Sentencia ADMINISTRATIVO Nº 121/2019, Tribunal Supremo, Sala de lo Contencioso, Sección 3, Rec 627/2018 de 05 de Febrero de 2019

Encabezamiento

T R I B U N A L S U P R E M O

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 121/2019

Fecha de sentencia: 05/02/2019

Tipo de procedimiento: R. CASACION

Número del procedimiento: 627/2018

Fallo/Acuerdo:

Fecha de : 29/01/2019

Ponente: Excmo. Sr. D. Jose Manuel Bandres Sanchez-Cruzat

Procedencia: AUD.NACIONAL SALA C/A. SECCIÓN 1

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

Transcrito por: ELC

Nota:

R. CASACION núm.: 627/2018

Ponente: Excmo. Sr. D. Jose Manuel Bandres Sanchez-Cruzat

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

TRIBUNAL SUPREMO

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 121/2019

Excmos. Sres. y Excma. Sra.

D. Eduardo Espin Templado, presidente

D. Jose Manuel Bandres Sanchez-Cruzat

D. Eduardo Calvo Rojas

Dª. Maria Isabel Perello Domenech

D. Jose Maria del Riego Valledor

D. Diego Cordoba Castroverde

D. Angel Ramon Arozamena Laso

En Madrid, a 5 de febrero de 2019.

Esta Sala ha visto el recurso de casación, registrado bajo el número RCA/627/2018, interpuesto por el Abogado del Estado, en nombre y representación de la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, contra la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 25 de octubre de 2017 , dictada en el procedimiento ordinario 99/2016.

Ha sido ponente el Excmo. Sr. D. Jose Manuel Bandres Sanchez-Cruzat.

Antecedentes

PRIMERO.-En el proceso contencioso-administrativo número 99/2016, la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, dictó sentencia el 25 de octubre de 2017 , cuyo fallo dice literalmente:

'ESTIMAR el recurso contencioso-administrativo interpuesto por el Procurador de los Tribunales D. Alejandro Escudero Delgado, en nombre y representación de TTI FINANCE, S.A.R.L., entidad luxemburguesa, contra la resolución de 24 de noviembre de 2015, de la Directora de la Agencia Española de Protección de Datos, a que las presentes actuaciones se contraen, resolución que se anula por no ser conforme a derecho.

Con expresa imposición de las costas procesales a la demandada.'.

El pronunciamiento estimatorio del recurso Contencioso-administrativo se baso en la exposición de las siguientes consideraciones jurídicas:

'Por razones de economía procesal, se debe examinar en primer lugar la cuestión de la competencia de la AEPD para imponer una sanción a la hoy recurrente que es una entidad mercantil cuya sede se encuentra en Luxemburgo.

El argumento de la actora se centra en que TTI no está establecida en España a los efectos del art. 2 de la LOPD y el articulo 3 del Reglamento, por lo que la AEPD no puede imponer a una sociedad comunitaria no establecida en España que aplique la normativa española de protección de datos al tratamiento de datos personales que realice, y que la AEPD no puede vulnerar el principio de tipicidad previsto en el art. 25 de la CE y el 129 de la Ley 30/1992 , y sancionar por analogía o asimilación, aplicando unos puntos de conexión y un alcance de su ámbito de aplicación territorial distinto del previsto en los artículos 2 de la Ley y 3 de su Reglamento.

En efecto, el alcance territorial de la LOPD, se establece en el art. 2.1 a ) que señala que la normativa española será aplicable 'cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento responsable del tratamiento'.

Añadiendo el art. 3.1 a) del Reglamento que la normativa española será aplicable.

'cuando el tratamiento sea efectuado en el marco de las actividades realizadas en un establecimiento del responsable del tratamiento, siempre que dicho establecimiento esté ubicado en territorio español'.

