CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Petición de decisión prejudicial planteada por el Bundesverwaltungsgericht (Alemania) el 14 de abril de 2016 — Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein / Wirtschaftsakademie Schleswig-Holstein GmbH

(Asunto C-210/16)

Lengua de procedimiento: alemán

Órgano jurisdiccional remitente

Bundesverwaltungsgericht

Partes en el procedimiento principal

Demandada, apelante y recurrente en casación: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Demandante, apelada y recurrida en casación: Wirtschaftsakademie Schleswig-Holstein GmbH

Interviniente: Facebook Ireland Limited

Con la participación de: Der Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

Cuestiones prejudiciales

¿Debe interpretarse el artículo 2, letra d), de la Directiva 95/46/CE ¹ en el sentido de que regula taxativa y exhaustivamente la responsabilidad por las infracciones en materia de protección de datos, o bien, en el ámbito de las «medidas adecuadas» a que se refiere el artículo 24 de la Directiva 95/46/CE y de los «poderes efectivos de intervención» mencionados en el artículo 28, apartado 3, segundo guion, de la misma Directiva, en las relaciones en cadena de proveedores de información también puede incurrir en responsabilidad una entidad que no sea responsable del tratamiento de los datos, en el sentido del artículo 2, letra d), de la Directiva 95/46/CE, por la elección del operador para su oferta de información?

¿De la obligación impuesta por artículo 17, apartado 2, de la Directiva 95/46/CE a los Estados miembros de establecer que, en caso de que se encargue el tratamiento de los datos, el responsable del tratamiento deberá «elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse» se deduce, a sensu contrario, que en otras relaciones de uso no relacionadas con un tratamiento de datos por encargo a efectos del artículo 2, letra e), de la Directiva 95/46/CE no existe tal obligación de elección diligente y tampoco la puede imponer la normativa nacional?

En los casos en que un grupo matriz establecido fuera de la Unión Europea mantenga establecimientos jurídicamente independientes (filiales) en diversos Estados miembros, ¿la autoridad de control de un Estado miembro (en este caso, Alemania) es competente con arreglo a los artículos 4 y 28, apartado 6, de la Directiva 95/46/CE para ejercer las facultades atribuidas con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE contra el establecimiento situado en su propio territorio, aunque este establecimiento sólo tenga funciones de promoción de las ventas de publicidad y otras medidas de marketing dirigidas a los habitantes de ese Estado miembro, mientras que, conforme al reparto interno de las funciones dentro del grupo, corresponde al establecimiento independiente (filial) situado en otro Estado miembro (en este caso, Irlanda) la responsabilidad exclusiva relativa a la obtención y al tratamiento de datos personales en todo el territorio de la Unión Europea y, por tanto, también en el otro Estado miembro (en este caso, Alemania), cuando en realidad la decisión sobre el tratamiento de los datos la toma el grupo matriz?

¿Deben interpretarse los artículos 4, apartado 1, letra a), y 28, apartado 3, de la Directiva 95/46/CE en el sentido de que, en los casos en que el responsable del tratamiento disponga de un establecimiento en el territorio de un Estado miembro (en este caso, Irlanda) y de otro establecimiento jurídicamente independiente en el territorio de otro Estado miembro (en este caso, Alemania), el cual se ocupa, en particular, de la venta de espacios publicitarios y cuya actividad está dirigida a los habitantes de dicho Estado, la autoridad de control competente en este otro Estado miembro (en este caso, Alemania) puede adoptar medidas y dictar órdenes para la ejecución de la normativa en materia de protección de datos contra el establecimiento (en este caso, sito en Alemania) que, conforme al reparto interno de las funciones y responsabilidades dentro del grupo, no es responsable del tratamiento de los datos, o sólo puede decretar tales medidas y órdenes la autoridad de control del Estado miembro (en este caso, Irlanda) en cuyo territorio tiene su sede la entidad responsable dentro del grupo?

¿Deben interpretarse los artículos 4, apartado 1, letra a), y 28, apartados 3 y 6, de la Directiva 95/46/CE en el sentido de que, en los casos en que la autoridad de control de un Estado miembro (en este caso, Alemania) se dirige con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE contra una persona o entidad que opera en su territorio porque ésta no ha elegido diligentemente al tercero implicado en el proceso de tratamiento de datos (en este caso, Facebook), dado que dicho tercero infringe la normativa en materia de protección de datos, la autoridad de control que actúa (en este caso, Alemania) se halla vinculada a la valoración a efectos de protección de datos realizada por la autoridad de control de otro Estado miembro, donde tiene su establecimiento el tercero responsable del tratamiento de datos (en este caso, Irlanda), de manera que no puede efectuar ninguna valoración jurídica diferente, o bien la autoridad de control que actúa (en este caso, Alemania) puede verificar de forma autónoma la legalidad del tratamiento de datos por el tercero establecido en el otro Estado miembro (en este caso, Irlanda) como cuestión incidental previa a su propia actuación?

En caso de que la autoridad de control que actúa (en este caso, Alemania) pueda efectuar una verificación de forma autónoma: ¿ha de interpretarse el artículo 28, apartado 6, segunda frase, de la Directiva 95/46/CE en el sentido de que dicha autoridad de control sólo puede ejercer los poderes efectivos de intervención que le atribuye el artículo 28, apartado 3, de la misma Directiva contra una persona o entidad establecida en su territorio por corresponsabilidad en las infracciones en materia de protección de datos cometidas por un tercero establecido en otro Estado miembro si, previamente, ha pedido a la autoridad de control del otro Estado miembro (en este caso, Irlanda) que ejercite sus poderes?

____________

¹ Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31).