Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62016CC0210

Conclusiones del Abogado General Sr. Y. Bot, presentadas el 24 de octubre de 2017.
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contra Wirtschaftsakademie Schleswig-Holstein GmbH.
Petición de decisión prejudicial planteada por el Bundesverwaltungsgericht.
Procedimiento prejudicial — Directiva 95/46/CE — Datos personales — Protección de las personas físicas en lo que respecta al tratamiento de estos datos — Orden por la que se solicita la desactivación de una página de Facebook (fan page) que permite recoger y tratar determinados datos vinculados a los visitantes de esa página — Artículo 2, letra d) — Responsable del tratamiento de datos personales — Artículo 4 — Derecho nacional aplicable — Artículo 28 — Autoridades nacionales de control — Poderes de intervención de esas autoridades.
Asunto C-210/16.

Court reports – general

ECLI identifier: ECLI:EU:C:2017:796

CONCLUSIONES DEL ABOGADO GENERAL

SR. YVES BOT

presentadas el 24 de octubre de 2017 ( 1 )

Asunto C‑210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

contra

Wirtschaftsakademie Schleswig-Holstein GmbH,

con intervención de:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

[Petición de decisión prejudicial planteada por el Bundesverwaltungsgericht (Tribunal Supremo de lo Contencioso-Administrativo, Alemania)]

«Procedimiento prejudicial — Directiva 95/46/CE — Artículos 2, 4 y 28 — Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos — Orden por la que se solicita la desactivación de una página de fans en la red social Facebook — Concepto de “responsable del tratamiento” — Responsabilidad del administrador de una página de fans — Responsabilidad conjunta — Derecho nacional aplicable — Alcance de los poderes de intervención de las autoridades de control»

1.

La presente petición de decisión prejudicial tiene por objeto la interpretación de los artículos 2, letra d), 4, apartado 1, 17, apartado 2, y 28, apartados 3 y 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, ( 2 ) en su versión modificada por el Reglamento (CE) n.o 1882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003. ( 3 )

2.

Esta petición se ha presentado en el marco de un litigio entre la Wirtschaftsakademie Schleswig-Holstein GmbH, una sociedad de Derecho privado especializada en el ámbito educativo (en lo sucesivo, «Wirtschaftsakademie») y la Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, autoridad regional de protección de datos de Schleswig-Holstein (en lo sucesivo, «ULD») sobre la legalidad de una orden adoptada por ésta contra la Wirtschaftsakademie solicitándole que desactivara una «página de fans» (Fanpage) alojada en el sitio web de Facebook Ireland Ltd.

3.

Esta orden vino motivada por la presunta infracción de las disposiciones del Derecho alemán que transponen la Directiva 95/46, en particular debido a que no se advertía a los visitantes de una página de fans de que la red social Facebook (en lo sucesivo, «Facebook») recogía sus datos personales mediante cookies que se depositaban en su disco duro, y que dicha obtención se realizaba con el fin de elaborar estadísticas de audiencia destinadas al administrador de dicha página y permitir la difusión de publicidad personalizada por Facebook.

4.

El telón de fondo del presente asunto es el fenómeno del «webtracking», que consiste en observar y analizar el comportamiento de los usuarios de Internet con fines comerciales y de marketing. Este webtracking permite identificar, en particular, los intereses de los usuarios de Internet a partir de la observación de su comportamiento de navegación. En ese caso se habla de «webtracking de comportamiento». Este último se realiza generalmente utilizando cookies.

5.

Las cookies son ficheros identificativos que se almacenan en el ordenador del internauta desde el momento en que consulta una página web.

6.

El webtracking se utiliza concretamente con el fin de optimizar y configurar de manera más efectiva una página web. También permite a los publicistas dirigirse específicamente a diferentes segmentos del público.

7.

Según la definición que ofrece el Grupo de Trabajo «Artículo 29» de protección de datos ( 4 ) en su Dictamen 2/2010, de 22 de junio de 2010, sobre la publicidad comportamental en línea, ( 5 )«la publicidad comportamental es publicidad basada en la observación continuada del comportamiento de los individuos. La publicidad comportamental busca estudiar las características de dicho comportamiento a través de sus acciones (visitas repetidas a un sitio concreto, interacciones, palabras clave, producción de contenidos en línea, etc.) para desarrollar un perfil específico y proporcionar así a los usuarios anuncios a medida de los intereses inferidos de su comportamiento». ( 6 ) Para llegar a este resultado, se debe recabar información procedente del navegador y del terminal del usuario para luego poder utilizarla. La principal técnica de seguimiento que permite seguir a los usuarios en Internet se basa en las «cookies de rastreo». ( 7 ) Así pues, «la publicidad orientada por los comportamientos utiliza información recogida sobre el comportamiento de un individuo cuando navega por internet, como las páginas que visita o las búsquedas que realiza, para seleccionar el tipo de publicidad que se le va a ofrecer». ( 8 )

8.

