Sentencia del Tribunal de Justicia (Sala Tercera) de 1 de octubre de 2015, en el asunto C-230/14.
Una sociedad constituida y domiciliada en Eslovaquia (Weltimmo), gestiona un sitio de Internet de anuncios de inmuebles situados en Hungría. Los anuncios son gratuitos durante un mes, trascurrido el cual, el servicio pasa a ser de pago. Numerosos anunciantes solicitaron, por correo electrónico, la retirada de sus anuncios a partir de dicho plazo así como la supresión de sus datos personales. Sin embargo, Weltimmo no los suprimió y facturó sus servicios a los interesados. Los anunciantes presentaron denuncias ante la autoridad húngara de control. Dicha autoridad de control consideró que Weltimmo había infringido la Ley sobre la Información e impuso a la citada sociedad una multa.
Weltimmo acudió a los tribunales alegando que la autoridad húngara de control carecía de competencia y no podía aplicar el Derecho húngaro a un prestador de servicios establecido en otro Estado miembro.
El Tribunal de Justicia analiza si los artículos 4, apartado 1, letra a), y 28, apartado 1, de la Directiva 95/46 deben interpretarse en el sentido de que permiten a la autoridad de control de un Estado miembro aplicar su legislación nacional sobre protección de datos al responsable del tratamiento, cuya sociedad está registrada en otro Estado miembro, y que gestiona un sitio de Internet de intermediación inmobiliaria que anuncia inmuebles situados en el territorio del primero de esos dos Estados.
A tenor del artículo 4, apartado 1, letra a), de la Directiva 95/46, “los Estados miembros aplicarán las disposiciones nacionales que hayan aprobado para la aplicación de esta Directiva a todo tratamiento de datos personales cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro”.
En primer lugar, por lo que respecta al concepto de “ establecimiento” el Tribunal rechaza cualquier enfoque formalista según el cual una empresa estaría establecida únicamente en el lugar en que se encontrase registrada, y procede interpretar tanto el grado de estabilidad de la instalación como la efectividad del desarrollo de las actividades en ese otro Estado miembro tomando en consideración la naturaleza específica de las actividades económicas y de las prestaciones de servicios en cuestión.
Considera que el concepto de “establecimiento”, en el sentido de la Directiva 95/46, se extiende a cualquier actividad real y efectiva, aun mínima, ejercida mediante una instalación estable.
Por ello, el Tribunal declara que el artículo 4, apartado 1, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que permite aplicar la legislación relativa a la protección de los datos personales de un Estado miembro distinto de aquel en el que está registrado el responsable del tratamiento de esos datos, siempre que éste ejerza, mediante una instalación estable en el territorio de dicho Estado miembro, una actividad efectiva y real, aun mínima, en cuyo marco se realice el referido tratamiento.
En segundo lugar, y por lo que respecta a la sanción, entiende el Tribunal que en el supuesto de que la autoridad de control de un Estado miembro que entiende de unas denuncias, de conformidad con el artículo 28, apartado 4, de la Directiva 95/46, llegue a la conclusión de que el Derecho aplicable al tratamiento de los datos personales de que se trata no es el Derecho de ese Estado miembro, sino el de otro Estado miembro, el artículo 28, apartados 1, 3 y 6, de esa misma Directiva debe interpretarse en el sentido de que dicha autoridad de control sólo podría ejercer en el territorio de su propio Estado miembro las facultades efectivas de intervención que se le han conferido conforme al artículo 28, apartado 3, de la citada Directiva. Por lo tanto, no puede imponer sanciones basándose en el Derecho de ese Estado miembro al responsable del tratamiento de tales datos que no está establecido en dicho territorio, sino que, con arreglo al artículo 28, apartado 6, de la misma Directiva, debe instar la intervención de la autoridad de control dependiente del Estado miembro cuyo Derecho es aplicable.