Esta normativa por tanto, viene a establecer que la competencia va ligada a que la entidad disponga de un establecimiento, concepto matizado por la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, que en su art. 4, apartado 1, letra a ), después de declarar que una operación de tratamiento de datos de carácter personal solo puede estar sujeta al Derecho de un único Estado miembro, especifica que dicho Estado miembro será aquel en que el responsable del tratamiento disponga de un establecimiento, en el sentido de que desarrolle en él una actividad real y efectiva a través de una instalación estable, en el marco de cuyas actividades se efectúe la operación en cuestión, correspondiendo al órgano jurisdiccional nacional llevar a cabo tal apreciación.

Pues bien, partiendo de estos conceptos, considera la Sala que el poseer un apartado de Correos y una cuenta bancada en España no puede considerarse como el ejercicio real y efectivo de una actividad y no se corresponde con el concepto legal de establecimiento.

El Tribunal Supremo en sentencia de 27 de junio de 2016 y otras muchas, en relación a este concepto, ha señalado:

' Recordemos que el artículo 4 de la Directiva 95/46 , bajo el rótulo de 'Derecho nacional aplicable',contempla esta situación en los siguientes términos: Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro.

Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;

c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios automatizados o no, situados en el territorio de dicho Estado miembro, salvo en casó de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento'.

En respuesta a la cuestión formulada por la Sala de instancia al TJUE sobre el alcance de esta disposición, la sentencia dictada por éste declara lo siguiente: 'el considerando 19 de la Directiva aclara que 'el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable', y 'que la forma Jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad Jurídica, no es un factor determinante.'.

Obviamente, poseer una cuenta corriente y un apartado de correos en España no puede considerarse sin más como el ejercicio efectivo y real de una actividad mediante una instalación estable', razón por la que ha de estimarse la presente demanda. Este es por otro lado, el criterio del representante del Estado en otros procedimientos similares que se siguen asimismo en esta Sala y en los que dicho representante se allanó a la demanda. Así, el recurso 819/2016 (sentencia de 3 de octubre de 2017) y el recurso 238/2016, ambos posteriores al ahora enjuiciado.'

SEGUNDO.-Contra la referida sentencia preparó el Abogado del Estado, en nombre y representación de la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, recurso de casación, que la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional tuvo por preparado mediante Auto de 15 de enero de 2018 que, al tiempo, ordenó remitir las actuaciones al Tribunal Supremo, previo emplazamiento de los litigantes.

TERCERO.-Recibidas las actuaciones y personadas las partes, la Sección Primera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo dictó Auto el 6 de abril de 2018 , cuya parte dispositiva dice literalmente:

'1º) Admitir el recurso de casación núm. 627/2018 preparado por el Sr. abogado del Estado, en la representación que legalmente ostenta, contra la sentencia de la Audiencia Nacional (Sección primera) de 25 de octubre de 2017 (procedimiento ordinario 99/2016).

2º) Declarar que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en interpretar el concepto de establecimiento previsto el artículo 2.1 a) LOPD y en el artículo 3.1 a) del RLOPD en relación con el artículo 4.1 a) de la Directiva 95/46/CE , y la jurisprudencia del TJUE que lo interpreta, a fin de esclarecer si un tratamiento de datos personales realizado en España, en el marco de las actividades de una empresa con sede en un tercer Estado Miembro (en este caso Luxemburgo), que es titular de una cuenta bancaria y un apartado de correos en nuestro país para el desarrollo de su actividad, está sujeto a la normativa española de protección de datos de carácter personal.

3º) Se ordena publicar este Auto en la página web del Tribunal Supremo.

4º) Comunicar inmediatamente a la Sala de instancia la decisión adoptada en este auto.

5º) Para la sustanciación del recurso, remítanse las actuaciones a la Sección tercera de esta Sala Tercera, a la que corresponde con arreglo a las normas sobre reparto de asuntos.