El seguimiento del comportamiento de navegación permite también ofrecer a los gestores de las páginas web unas estadísticas de audiencia relativas a las personas que consultan dichas páginas.

9.

La recogida y la explotación de datos personales con el fin de elaborar estadísticas de audiencia y de ofrecer publicidad personalizada deben responder a determinados requisitos para ser conformes con las normas de protección de los datos personales derivadas de la Directiva 95/46. En particular, estos tratamientos no pueden producirse sin informar y obtener el consentimiento de las personas afectadas de forma previa.

10.

El examen de esta conformidad supone no obstante resolver previamente diversas cuestiones relativas a la definición de lo que se considera un responsable del tratamiento y a la determinación del Derecho nacional aplicable y de la autoridad competente para ejercer sus poderes de intervención.

11.

La cuestión relativa a la identificación del responsable del tratamiento se vuelve particularmente delicada en una situación en la que un operador económico decide no instalar en su página web las herramientas necesarias para la elaboración de estadísticas de audiencia y la difusión de publicidad personalizada, sino recurrir a una red social como Facebook para abrir una página de fans y poder disfrutar así de herramientas similares.

12.

Las cuestiones relativas a la determinación del Derecho nacional aplicable y de la autoridad competente para ejercer sus poderes de intervención también se complican cuando el tratamiento de los datos personales en cuestión supone la intervención de diversas entidades situadas tanto dentro como fuera de la Unión Europea.

13.

En un momento en el que, durante estos últimos meses, las autoridades de control de diversos Estados miembros han decidido imponer multas a Facebook por la infracción de las normas relativas a la protección de los datos de sus usuarios, ( 9 ) el asunto examinado permitirá al Tribunal de Justicia precisar el alcance de los poderes de intervención de que disponen las autoridades de control como la ULD respecto de un tratamiento de datos personales que implique la participación de diversos actores.

14.

De entrada, es preciso describir el marco fáctico del litigio principal con el fin de poder apreciar correctamente los desafíos jurídicos que plantea el presente asunto.

I. Antecedentes de hecho del litigio principal y cuestiones prejudiciales

15.

La Wirtschaftsakademie ofrece servicios de formación mediante una página de fans alojada en el sitio de la red social Facebook.

16.

Las páginas de fans son cuentas de usuario que pueden configurarse en Facebook, entre otros, por particulares o por empresas. Para ello, el administrador de la página de fans debe registrarse en Facebook y de este modo puede utilizar la plataforma gestionada por éste para presentarse a los usuarios de esta red social y ofrecer comunicaciones de todo tipo, especialmente con el fin de desarrollar una actividad comercial.

17.

Los administradores de páginas de fans pueden obtener estadísticas de audiencia mediante la herramienta «Facebook Insights», que Facebook pone a su disposición de forma gratuita en el marco de unas condiciones de uso no modificables. Facebook elabora estas estadísticas y el administrador de una página de fans las personaliza mediante diferentes criterios que puede seleccionar, tales como la edad o el sexo. Así pues, dichas estadísticas proporcionan información anónima sobre las características y los hábitos de las personas que consulten las páginas de fans, lo que permite a sus administradores de estas páginas adaptar mejor su comunicación.

18.

Para elaborar tales estadísticas de audiencia, Facebook almacena como mínimo una cookie que lleva asociado un número de identificación único, activo durante dos años, en el disco duro de la persona que consulte la página de fans. El número de identificación, que puede vincularse a los datos de conexión de los usuarios registrados en Facebook, se recoge y trata en el momento en que se abren las páginas de Facebook.

19.

Mediante una resolución de 3 de noviembre de 2011, la ULD ordenó a la Wirtschaftsakademie, con arreglo al artículo 38, apartado 5, primera frase, de la Bundesdatenschutzgesetz (Ley Federal sobre Protección de Datos; en lo sucesivo, «BDSG»), ( 10 ) que desactivara la página de fans que había creado en Facebook en la siguiente dirección de Internet: https://www.facebook.com/wirtschaftsakademie, bajo pena de multa coercitiva en caso de incumplimiento dentro del plazo establecido, debido a que ni la Wirtschaftsakademie ni Facebook informaban a los visitantes de la página de fans de que esta última recogía sus datos personales mediante cookies y que además trataba dichos datos. La Wirtschaftsakademie presentó una reclamación contra esta resolución alegando, en esencia, que no era responsable, respecto del Derecho a la protección de datos aplicable, ni del tratamiento de los datos realizado por Facebook ni de las cookies instaladas por éste.

20.

