CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2018:388

Asunto C‑210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

contra

Wirtschaftsakademie Schleswig-Holstein GmbH

(Petición de decisión prejudicial planteada por el Bundesverwaltungsgericht)

«Procedimiento prejudicial — Directiva 95/46/CE — Datos personales — Protección de las personas físicas en lo que respecta al tratamiento de estos datos — Orden por la que se solicita la desactivación de una página de Facebook (fan page) que permite recoger y tratar determinados datos vinculados a los visitantes de esa página — Artículo 2, letra d) — Responsable del tratamiento de datos personales — Artículo 4 — Derecho nacional aplicable — Artículo 28 — Autoridades nacionales de control — Poderes de intervención de esas autoridades»

Sumario — Sentencia del Tribunal de Justicia (Gran Sala) de 5 de junio de 2018

1. Aproximación de las legislaciones — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Responsable del tratamiento — Concepto — Administrador de una página de fans alojada en una red social — Inclusión

[Directiva 95/46/CE del Parlamento Europeo y del Consejo, art. 2, letra d)]

2. Aproximación de las legislaciones — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Autoridades nacionales de control — Poderes — Poderes de investigación y de intervención y capacidad procesal — Facultad de la autoridad de control de un Estado miembro para ejercer esos poderes respecto a una empresa situada en el territorio de ese Estado miembro — Pertenencia de la empresa a un grupo que ha encargado la responsabilidad de la recogida y tratamiento de los datos personales a un establecimiento situado en otro Estado miembro — Irrelevancia

(Directiva 95/46/CE del Parlamento Europeo y del Consejo, arts. 4 y 28)

3. Aproximación de las legislaciones — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Autoridades nacionales de control — Poderes — Poderes de intervención — Ejercicio respecto a un tercero responsable del tratamiento de los datos personales situado en otro Estado miembro — Competencia para apreciar la legalidad del tratamiento y para intervenir sin recabar la asistencia de la autoridad de control del otro Estado miembro

[Directiva 95/46/CE del Parlamento Europeo y del Consejo, arts. 4, ap. 1, letra a), y 28, aps. 3 y 6]

1. El artículo 2, letra d), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que el concepto de «responsable del tratamiento», en el sentido de esa disposición, comprende al administrador de una página de fans alojada en una red social.

Pues bien, aunque el hecho de utilizar una red social como Facebook no convierte al usuario de Facebook en corresponsable de un tratamiento de datos personales efectuado por dicha red, es preciso señalar, no obstante, que el administrador de una página de fans alojada en Facebook, mediante la creación de tal página, ofrece a Facebook la posibilidad de colocar cookies en los ordenadores o en cualquier otro aparato de la persona que haya visitado su página de fans, disponga o no esta persona de una cuenta de Facebook. En estas circunstancias, procede considerar que el administrador de una página de fans alojada en Facebook, como Wirtschaftsakademie, participa, mediante su acción de configuración, en función, en particular, de su audiencia destinataria, así como de objetivos de gestión o de promoción de sus actividades, en la determinación de los fines y los medios del tratamiento de los datos personales de los visitantes de su página de fans. De este modo, dicho administrador debe ser calificado en el presente caso de responsable de ese tratamiento en la Unión, en el sentido del artículo 2, letra d), de la Directiva 95/46, conjuntamente con Facebook Ireland. En efecto, el hecho de que un administrador de una página de fans utilice la plataforma ofrecida por Facebook para disfrutar de los servicios asociados a esta no le exime de sus obligaciones en materia de protección de datos personales. En este contexto, el reconocimiento de una responsabilidad conjunta del operador de una red social y del administrador de una página de fans alojada en esa red en relación con el tratamiento de los datos personales de los visitantes de esa página de fans contribuye a garantizar una protección más completa de los derechos de que disponen las personas que visitan una página de fans, conforme a las exigencias de la Directiva 95/46.

(véanse los apartados 35, 39, 40, 42 y 44 y el punto 1 del fallo)

2. Los artículos 4 y 28 de la Directiva 95/46 deben interpretarse en el sentido de que, cuando una empresa establecida fuera de la Unión dispone de varios establecimientos en diversos Estados miembros, la autoridad de control de un Estado miembro está facultada para ejercer los poderes que le confiere el artículo 28, apartado 3, de la mencionada Directiva respecto a un establecimiento de esa empresa situado en el territorio de ese Estado miembro, aun cuando, en virtud del reparto de funciones dentro del grupo, por un lado, este establecimiento únicamente se encarga de la venta de espacios publicitarios y de otras actividades de marketing en el territorio de dicho Estado miembro y, por otro lado, la responsabilidad exclusiva de la recogida y del tratamiento de los datos personales incumbe, para todo el territorio de la Unión, a un establecimiento situado en otro Estado miembro.

(véanse el apartado 64 y el punto 2 del fallo)

3. El artículo 4, apartado 1, letra a), y el artículo 28, apartados 3 y 6, de la Directiva 95/46 deben interpretarse en el sentido de que, cuando la autoridad de control de un Estado miembro pretende ejercer frente a una entidad establecida en el territorio de ese Estado miembro los poderes de intervención contemplados en el artículo 28, apartado 3, de la referida Directiva debido a infracciones de las normas relativas a la protección de datos personales cometidas por un tercero responsable del tratamiento de esos datos que tiene su domicilio en otro Estado miembro, dicha autoridad de control es competente para apreciar, de manera autónoma respecto de la autoridad de control de este último Estado miembro, la legalidad del referido tratamiento de datos y puede ejercer sus poderes de intervención frente a la entidad establecida en su territorio sin instar previamente la intervención de la autoridad de control del otro Estado miembro.

(véanse el apartado 74 y el punto 3 del fallo)