CUARTO.-Por diligencia de ordenación de 26 de abril de 2018, se acuerda que, recibidas las presentes actuaciones procedentes de la Sección Primera de esta Sala de lo Contencioso-Administrativo del Tribunal Supremo, y una vez transcurra el plazo de treinta días que el artículo 92.1 de la Ley de esta Jurisdicción establece para la presentación del escrito de interposición del recurso de casación, se acordará. El Abogado del Estado, en nombre y representación de la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, presentó escrito de interposición del recurso de casación el 24 de mayo de 2018, en el que tras exponer los motivos de impugnación que consideró oportunos, lo concluyó con el siguiente SUPLICO:

'que teniendo por presentado este escrito lo admita y en su virtud tenga por interpuesto el presente recurso de casación y tras la tramitación pertinente dicte sentencia por la que estimándolo y revocando la sentencia recurrida declare:

1.- Que el concepto de establecimiento previsto en el artículo 2.1.a) LOPD y 3.1.a) del RLOPD, en relación con el artículo 4.1.a) de la Directiva 95/46/CE , es un concepto flexible, antiformalista, que no exige la existencia de sucursal o filial, respecto del cual son datos relevantes la existencia de una cuenta corriente y de un apartado de correos. Y que la finalidad a la que responde dicha doctrina enlaza con el propósito de protección de los derechos de las personas que sustenta toda la normativa de protección de datos.

2.- Que la sentencia recurrida al no tener en cuenta dicha doctrina debe de ser revocada.

3.- Que a la vista de los hechos acreditados en las actuaciones ha quedado probada la existencia de establecimiento de TTI en España, por lo que el recurso contencioso administrativo debe de ser desestimado con expresa imposición a dicha entidad de las costas de la instancia.

4.- Subsidiariamente, procede que por la Audiencia Nacional se dicte una sentencia en la que partiendo de la doctrina expuesta analice en concreto la existencia o no de establecimiento de TTI en España.'

QUINTO.-Por diligencia de ordenación de 28 de mayo de 2018, se acuerda dar traslado del escrito de interposición a la parte recurrida (TTI FINANCE SARL) a fin de que, en el plazo de treinta días, pueda oponerse al recurso, lo que efectuó el Abogado del Estado en escrito presentado el 9 de julio de 2018, en el que tras efectuar las manifestaciones que consideró oportunas, lo concluyó con el siguiente SUPLICO:

'Que, teniendo por presentado este escrito, lo admita y se sirva tener por formulado OPOSICIÓN AL RECURSO DE CASACIÓN y tras la oportuna tramitación, dicte sentencia por la que rechace el recurso de casación interpuesto por la Abogacía del Estado y confirme plenamente la Sentencia de la Audiencia Nacional de 25 de octubre de 2017 (Procedimiento ordinario 99/2016) declarando la ausencia de establecimiento a efectos de la normativa de datos personales de TTI en España.'

SEXTO.-Por providencia de 27 de septiembre de 2018, se acuerda, de conformidad con el artículo 92.6 de la Ley de la Ley de la Jurisdicción Contencioso-Administrativa , haber lugar a la celebración de vista pública, señalándose al efecto el día 29 de enero de 2019, fecha en que tuvo lugar el acto, siendo ponente el Excmo. Sr. D. Jose Manuel Bandres Sanchez-Cruzat.

Fundamentos

PRIMERO.- Sobre el objeto y el planteamiento del recurso de casación: El asunto litigioso y la sentencia impugnada dictada por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 25 de octubre de 2017 .

El recurso de casación que enjuiciamos, interpuesto por el Abogado del Estado, al amparo de los artículos 86 y siguientes de la Ley 29/1998, de 13 de julio , reguladora de la Jurisdicción Contencioso-Administrativa, en la redacción introducida por la Ley Orgánica 7/2015, de 21 de julio, tiene por objeto la pretensión de que se revoque la sentencia dictada por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, de 25 de octubre de 2017 , que estimó el recurso contencioso-administrativo formulado por la representación procesal de la mercantil TTI FINANCE SARL contra la resolución de la Directora de la Agencia Española de Protección de Datos de 24 de noviembre de 2015, que le impuso una multa de 50.000 euros por la infracción del artículo 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , en relación con el artículo 29.4 del citado texto legal y con los artículos 38 y 39 del Reglamento de desarrollo de la mencionada Ley .