Mediante una resolución de 16 de diciembre de 2011, la ULD desestimó esta reclamación al considerar que la responsabilidad de la Wirtschaftsakademie como proveedor de servicios estaba acreditada con arreglo a los artículos 3, apartado 3, punto 4, y 12, apartado 1, de la Telemediengesetz (Ley sobre los Medios de Comunicación Electrónicos). ( 11 ) En su opinión, al crear la página de fans, la Wirtschaftsakademie también realizó una contribución activa y voluntaria a la recogida de datos personales por parte de Facebook, contribución de la que considera que se benefició mediante las estadísticas relativas a los usuarios que esta red social puso a su disposición.

21.

A continuación, la Wirtschaftsakademie interpuso recurso contencioso-administrativo contra esta resolución ante el Verwaltungsgericht (Tribunal de lo Contencioso-Administrativo, Alemania) alegando que no le eran imputables las operaciones de tratamiento de los datos por Facebook y que tampoco había encargado a Facebook, en el sentido del artículo 11 de la BDSG, ( 12 ) que realizara un tratamiento de datos bajo su control o en el que ésta pudiera influir. Por lo tanto, la Wirtschaftsakademie consideró que la ULD había incurrido en un error al dirigirse contra ella y no directamente contra Facebook.

22.

Mediante sentencia de 9 de octubre de 2013, el Verwaltungsgericht (Tribunal de lo Contencioso-Administrativo) anuló la resolución impugnada basándose, en esencia, en que el administrador de una página de fans en Facebook no era un «organismo responsable» en el sentido del artículo 3, apartado 7, de la BDSG ( 13 ) y que, por consiguiente, la Wirtschaftsakademie no podía ser destinataria de una medida adoptada con arreglo al artículo 38, apartado 5, de la BDSG.

23.

Posteriormente, el Oberverwaltungsgericht (Tribunal Superior de lo Contencioso-Administrativo, Alemania) desestimó el recurso de apelación interpuesto por la ULD contra esta sentencia por infundado al considerar, en esencia, que la prohibición del tratamiento de los datos establecida en la resolución impugnada era ilegal, por cuanto el artículo 38, apartado 5, segunda frase, de la BDSG establece un procedimiento progresivo, cuya primera fase permite únicamente adoptar medidas dirigidas a subsanar las infracciones detectadas en el tratamiento de los datos. Sólo se podría contemplar la prohibición inmediata del tratamiento de datos si el procedimiento de tratamiento de datos fuera ilícito en su totalidad y únicamente la suspensión de ese procedimiento permitiera subsanar dicha situación. Pues bien, según el Oberverwaltungsgericht (Tribunal Superior de lo Contencioso-Administrativo), no sucedía tal cosa en el presente asunto, dado que Facebook tenía efectivamente la posibilidad de hacer cesar las infracciones que alegó la ULD.

24.

Según dicho tribunal, la orden también era ilegal debido a que la recurrente no era un organismo responsable en el sentido del artículo 3, apartado 7, de la BDSG, por lo que respecta a los datos obtenidos por Facebook a raíz de la administración de la página de fans, y a que sólo se podía dictar una orden en virtud del artículo 38, apartado 5, de la BDSG contra un organismo de este tipo. En el presente asunto, a su juicio, únicamente Facebook podía decidir la finalidad y los medios relativos a la recogida y al tratamiento de los datos personales utilizados por la funcionalidad «Facebook Insights». Por su lado, la recurrente sólo recibía información estadística anonimizada.

25.

Según ese tribunal, el artículo 38, apartado 5, de la BDSG no autoriza las órdenes contra terceros. Considera que la responsabilidad denominada «indirecta» («Störerhaftung») en Internet, desarrollada por la jurisprudencia del orden civil, no es aplicable a las prerrogativas de los poderes públicos. Aunque el artículo 38, apartado 5, de la BDSG no nombre expresamente al destinatario de la orden de prohibición, de la lógica, el objeto y el espíritu de la normativa, así como de su génesis, se deduce que el destinatario sólo puede ser el organismo responsable.

26.

Mediante su recurso de Revision, interpuesto ante el Bundesverwaltungsgericht (Tribunal Supremo de lo Contencioso-Administrativo, Alemania), la ULD alegó, entre otras, una infracción del artículo 38, apartado 5, de la BDSG e invocó diversos errores procesales cometidos por el órgano jurisdiccional de apelación. Ésta consideró que la infracción cometida por la Wirtschaftsakademie estribaba en que había encargado la realización, el alojamiento y el mantenimiento de una página web a un proveedor —en este caso, Facebook Ireland— que era inadecuado porque no respetó el Derecho aplicable a la protección de datos. Así pues, a su entender, la orden de desactivación pretendía subsanar esta infracción cometida por la Wirtschaftsakademie, en el sentido de que le prohibía continuar utilizando la infraestructura de Facebook como base técnica de su sitio de Internet.

