El Tribunal de Justicia de la Unión Europea (“TJUE”) acaba de dar un paso más en su proceso de interpretación flexible de la normativa comunitaria sobre protección de datos personales. En particular, en su reciente sentencia de 1 de octubre (C-230/14; Weltimmo s.r.o. contra Nemzeti Adatvédelmi és Információszabadság Hatóság; la “Sentencia”) ha concluido que a un responsable del tratamiento puede serle de aplicación la legislación del país al que dirige sus servicios en lugar de la del país en la que está establecido si se cumplen determinadas circunstancias.

El caso estudiado por el TJUE se centra en la sociedad Weltimmo s.r.o., registrada y domiciliada en la República Checa a pesar de que tanto su actividad como sus accionistas están íntimamente ligados a Hungría. En efecto, según se detalla en la sentencia, dicha compañía:

  1. explota dos portales de internet que sólo incluyen anuncios clasificados de inmuebles ubicados en Hungría, estando aquéllos redactados exclusiva-mente en húngaro;
  2. dispone de un representante ubicado en Hungría, que tiene poderes de representación de Weltimmo s.r.o. que utiliza para llevar a cabo el recobro de las deudas de los usuarios de los portales y, en su caso, comparecer en juicio y ante autoridades administrativas húngaras;
  3. tiene a sus propietarios asentados en Hungría; y
  4. posee cuentas bancarias en Hungría, así como un apartado postal en dicho país del que regularmente se recoge el correo y se remite vía postal a la República Checa.

A lo anterior hay que añadir que Weltimmo s.r.o. no ejerce actividad alguna en la República Checa, disponiendo sólo de “una o dos personas” (sic.).

En base a estos antecedentes y a anteriores resoluciones dictadas por el TJUE (como el C-131/12, caso Google Spain y Google contra AEPD y Costeja), el Tribunal considera que hay que dar una interpretación amplia al concepto de “establecimiento” recogido en la Directiva 95/46/CE. Dicha interpretación conduce a que se tenga que tomar en consideración el lugar en el que de forma efectiva y real se desarrolla una actividad y no el lugar en el que esté efectivamente establecida una sociedad, pudiéndose tener en cuenta a estos efectos tanto el país al que una compañía dirige sus actividades de forma principal (o exclusiva), como si en el referido país dispone de representante/s para desarrollar su actividad e incluso representarla en juicio o procedimientos administrativos.

Tras aclarar los criterios de aplicación de la normativa nacional en materia de datos personales, el TJUE reconoce que las autoridades nacionales de protección de datos están limitadas en su actuación al territorio de su propio país. En consecuencia, si bien éstas tienen potestad para investigar los hechos, su actuación no comprende aquellas acciones que quedan comprendidas dentro de la autoridad de un Estado Miembro, tales como la imposición de sanciones, las cuales deberán ser impuestas por las autoridades del Estado Miembro cuya normativa sea de aplicación.