La sentencia impugnada, cuya fundamentación jurídica hemos transcrito en los antecedentes de hecho de esta sentencia, fundamenta la decisión de estimar el recurso contencioso-administrativo en la consideración de que la Agencia Española de Protección de Datos carece de competencia para imponer una sanción a la empresa TTI FINANCE SARL, por infracción de la Ley Orgánica de Protección de Datos de Carácter Personal, al no ser aplicable dicha normativa, en cuanto el tratamiento de datos no se ha efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento de datos ubicado en territorio español, pues solo disponía de un apartado de correos y era titular de una cuenta corriente en España, lo que no cabe considerar como ejercicio efectivo y real de una actividad mediante una instalación estable.

El recurso de casación se sustenta en la infracción del artículo 2.1.a) de la Ley Orgánica de Protección de Datos de Carácter Personal, en relación con el artículo 3.1 del Reglamento y con el artículo 4.1.a) de la Directiva 95/46/CE y la jurisprudencia del Tribunal de Justicia de la Unión Europea sobre el concepto de establecimiento.

Se aduce al respecto que la sentencia recurrida, para sentenciar la falta de competencia de la Agencia Española de Protección de Datos para sancionar a TTI FINANCE SARL, parte de un concepto de establecimiento que es contrario al mantenido por la jurisprudencia del Tribunal de Justicia de la Unión Europea, en las sentencias de 1 de octubre de 2015 y de 28 de junio de 2018, que, interpretando lo dispuesto en el artículo 4.1.a) de la Directiva 95/46/CE , sostienen que en los supuestos en que un mismo responsable tenga un establecimiento en varios Estados miembros de la Unión Europea se aplica la legislación correspondiente a cada Estado en el que radique el establecimiento.

Se alega que la finalidad a la que responde dicha doctrina enlaza con el propósito de protección de los derechos de las personas que sustenta toda la normativa de protección de datos.

Se afirma que el concepto de establecimiento, según la Directiva 95/46/CE, es un concepto flexible y antiformalista, que se extiende a cualquier actividad real y efectiva, aún mínima, sin que sea necesario exista una sucursal o una empresa filial.

Con base en la exposición de estos argumentos, se pretende que se declare que el concepto de establecimiento previsto en el artículo 2.1.a) LOPD y 3.1.a) del RLOPD, en relación con el artículo 4.1.a) de la Directiva 95/46/CE , es un concepto flexible, antiformalista, que no exige la existencia de sucursal o filial, respecto del cual son datos relevantes la existencia de una cuenta corriente y de un apartado de correos.

SEGUNDO.- Sobre el marco normativo y jurisprudencial aplicable para resolver el recurso de casación.

Antes de abordar las cuestiones jurídicas planteadas por la Abogacía del Estado, respecto de si la sentencia impugnada ha interpretado de forma incorrecta el concepto de establecimiento a que se refiere el artículo 2.1.a) de la Ley Orgánica de Protección de Datos de Carácter Personal, el artículo 3.1 del Reglamento de desarrollo de la mencionada Ley , así como el artículo 4.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos: procede recordar el marco jurídico aplicable y la jurisprudencia del Tribunal Supremo y la del Tribunal de Justicia de la Unión Europea formulada al respecto que estimamos relevante.

El artículo 2.1.a de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , dispone:

'Ámbito de aplicación.

1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.'

El artículo 3.1. del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, refiere:

'1. Se regirá por el presente reglamento todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado en territorio español.

Cuando no resulte de aplicación lo dispuesto en el párrafo anterior, pero exista un encargado del tratamiento ubicado en España, serán de aplicación al mismo las normas contenidas en el título VIII del presente reglamento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española, según las normas de Derecho internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

En este supuesto, el responsable del tratamiento deberá designar un representante establecido en territorio español.'

El artículo 4.1.a de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece:

'Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a)el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable.'

La sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Supremo de 27 de junio de 2016 (RC 642/2015 ) sostiene, con base en la jurisprudencia del Tribunal de Justicia de la Unión Europea formulada en relación con la interpretación del artículo 4 de la Directiva 95/46/CE , que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable y, no es un factor determinante que la forma jurídica de dicho establecimiento sea una simple sucursal o una empresa filial con personalidad jurídica.

