VOLVER AL LISTADO DE PUBLICACIONES

Sobre la competencia de la AEPD para sancionar a una empresa de otro Estado miembro de la UE con un establecimiento en España

11 de abril, 2019

De acuerdo con los artículos 2.1.a) de la Ley Orgánica de Protección de Datos (LOPD) y 3.1.a) del Real Decreto 1720/2007, la normativa española en materia de protección de datos será aplicable cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento, ubicado en el territorio español, del responsable del tratamiento. El concepto de establecimiento a que se refieren estas disposiciones debe interpretarse de manera flexible y antiformalista.

El recurso de casación que resuelve esta sentencia tiene por objeto la revocación de la sentencia de la Audiencia Nacional que estimó el recurso contencioso-administrativo formulado por TTI Finance, sociedad luxemburguesa contra la resolución de la Agencia Española de Protección de Datos (AEPD) que le impuso una multa por la infracción del artículo 4.3, en relación con los artículos 29.4, 38 y 39 de la LOPD. La sentencia impugnada fundamentaba la decisión de estimar el recurso en la consideración de que la AEPD carecía de competencia porque el tratamiento de datos no se había efectuado en el marco de un establecimiento del responsable del tratamiento ubicado en territorio español, pues TTI Finance solo disponía en España de un apartado de correos y de una cuenta corriente.

El Tribunal Supremo (STS de 5 de febrero de 2019, Roj: STS 487/2019) considera que la Audiencia interpretó de forma inadecuada el artículo 2.1.a) de la LOPD. Para llegar a esta conclusión se basa, entre otras, en la Sentencia del Tribunal de Justicia de la Unión Europea en el asunto C- 230/14, que considera que el concepto de establecimiento, que procede de la Directiva 95/46/CE, no puede entenderse en todo caso equivalente al de la sede social donde esté registrada la sociedad responsable del tratamiento de datos, debiendo valorarse para la determinación de esta noción el grado de estabilidad de la instalación así como el grado de efectividad del desarrollo de la actividad y la naturaleza específica de las actividades económicas y de las prestaciones de servicios de que se trate.

Partiendo de esa consideración, el Tribunal Supremo afirma la existencia de un establecimiento de TTI Finance en España porque a) esta sociedad dirigía de forma regular actividades y operaciones a través de medios instrumentales radicados en España, adoptando decisiones relativas a los fines y medios del tratamiento de datos y había resultado acreditado que era la responsable de impartir las órdenes para que se incluyeran los datos personales del afectado en el fichero de solvencia patrimonial BADEXCUG y b) la cesión de datos personales que motivó la denuncia del afectado se asocia a un contrato de compraventa de una cartera de créditos celebrado en España, que era gestionada por la compañía TDX Indigo Iberia SLU, domiciliada en España, que se encargaba de las reclamaciones e incidencias en relación con las obligaciones de pago que resultaban incumplidas, y que la cesión de datos se efectuaba para la inclusión en un fichero de solvencia patrimonial BADEXCUG del que era responsable la empresa Experian Bureau de Crédito S.A., que operaba en España, estando la primera de estas entidades subcontratada por TTI Finance, bajo cuya autoridad directa actuaba. En ese contexto, TTI Finance SARL operaba en España a través de un apoderado, con domicilio en Madrid, y disponía de dos personas de contacto encargadas de realizar las gestiones de comunicación e información con los afectados a través de medios telemáticos. (STS de 5 de febrero de 2019, Roj: STS 487/2019).

[Nota: El artículo 2 de la LOPD ha sido derogado por la disposición derogatoria única de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, que entró en vigor el 7 de diciembre de 2018. No obstante, el concepto de «establecimiento» sigue siendo relevante a efectos de determinar la normativa nacional aplicable, como resulta del Reglamento UE 2016/679, General de Protección de Datos].

Ver todas

Publicaciones relacionadas

VOLVER AL LISTADO DE PUBLICACIONES