la autoridad de protección de datos del Estado miembro cuyo Derecho sea el aplicable? […]» (p. 30).

41 – Advice paper on the practical implementation of the Article 28(6) of the Directive 95/46/EC, Ref. Ares (2011) 444105, de 20 de abril de 2011.

42 – ibídem, p. 31. Es muy ilustrativo a estos efectos el ejemplo nº 10 ofrecido por el dictamen, según el cual un hipotético caso en el cual el Derecho alemán es aplicable a un tratamiento de datos realizado en Reino Unido, señala que «es preciso que la autoridad de control del Reino Unido tenga el poder de inspeccionar los locales ubicados en el Reino Unido y establecer las conclusiones que han de remitirse a la autoridad de control alemana. La autoridad de control alemana debería poder imponer una sanción al responsable del tratamiento establecido en Alemania sobre la base de los resultados establecidos por la autoridad de control del Reino Unido».

43 – Así lo reconoce el considerando 9 de la Directiva. A este respecto, puede verse el documento elaborado por la Agencia Europea de Derechos Fundamentales, Data Protection in the European Union: the role of National Data Protection Authorities, 2010, que pone de relieve las distintas potestades de las autoridades de control en los Estados miembros.

44 – En este sentido, es indudable la relevancia y carácter innovador del derecho de la Unión en materia de protección de datos en el espacio administrativo europeo. La propuesta de futuro Reglamento general de protección de datos, de salir adelante, supondrá una transformación de envergadura en la materia, en particular, en lo relativo a la puesta en marcha de un complejo y elaborado sistema de cooperación, coherencia y reparto de responsabilidades entre las distintas autoridades de control.

45 – C‑475/12, EU:C:2014:285.

46 – En particular, la Directiva 2002/20/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a la autorización de redes y servicios de comunicaciones electrónicas (DO L 108, p. 21), en su versión resultante de la Directiva 2009/140/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Directiva autorización) (DO L 337, p. 37) y la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (DO L 108, p. 33), en su versión resultante de la Directiva 2009/140.

47 – Sentencia UPC DTH, C‑475/12, EU:C:2014:285, apartado 88.

48 – En efecto, la sanción impuesta en dicho asunto traía causa de la negativa de la sociedad en cuestión a facilitar información a la Autoridad nacional de comunicaciones. El Tribunal de Justicia señaló que «en virtud del artículo 11, apartado 1, letra b), de la Directiva “autorización” […] las autoridades nacionales pueden exigir a las empresas que faciliten información que resulte adecuada y pueda justificarse objetivamente para permitirles comprobar que se respetan las condiciones de protección del consumidor cuando reciban una reclamación o emprendan una investigación por iniciativa propia», ibídem, apartado 85.

49 – Únicamente aparece en la Directiva una palabra derivada del término «adatkezelés», al referirse al responsable del tratamiento de datos.

50 – Artículo 3, apartado 17, de la Ley Info. El apartado 10 del artículo 3 de la Ley Info define la noción de «adatkezelés» de una manera amplia, que se corresponde, en lo sustancial, con la noción de tratamiento de datos definida en el artículo 2, letra b) de la Directiva.