En la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014 (Asunto C-131/12 ) se realiza una interpretación del artículo 4.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos, en el sentido de que el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa 'en el marco de las actividades' de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor.

No obstante, tras el pronunciamiento de esta directriz, el Tribunal de Justicia matiza que el artículo 4, apartado 1, letra a), de la Directiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado 'por' el propio establecimiento en cuestión, sino que se realice 'en el marco de las actividades' de éste, pues hay que tener en cuenta que además, visto el objetivo de la Directiva 95/46 de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, ésta expresión no puede ser objeto de una interpretación restrictiva (véase, por analogía, la sentencia L'Oréal y otros, C-324/09 , EU:C:2011:474 , apartados 62 y 63). En este marco -concluye la sentencia- cabe señalar que se desprende, concretamente de los considerandos 18 a 20 y del artículo 4 de la Directiva 95/46 , que el legislador de la Unión pretendió evitar que una persona se viera excluida de la protección garantizada por ella y que se eludiera esta protección, estableciendo un ámbito de aplicación territorial particularmente extenso.

En la sentencia del Tribunal de Justicia de la Unión Europea de 1 de octubre de 2015 (asunto C-230/14 ) se afirma que a tenor del artículo 4, apartado 1, letra a), de la Directiva 95/46, los Estados miembros aplicarán las disposiciones nacionales que hayan aprobado para la aplicación de esta Directiva a todo tratamiento de datos personales cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Visto el objetivo perseguido por la Directiva 95/46, consistente en garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, concretamente del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, la expresión 'en el marco de las actividades de un establecimiento' no puede ser objeto de interpretación restrictiva (véase, en este sentido, la sentencia Google Spain y Google, C-131/12 , EU:C:2014:317 , apartado 53).

En la ulterior sentencia del Tribunal Superior de Justicia de la Unión Europea de 28 de junio de 2016 (Asunto C-191/15 ) se resuelve la cuestión prejudicial planteada por el Tribunal Supremo de Austria en el sentido de que el artículo 4, apartado 1, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por una empresa de comercio electrónico se rige por el Derecho del Estado miembro al que dicha empresa dirige sus actividades si esa empresa efectúa el tratamiento de los datos en cuestión en el marco de las actividades de un establecimiento situado en un Estado miembro. Corresponde al órgano jurisdiccional nacional determinar si ése es el caso.

Y en la sentencia del Tribunal de Justicia de la Unión Europea de 3 de junio de 2018 (asunto C-210/16 ) se refiere que el artículo 4, apartado 1, letra a), y el artículo 28, apartados 3 y 6, de la Directiva 95/46 deben interpretarse en el sentido de que, cuando la autoridad de control de un Estado miembro pretende ejercer frente a una entidad establecida en el territorio de ese Estado miembro los poderes de intervención contemplados en el artículo 28, apartado 3, de la referida Directiva debido a infracciones de las normas relativas a la protección de datos personales cometidas por un tercero responsable del tratamiento de esos datos que tiene su domicilio en otro Estado miembro, dicha autoridad de control es competente para apreciar, de manera autónoma respecto de la autoridad de control de este último Estado miembro, la legalidad del referido tratamiento de datos y puede ejercer sus poderes de intervención frente a la entidad establecida en su territorio sin instar previamente la intervención de la autoridad de control del otro Estado miembro.

TERCERO.- Sobre la formación de jurisprudencia relativa a la interpretación del artículo 2.1.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y del artículo 3.1.a) del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, en relación con el artículo 4.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

La cuestión sobre la que esta Sala de lo Contencioso-Administrativo del Tribunal Supremo debe pronunciarse, con objeto de la formación de jurisprudencia, versa sobre si está sujeto a la normativa española en materia de protección de datos de carácter personal una sociedad mercantil responsable del tratamiento de datos, que está domiciliada en un tercer Estado miembro de la Unión Europea y que a los efectos de considerar que el tratamiento de datos se efectúa en el marco de las actividades de un establecimiento que se encuentre ubicado en territorio español, solo cuenta para realizar su actividad en España con la utilización de un apartado de correos y la titularidad de una cuenta corriente.