27.

El tribunal remitente considera que, en lo referente a la recogida y el tratamiento de los datos de las personas que consultan la página de fans llevados a cabo por la parte coadyuvante en el litigio principal, a saber, Facebook Ireland, la Wirtschaftsakademie no es «el organismo que recoja, trate o utilice datos personales por cuenta propia o mediante un tercero actuando como encargado del tratamiento», en el sentido del artículo 3, apartado 7, de la BDSG, o el «organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales», en el sentido del artículo 2, letra d), de la Directiva 95/46. A su entender, no cabe duda de que, mediante su decisión de crear una página de fans en la plataforma explotada por la coadyuvante en el litigio principal o por su sociedad matriz (en el caso de autos, Facebook Inc. USA), la Wirtschaftsakademie ofreció objetivamente a la coadyuvante en el litigio principal la posibilidad de instalar cookies cuando se abriera dicha página de fans y de recoger datos de este modo. Sin embargo, también entiende que esta decisión no permitió a la Wirtschaftsakademie influir, guiar, modelar o siquiera controlar la naturaleza y el alcance del tratamiento de los datos de los usuarios de su página de fans por parte de la coadyuvante en el litigio principal. En su opinión, las condiciones de uso de la página de fans tampoco le confirieron a la Wirtschaftsakademie derechos de intervención o de control. Según el tribunal remitente, las condiciones de uso establecidas unilateralmente por la coadyuvante en el litigio principal no fueron el resultado de un proceso de negociación y tampoco daban derecho a la Wirtschaftsakademie a prohibir a la coadyuvante en el litigio principal que recabara y tratara los datos de los usuarios de la página de fans.

28.

El tribunal remitente reconoce que la definición jurídica del «responsable del tratamiento» que se recoge en el artículo 2, letra d), de la Directiva 95/46 debe interpretarse, en principio, de manera extensiva, con la finalidad de obtener una protección eficaz del derecho a la intimidad. Sin embargo, considera que la Wirtschaftsakademie no responde a esta definición, en la medida en que carece de influencia alguna en Derecho o de hecho sobre las formas del tratamiento de los datos personales, que la coadyuvante realizó en el litigio principal bajo su propia responsabilidad y con total independencia. En este sentido, entiende que es insuficiente el hecho de que la Wirtschaftsakademie pudiera beneficiarse objetivamente de la funcionalidad «Facebook Insights» explotada por la coadyuvante en el litigio principal debido a que se le transferían datos anonimizados para la utilización de su página de fans.

29.

Según el tribunal remitente, la Wirtschaftsakademie tampoco podía considerarse responsable de un tratamiento de datos como encargado del tratamiento, en el sentido del artículo 11 de la BDSG y de los artículos 2, letra e), y 17, apartados 2 y 3, de la Directiva 95/46.

30.

Ese tribunal considera que se necesita que se aclare si pueden ejercerse los poderes de control y de intervención de las autoridades de control en materia de protección de los datos únicamente contra el «responsable del tratamiento», en el sentido del artículo 2, letra d), de la Directiva 95/46, y en qué circunstancias, o si es posible considerar responsable a un organismo que no sea el responsable del tratamiento de los datos, según la definición resultante de esa misma disposición, en virtud de la decisión adoptada por dicho organismo de recurrir a Facebook para ofrecer su información.

31.

En este último supuesto, el tribunal remitente se pregunta si tal responsabilidad se puede basar en una aplicación analógica de las obligaciones de elección y de control derivadas del artículo 17, apartado 2, de la Directiva 95/46 en el marco de un tratamiento de datos como encargado del tratamiento.

32.

Con el fin de poder resolver sobre la legalidad de la orden dictada en el presente asunto, el tribunal remitente considera que también es necesario esclarecer determinados aspectos relativos a la competencia de las autoridades de control y al alcance de sus poderes de intervención.

33.

En particular, el tribunal remitente se pregunta sobre el reparto de las competencias entre las autoridades de control en el caso de que la sociedad matriz (como Facebook Inc.) disponga de diversos establecimientos en el territorio de la Unión y que dichos establecimientos tengan atribuidas funciones diferentes dentro del grupo.

34.

El tribunal remitente recuerda, a este respecto, que en su sentencia de 13 de mayo de 2014, Google Spain y Google, ( 14 ) el Tribunal de Justicia declaró que «el artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro». ( 15 ) El tribunal remitente se pregunta si dicha vinculación a un establecimiento como Facebook Germany GmbH, que, según la información que figura en la resolución de remisión, se ocupa de la promoción y la venta de espacios publicitarios y de otras actividades de marketing dirigidas a los habitantes de Alemania, es extrapolable, a los efectos de la aplicabilidad de la Directiva 95/46 y de la determinación de la autoridad de control competente, a una situación en la que una filial establecida en otro Estado miembro (en este caso, Irlanda) actúa como «responsable del tratamiento» en todo el territorio de la Unión.

