El documento tardará unos segundos en cargarse. Espere, por favor.

Competencia de la AEPD para sancionar a una entidad con sede en Luxemburgo, y con apartado de correos y cuenta bancaria en España

Tribunal Supremo, Sala de lo Contencioso-administrativo, Sentencia 5 Febrero 2019

Diario La Ley, Nº 9387, Sección Jurisprudencia, 1 de Abril de 2019, Editorial Wolters Kluwer

LA LEY 2354/2019

Se establece doctrina en relación con el alcance del concepto de establecimiento contenido en la LOPD en los supuestos en que la sede principal de una entidad está ubicada en el territorio de otro Estado miembro de la UE, pero realiza actividades en otros Estados miembros.

Tribunal Supremo, Sala de lo Contencioso-administrativo, Sentencia 121/2019, 5 Feb. Recurso 627/2018

Una sociedad domiciliada en Luxemburgo dirigía, de forma regular, actividades y operaciones a través de medios instrumentales radicados en España, pues disponía de un apartado de correos y era titular de una cuenta corriente en España. Así, adoptaba decisiones relativas a los fines y medios del tratamiento de datos, siendo la responsable de impartir las órdenes para que se incluyeran datos personales en ficheros de solvencia. Este tratamiento de datos se articulaba en virtud de un contrato de compraventa de una cartera de créditos celebrado en España, siendo gestionados los cobros por una entidad domiciliada en España, que se encargaba de las reclamaciones e incidencias en relación con las obligaciones de pago que resultaban incumplidas.

La Agencia Española de Protección de Datos impuso una sanción a la entidad luxemburguesa, y posteriormente la Audiencia Nacional estimó que la Agencia carecía de competencia para imponer tal sanción, al estar la empresa sancionada domiciliada en un tercer Estado miembro de la Unión Europea.

Cuando la sede principal de una entidad está ubicada en el territorio de otro Estado miembro de la Unión Europea, pero realiza actividades en otros Estados miembros, el concepto de establecimiento al que se refiere la Ley Orgánica de Protección de Datos de Carácter Personal debe interpretarse de forma flexible y antiformalista, esto es, quedan comprendidos dentro del concepto de establecimiento, a los efectos del tratamiento de datos personales, todas las actuaciones desarrolladas en un Estado miembro de la Unión Europea (distinto a donde tiene la sede o administración principal) a través de la utilización de medios instrumentales que se revelen idóneos y eficaces en el tratamiento de datos personales.

Conforme a esta premisa, el Tribunal Supremo declara que la Agencia Española de Protección de Datos sí tiene competencia para controlar las actividades de una sociedad que opera en España a través de un apoderado, con domicilio en Madrid, y que dispone de dos personas de contacto encargadas de realizar las gestiones de comunicación e información con los afectados a través de medios telemáticos.

Sólo de esta forma se supera la rigidez y el formalismo, al no ser equivalente el concepto de establecimiento al de la sede social donde esté registrada la sociedad responsable del tratamiento de datos.

Además, esta extensión del concepto de establecimiento sirve para garantizar una protección eficaz y plena del derecho fundamental a la intimidad en lo que respecta al tratamiento de datos personales, porque sólo del hecho de que la entidad no está establecida en España no se puede extraer que no le resulte aplicable la cláusula de sujeción al Derecho español de protección de datos de carácter personal, sino que se deben valorar las concretas circunstancias en que desarrolla la actividad de tratamiento de datos en territorio español.

Subir