Concretamente, tal como se expone en el auto de la Sección Primera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo de 6 de abril de 2018 , la controversia jurídica que se suscita consiste en interpretar el concepto de establecimiento previsto el artículo 2.1 a) LOPD y en el artículo 3.1 a) del RLOPD en relación con el artículo 4.1 a) de la Directiva 95/46/CE , y la jurisprudencia del TJUE que lo interpreta, a fin de esclarecer si un tratamiento de datos personales realizado en España, en el marco de las actividades de una empresa con sede en un tercer Estado Miembro (en este caso Luxemburgo), que es titular de una cuenta bancaria y un apartado de correos en nuestro país para el desarrollo de su actividad, está sujeto a la normativa española de protección de datos de carácter personal.

A tal efecto, resulta pertinente poner de manifiesto que la respuesta jurisdiccional que demos a esta cuestión comporta resolver si tal como propugna la Abogacía del Estado, la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional impugnada ha infringido el artículo 2.1.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , el artículo 3.1.a) del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la citada Ley Orgánica 15/1999, en relación con el artículo 4.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, al sostener que la Agencia Española de Protección de Datos carece de competencia para sancionar a una empresa, domiciliada en Luxemburgo, que solo posee en España para realizar su actividad de tratamiento de datos un apartado de correos y una cuenta bancaria en una entidad de crédito, en cuanto dichos medios técnicos no se corresponden con el concepto legal de 'establecimiento', al no poder considerarse como ejercicio real y efectivo de una actividad realizada en territorio español.

Esta Sala considera que el Tribunal de instancia ha interpretado de forma inadecuada el artículo 2.1.a) de la Ley Orgánica 15/1999 , de 13 de diciembre, de Protección de Datos de Carácter Personal , que establece el ámbito territorial de aplicación de la citada norma, que rige, entre otros supuestos, cuando el tratamiento de datos personales se efectúe en territorio español 'en el marco de las actividades de un establecimiento del responsable del tratamiento', pues no tiene en cuenta que la sociedad TTI FINANCE SARL, aunque estaba domiciliada en otro Estado miembro de la Unión Europea (Luxemburgo), dirigía de forma regular actividades y operaciones a través de medios instrumentales radicados en España, adoptando decisiones relativas a los fines y medios del tratamiento de datos, al haberse acreditado que era la responsable de impartir las órdenes para que se incluyeran los datos personales del afectado en el fichero de solvencia patrimonial BADEXCUG.

Debía, asimismo, haber tomado en consideración, para apreciar la concurrencia del presupuesto de que el tratamiento de datos se efectúe en el marco de las actividades de un establecimiento que la cesión de datos personales, que motivó la denuncia del afectado, se asocia a un contrato de compraventa de una cartera de créditos celebrado en España, que era gestionada por la compañía TDX INDIGO IBERIA SLU, domiciliada en España, que se encargaba de las reclamaciones e incidencias en relación con las obligaciones de pago que resultaban incumplidas, y que la cesión de datos se efectuaba para la inclusión en un fichero de solvencia patrimonial BADEXCUG del que era responsable la empresa EXPERIAN BUREAU DE CRÉDITO, S.A., que operaba en España.

Por ello, estimamos que la sentencia impugnada ha realizado una aplicación restrictiva y formalista del artículo 2.1.a) de la Ley Orgánica 15/1999 , que se revela lesiva del objetivo perseguido por la referida disposición de garantizar una protección eficaz y plena del derecho fundamental a la intimidad en lo que respecta al tratamiento de datos personales, en cuanto se basa en la consideración de que la empresa TTI FINANCE SARL no está establecida en España, por lo que no resulta aplicable la cláusula de sujeción al Derecho español de protección de datos de carácter personal, sin valorar adecuadamente las circunstancias especificas en que desarrolla la actividad de tratamiento de datos dicha compañía en territorio español, que evidencia la existencia de vínculos de conexión suficientes, puesto que la empresa subcontratada TDX INDIGO IBERIA SLU actuaba, respecto de la inclusión en el fichero de morosos de una determinada persona, bajo la autoridad directa del responsable del tratamiento de datos.