35.

En lo referente a los destinatarios de una medida adoptada en virtud del artículo 28, apartado 3, de la Directiva 95/46, el tribunal remitente señala que la medida coercitiva adoptada contra la Wirtschaftsakademie podría ser constitutiva de un error de apreciación y, por consiguiente, ser ilegal si se podían subsanar las vulneraciones del derecho a la protección de los datos aplicable que alegó la ULD mediante una medida dirigida directamente contra la filial Facebook Germany, que está establecida en Alemania.

36.

El tribunal remitente también destaca que la ULD considera que no está vinculada por las constataciones y apreciaciones del Data Protection Commissioner (Autoridad de Protección de Datos, Irlanda), que, según la información aportada por la Wirtschaftsakademie y por la coadyuvante en el litigio principal, no impugnó el tratamiento de datos personales examinado en el litigio principal. Por lo tanto, ese tribunal desea saber, por una parte, si es posible admitir tal apreciación autónoma por parte de la ULD y, por otra parte, si el artículo 28, apartado 6, segunda frase, de la Directiva 95/46 obligaba a la ULD a solicitar a la Autoridad de Protección de Datos que actuara contra Facebook Ireland, habida cuenta de las diferencias de apreciación entre estas dos autoridades de control en cuanto a la conformidad del tratamiento de datos examinado en el litigio principal con las normas resultantes de la Directiva 95/46.

37.

En estas circunstancias, el Bundesverwaltungsgericht (Tribunal Supremo de lo Contencioso-Administrativo) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)

¿Debe interpretarse el artículo 2, letra d), de la Directiva 95/46 en el sentido de que regula taxativa y exhaustivamente la responsabilidad por las infracciones en materia de protección de datos, o bien, en el ámbito de las “medidas adecuadas” a que se refiere el artículo 24 de [esta Directiva] y de los “poderes efectivos de intervención” mencionados en el artículo 28, apartado 3, segundo guion, de [dicha Directiva], en las relaciones en cadena de proveedores de información también puede incurrir en responsabilidad una entidad que no sea responsable del tratamiento de los datos, en el sentido del artículo 2, letra d), de [la mencionada Directiva], por la elección del operador para ofrecer su información?

2)

¿De la obligación impuesta por el artículo 17, apartado 2, de la Directiva 95/46 a los Estados miembros de establecer que, en caso de que se encargue el tratamiento de los datos, el responsable del tratamiento deberá “elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse” se deduce, a sensu contrario, que en otras relaciones de uso que no suponen un tratamiento de datos mediante un encargado del tratamiento en el sentido del artículo 2, letra e), de [esta Directiva], no existe tal obligación de elección diligente y tampoco la puede imponer el Derecho nacional?

3)

En los casos en que una sociedad matriz establecida fuera de la Unión mantenga establecimientos jurídicamente independientes (filiales) en diversos Estados miembros, ¿la autoridad de control de un Estado miembro (en este caso, Alemania) es también competente con arreglo al artículo 4 y al artículo 28, apartado 6, de la Directiva 95/46, para ejercer los poderes que le otorga el artículo 28, apartado 3, de [esta Directiva] contra el establecimiento situado en su territorio, aunque dicho establecimiento sólo tenga funciones de promoción y venta de espacios publicitarios así como relativas a otras medidas de marketing dirigidas a los habitantes de ese Estado miembro, mientras que, conforme al reparto de funciones dentro del grupo, corresponde al establecimiento independiente (filial) situado en otro Estado miembro (en este caso, Irlanda) la responsabilidad exclusiva relativa a la obtención y al tratamiento de los datos personales en todo el territorio de la Unión Europea y, por lo tanto, también en el otro Estado miembro (en este caso, Alemania), cuando en realidad la decisión sobre el tratamiento de los datos la toma la sociedad matriz?

4)

¿Deben interpretarse los artículos 4, apartado 1, y 28, apartado 3, de la Directiva 95/46 en el sentido de que, en los casos en que el responsable del tratamiento disponga de un establecimiento en el territorio de un Estado miembro (en este caso, Irlanda), y de otro establecimiento jurídicamente independiente en el territorio de otro Estado miembro (en este caso, Alemania), el cual se ocupa, en particular, de la venta de espacios publicitarios, y cuya actividad está dirigida a los habitantes de dicho Estado, la autoridad de control competente en ese otro Estado miembro (en este caso, Alemania) puede adoptar medidas y dictar órdenes para la ejecución del Derecho aplicable en materia de protección de datos, inclusive contra el otro establecimiento (en este caso, sito en Alemania) que, conforme al reparto interno de funciones y responsabilidades dentro del grupo, no es responsable del tratamiento de los datos, o sólo puede decretar tales medidas y órdenes la autoridad de control del Estado miembro (en este caso, Irlanda) en cuyo territorio tiene su sede la entidad responsable dentro del grupo?