En este sentido, estimamos que la sentencia de instancia desconsidera la interpretación que del artículo 4.1.a) de la Directiva 45/96 ha efectuado el Tribunal de Justicia de la Unión Europea en la sentencia de 1 de octubre de 2015 (asunto C-230/14 ), en que se formula la directriz de que el concepto de establecimiento, a que se refiere dicha disposición, no puede entenderse en todo caso equivalente al de la sede social donde este registrada la sociedad responsable del tratamiento de datos, debiendo valorarse para la determinación de esta noción el grado de estabilidad de la instalación así como el grado de efectividad del desarrollo de la actividad y la naturaleza específica de las actividades económicas y de las prestaciones de servicios de que se trate.

Según se desprende de la mencionada sentencia del Tribunal de Justicia de la Unión Europea, cabe integrar en el concepto de establecimiento, desde una perspectiva funcional, las actividades que realice la empresa responsable del tratamiento de datos a través de un representante que disponga de los medios necesarios para la prestación de los servicios concretos de que se trate en el Estado miembro, lo que mutatis mutandis resulta aplicable al supuesto enjuiciado en este recurso de casación, dada la similitud existente en los presupuestos de hecho relativos a los medios humanos y técnicos utilizados, pues cabe tener en cuenta además que TTI FINANCE SARL operaba en España a través de un apoderado, con domicilio en Madrid, y disponía de dos personas de contacto encargadas de realizar las gestiones de comunicación e información con los afectados a través de medios telemáticos.

Por ello apreciamos que contrariamente a lo que sostiene la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, la Agencia Española de Protección de Datos tenía competencia para controlar las actividades de la sociedad TTI FINANCE SARL, en la medida que resultaba aplicable la obligación contenida en el artículo 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , que establece que los datos personales serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

Conforme a los razonamientos jurídicos expuestos, esta Sala, dando respuesta a la cuestión planteada en este recurso de casación, que presenta interés casacional objetivo para la formación de jurisprudencia, declara que:

A los efectos de considerar si es aplicable la normativa de protección de datos de carácter personal, de un Estado miembro de la Unión Europea a una empresa responsable del tratamiento de datos personales, en aquellos supuestos en que la sede principal esté ubicada en el territorio de otro Estado miembro de la Unión Europea, pero que realice actividades en otros Estados miembros, el concepto de establecimiento a que se refiere el artículo 2.1.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , así como el artículo 3.1.a) del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, en consonancia con lo dispuesto en el artículo 4.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse de forma flexible y antiformalista, en el sentido de que resultan comprendidos el tratamiento de datos personales que se realiza en el marco o en el contexto de la actuación desarrollada en un Estado miembro de la Unión Europea (distinto a donde tiene la sede o administración principal) a través de la utilización de medios instrumentales que se revelen idóneos y eficaces en el tratamiento de datos personales.

Debe hacerse referencia, en último término, a la circunstancia de que el artículo 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal -objeto de interpretación en este recurso de casación- ha sido derogado por la disposición derogatoria única de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que entró en vigor el 7 de diciembre de 2018, que establece en el artículo 2 el ámbito de aplicación territorial de la citada norma , en los siguientes términos:

'1. Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. Esta ley orgánica no será de aplicación:

a) A los tratamientos excluidos del ámbito de aplicación del Reglamento general de protección de datos por su artículo 2.2, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artículo.

b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3.

c) A los tratamientos sometidos a la normativa sobre protección de materias clasificadas.

3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica. Se encuentran en esta situación, entre otros, los tratamientos realizados al amparo de la legislación orgánica del régimen electoral general, los tratamientos realizados en el ámbito de instituciones penitenciarias y los tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles.

4. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables.'

En consecuencia con lo razonado, debemos acoger la pretensión revocatoria deducida y declarar haber lugar al recurso de casación interpuesto por la Abogacía del Estado contra la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, de 25 de octubre de 2017, dictada en el recurso contencioso- administrativo 99/16 , que casamos.

Y de conformidad con lo dispuesto en el artículo 93 de la Ley reguladora de la Jurisdicción Contencioso-Administrativa , procede examinar los demás motivos de impugnación formulados contra la resolución de la Directora de la Agencia Española de Protección de Datos de 24 de noviembre de 2015, que le impuso una multa de 50.000 euros por la infracción del artículo 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , en relación con el artículo 29.4 del citado texto legal y con los artículos 38 y 39 del Reglamento de desarrollo de la mencionada Ley .

La pretensión de que se declare la nulidad de la resolución impugnada por haber caducado el procedimiento preliminar de actuaciones previas, de conformidad con lo dispuesto en el artículo 122.4 del Reglamento de desarrollo de la Ley Orgánica 15/1999 , no puede ser estimada en cuanto que apreciamos que, tal como aduce el Abogado del Estado en su escrito de contestación a la demanda, no ha transcurrido el plazo de un año entre la presentación denuncia ante la Agencia Española de Protección de Datos, que tuvo entrada en el Registro el 25 de julio de 2014, y la notificación de la resolución, por la que se inicia el expediente sancionador, (1 de julio de 2015), teniendo en cuenta que, con independencia de la dirección en que se notificó dicha resolución, el 23 de julio de 2015 TTI FINANCE SARL realizó alegaciones en defensa de sus intereses, cuestionando la falta de competencia del Organismo supervisor y la posible indefensión causada por una supuesta notificación incorrecta.

Por ello, al haberse rechazado previamente uno de los motivos de impugnación, relativo a la falta de competencia de la Agencia Española de Protección de Datos, así como resultaba procedente la exigencia de responsabilidad de la empresa TTI FINANCE SARL como responsable del tratamiento de datos, cuya culpabilidad no se enerva por la colaboración de la empresa TDX INDIGO IBERIA SLU, procede desestimar el recurso contencioso-administrativo, y declarar que la resolución de la Directora de la Agencia Española de Protección de Datos de 24 de noviembre de 2015, que le impuso una multa de 50.000 euros por la infracción del artículo 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , en relación con el artículo 29.4 del citado texto legal y con los artículos 38 y 39 del Reglamento de desarrollo de la mencionada Ley , es conforme a Derecho.

CUARTO.- Sobre las costas procesales.

De conformidad con lo dispuesto en los artículos 93.4 y 139.1 de la Ley de la Jurisdicción de la Jurisdicción Contencioso-Administrativa, no procede efectuar expresa imposición de las costas procesales causadas en el presente recurso de casación ni de las costas causadas en el proceso de instancia.

Fallo

Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido tras fijar la doctrina jurisprudencial que hemos expuesto en el precedente fundamento jurídico tercero de esta sentencia, respecto de la interpretación aplicativa del artículo 2.1.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y del artículo 3.1.a) del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, en relación con el artículo 4.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos:

Primero.- Declarar haber lugar al recurso de casación interpuesto por el Abogado del Estado contra la sentencia de la Sección Primera de la Sala de lo Contencioso- Administrativo de la Audiencia Nacional de 25 de octubre de 2017, dictada en el recurso contencioso-administrativo 99/2016 , que casamos.

Segundo.- Desestimar el recurso contencioso-administrativo interpuesto por la representación procesal de la mercantil TTI FINANCE SARL contra la resolución de la Directora de la Agencia Española de Protección de Datos de 24 de noviembre de 2015, que se declara conforme a Derecho.

Tercero.- No efectuar expresa imposición de las costas procesales causadas en el presente recurso de casación ni de las costas causadas en el proceso de instancia.

Notifíquese esta resolución a las partes e insértese en la colección legislativa.

Así se acuerda y firma.

Eduardo Espin Templado Jose Manuel Bandres Sanchez-Cruzat Eduardo Calvo Rojas

Maria Isabel Perello Domenech D. Jose Maria del Riego Valledor

Diego Cordoba Castroverde Angel Ramon Arozamena Laso

PUBLICACIÓN.-Leída y publicada fue la anterior sentencia, estando constituida la Sala en Audiencia Pública, lo que, como Letrado de la Administración de Justicia, certifico.