5)

¿Deben interpretarse los artículos 4, apartado 1, letra a), y 28, apartados 3 y 6, de la Directiva 95/46 en el sentido de que, en los casos en que la autoridad de control de un Estado miembro (en este caso, Alemania) se dirige con arreglo al artículo 28, apartado 3, de [esta Directiva] contra una persona o entidad que opera en su territorio porque ésta no ha elegido diligentemente al tercero implicado en el proceso de tratamiento de datos (en este caso, Facebook), dado que dicho tercero infringe el Derecho aplicable en materia de protección de datos, la autoridad de control que actúa (en este caso, Alemania) se halla vinculada a la valoración a efectos del Derecho aplicable en materia de protección de datos realizada por la autoridad de control del otro Estado miembro, donde tiene su establecimiento el tercero responsable del tratamiento de datos (en este caso, Irlanda), de manera que no puede realizar ninguna valoración jurídica diferente, o bien la autoridad de control que actúa (en este caso, Alemania) puede verificar de forma autónoma la legalidad del tratamiento de los datos realizado por el tercero establecido en el otro Estado miembro (en este caso, Irlanda) como cuestión incidental respecto de su propia actuación?

6)

En el caso de que la autoridad de control que actúa (en este caso, Alemania) pueda efectuar una verificación de forma autónoma: ¿debe interpretarse el artículo 28, apartado 6, segunda frase, de la Directiva 95/46 en el sentido de que esta autoridad de control sólo puede ejercer los poderes efectivos de intervención que le atribuye el artículo 28, apartado 3, de [esta] Directiva contra una persona o entidad establecidas en su territorio por corresponsabilidad en las infracciones en materia de protección de los datos cometidas por un tercero establecido en otro Estado miembro si, previamente, ha pedido a la autoridad de control del otro Estado miembro (en este caso, Irlanda) que ejercite sus poderes?»

II. Análisis

38.

Cabe precisar que las cuestiones prejudiciales planteadas por el tribunal remitente no pretenden averiguar si el tratamiento de datos personales al que se refieren las imputaciones formuladas por la ULD, a saber, la obtención y la explotación de los datos de las personas que consultan páginas de fans sin que dichas personas hayan sido previamente informadas, es contrario a las normas resultantes de la Directiva 95/46.

39.

Según las explicaciones aportadas por el tribunal remitente, la legalidad de la orden cuya apreciación se le solicita depende de los siguientes elementos. A su juicio, en primer lugar se debe determinar si la ULD podía ejercer sus poderes de intervención contra una persona que no tenía la consideración de responsable del tratamiento en el sentido del artículo 2, letra d), de la Directiva 95/46. En segundo lugar, el tribunal remitente considera que la legalidad de la orden también depende de saber si la ULD era competente para actuar respecto del tratamiento de datos personales examinado en el litigio principal, si el hecho de no haber dirigido su orden contra Facebook Germany en lugar de la Wirtschaftsakademie no constituía un error de apreciación y, por último, si la ULD no había incurrido en otro error de apreciación al conminar a la Wirtschaftsakademie a cerrar su página de fans cuando debería haber solicitado previamente a la Autoridad de Protección de Datos que ejerciera sus poderes contra Facebook Ireland.

A. Sobre las cuestiones prejudiciales primera y segunda

40.

Mediante sus cuestiones prejudiciales primera y segunda, que en mi opinión se deben examinar conjuntamente, el tribunal remitente solicita al Tribunal de Justicia, en esencia, que declare si los artículos 17, apartado 2, 24 y 28, apartado 3, segundo guion, de la Directiva 95/46 deben interpretarse en el sentido de que autorizan a las autoridades de control a ejercer sus poderes de intervención frente a un organismo que no se pueda considerar «responsable del tratamiento», en el sentido del artículo 2, letra d), de esta misma Directiva, pero que podría considerarse responsable a pesar de todo en caso de infracción de las normas relativas a la protección de datos personales debido a la decisión de dicho organismo de recurrir a una red social como Facebook para difundir su oferta de información.

41.

Estas cuestiones prejudiciales se basan en la premisa de que la Wirtschaftsakademie no es un «responsable del tratamiento», en el sentido del artículo 2, letra d), de la Directiva 95/46. Por este motivo, ese órgano jurisdiccional desea saber si una medida coercitiva como la controvertida en el litigio principal puede dirigirse contra una persona que no responda a los criterios establecidos en esa disposición.

42.

Sin embargo, considero que esta premisa es errónea. En efecto, a mi juicio, debe considerarse que la Wirtschaftsakademie es responsable conjunta de la fase del tratamiento consistente en la recogida de datos personales por parte de Facebook.

43.

Se entiende por «responsable del tratamiento» en el sentido del artículo 2, letra d), de la Directiva 95/46 «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales». ( 16 )

44.

El responsable del tratamiento tiene un papel fundamental en el marco del sistema establecido por la Directiva 95/46 y, por lo tanto, su identificación es esencial. En efecto, esta Directiva establece que el responsable del tratamiento debe cumplir un cierto número de obligaciones dirigidas a garantizar la protección de los datos personales. ( 17 ) El Tribunal de Justicia puso de relieve este papel fundamental en su sentencia de 13 de mayo de 2014, Google Spain y Google. ( 18 ) En efecto, el Tribunal de Justicia declaró que el responsable del tratamiento debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que el tratamiento de datos en cuestión cumple las exigencias de la Directiva 95/46 para que las garantías establecidas en ella puedan tener pleno efecto y pueda llevarse a cabo una protección eficaz y completa de los interesados, en particular de su derecho al respeto de la vida privada. ( 19 )

45.

También se desprende de la jurisprudencia del Tribunal de Justicia que este concepto debe definirse de manera amplia para garantizar una protección eficaz y completa de los interesados. ( 20 )

46.

El responsable del tratamiento de datos personales es la persona que decide con qué fin y de qué modo se tratarán estos datos. Como indica el Grupo de Trabajo «Artículo 29», «el concepto de responsable del tratamiento es un concepto funcional, destinado a asignar responsabilidades en función de la capacidad de influencia de hecho y, por tanto, está basado en un análisis de hecho más que formal». ( 21 )

47.

Como diseñadores de dicho tratamiento, a mi juicio Facebook Inc. y, en lo referente a la Unión, Facebook Ireland, fueron quienes determinaron de forma principal los objetivos y los procedimientos.

48.

Más concretamente, Facebook Inc. desarrolló el modelo económico general que hace posible que la obtención de datos personales cuando se consultan páginas de fans y su posterior explotación den lugar, por una parte, a la difusión de publicidad personalizada y, por otra parte, a la elaboración de estadísticas de audiencia dirigidas a los administradores de estas páginas.

49.

Asimismo, de los documentos obrantes en autos se desprende que Facebook Inc. ha designado a Facebook Ireland para encargarse del tratamiento de los datos personales en la Unión. Según las explicaciones proporcionadas por Facebook Ireland, el modo de funcionamiento de la red social dentro de la Unión puede ser adaptado hasta cierto punto. ( 22 )

50.

Asimismo, si bien no se discute que toda persona residente en el territorio de la Unión que desee utilizar Facebook está obligada a concluir en el momento de su inscripción un contrato con Facebook Ireland, procede señalar que, al mismo tiempo, los datos personales de los usuarios de Facebook residentes en el territorio de la Unión se transfieren total o parcialmente a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento. ( 23 )

51.

Habida cuenta de la implicación de Facebook Inc. y, en el caso concreto de la Unión, de Facebook Ireland en la determinación de los fines y los medios del tratamiento de datos personales examinado en el litigio principal, debe considerarse que estas dos entidades, en vista de los elementos de que se dispone, son corresponsables de dicho tratamiento. A este respecto, cabe señalar que el artículo 2, letra d), de la Directiva 95/46 prevé expresamente la posibilidad de tal responsabilidad conjunta. Como indicó el propio tribunal remitente, le corresponde, en último lugar, esclarecer las estructuras internas del grupo Facebook en cuanto a la toma de decisiones y al tratamiento de los datos para determinar cuál es el establecimiento o los establecimientos responsables del tratamiento en el sentido del artículo 2, letra d), de la Directiva 95/46. ( 24 )

52.

A la responsabilidad conjunta de Facebook Inc. y de Facebook Ireland, debe añadirse, en mi opinión, en lo tocante a la fase del tratamiento constituida por la recogida de datos personales por parte de Facebook, ( 25 ) la del administrador de una página de fans como la Wirtschaftsakademie.

53.

Es innegable que un administrador de una página de fans es ante todo un usuario de Facebook, al que debe recurrir para utilizar sus herramientas y disfrutar de este modo de una mejor visibilidad. Esta constatación, no obstante, no puede excluir que también se le pueda considerar responsable de la fase del tratamiento de datos personales que constituye el objeto del litigio principal, a saber, la obtención de tales datos por Facebook.

54.

En lo referente a si el administrador de una página de fans «determina» los fines y los medios del tratamiento, se debe comprobar si dicho administrador ejerce una influencia de hecho o de Derecho en tales fines y medios. Este elemento de la definición permite considerar que el responsable del tratamiento no es quien efectúa el tratamiento de los datos personales, sino quien determina sus medios y sus fines.

55.

Al utilizar Facebook para difundir su oferta de información, el administrador de la página de fans admite el principio de la realización de un tratamiento de los datos personales de los visitantes de la página con el fin de elaborar estadísticas de audiencia. ( 26 ) Aun cuando evidentemente no es el diseñador de la herramienta «Facebook Insights», dicho administrador, al recurrir a ella, participa en la determinación de los fines y los medios del tratamiento de los datos personales de los visitantes de su página.

56.

En efecto, por una parte, este tratamiento no podría producirse sin la decisión previa del administrador de una página de fans de crearla y explotarla en la red social Facebook. Al hacer posible el tratamiento de los datos personales de los usuarios de la página de fans, el gestor de dicha página entra a formar parte del sistema establecido por Facebook. De este modo, adquiere una mayor visibilidad sobre el perfil de los usuarios de su página de fans y, al mismo tiempo, permite a Facebook orientar mejor la publicidad que se muestra en el marco de esta red social. Al aceptar los medios y los fines del tratamiento de los datos personales, tal como vienen predefinidos por Facebook, debe considerarse que el gestor de la página de fans participa en su determinación. Asimismo, del mismo modo que el administrador de una página de fans ejerce así una influencia determinante en la activación del tratamiento de datos personales de las personas que consulten dicha página, también puede hacer cesar dicho tratamiento cerrando su página de fans.

57.

Por otra parte, aunque Facebook Inc. y Facebook Ireland definen conjuntamente de manera general los fines y los modos de funcionamiento de la propia herramienta «Facebook Insights», el administrador de una página de fans tiene la posibilidad de influir en la aplicación concreta de esta herramienta definiendo los criterios a partir de los cuales se elaborarán las estadísticas de audiencia. Cuando Facebook invita al administrador de una página de fans a crear o a modificar el público de su página, le indica que hará todo lo posible para mostrar dicha página a las personas que le interesen más. Mediante filtros, el administrador de una página de fans puede definir una audiencia personalizada, lo que no sólo le permite especificar el grupo de personas a las que se dirigirá la información relativa a su oferta comercial sino sobre todo escoger las categorías de personas que serán objeto de la recogida de datos personales por Facebook. Así pues, al determinar el público al que desea dirigirse, el administrador de una página de fans identifica al mismo tiempo qué público objetivo podrá ser objeto de una recogida y posteriormente de la explotación de sus datos personales por Facebook. Además de ser el elemento que da lugar al tratamiento de tales datos al crear una página de fans, el administrador de dicha página tiene en consecuencia un papel preponderante en la realización de dicho tratamiento por Facebook. De este modo participa en la determinación de los medios y los fines de dicho tratamiento, al ejercer una influencia de hecho al respecto.

58.

Deduzco de las consideraciones precedentes que, en circunstancias como las examinadas en el litigio principal, debe considerarse que un administrador de una página de fans de una red social como Facebook es responsable de la fase del tratamiento de datos personales consistente en la recogida por esta red social de los datos relativos a las personas que consulten dicha página.

59.

Esta conclusión queda reforzada por la constatación de que un administrador de una página de fans como la Wirtschaftsakademie, por una parte, y los prestadores de servicios como Facebook Inc. y Facebook Ireland, por otra parte, persiguen todos ellos unos fines estrechamente relacionados. La Wirtschaftsakademie quiere obtener estadísticas de audiencia a los efectos de la gestión de la promoción de su actividad y para obtenerlas es necesario un tratamiento de datos personales, y este mismo tratamiento permitirá también a Facebook personalizar mejor la publicidad que ofrece a través de su red.

60.

Por consiguiente, procede rechazar una interpretación basada exclusivamente en las cláusulas y condiciones del contrato concluido entre la Wirtschaftsakademie y Facebook Ireland. En efecto, el reparto de funciones indicado contractualmente sólo puede proporcionar un indicio sobre el papel real de las partes contratantes en la realización de un tratamiento de datos personales. De lo contrario, estas partes podrían atribuir artificialmente la responsabilidad del tratamiento a una de ellas. Esto es tanto más cierto en una situación en la que la red social prepara de antemano las condiciones generales y éstas no son negociables. Por lo tanto, no se puede considerar que quien sólo puede adherirse o rechazar el contrato no puede ser responsable del tratamiento. Desde el momento en que esta misma parte contratante celebró el acuerdo libremente, es posible considerarla responsable del tratamiento, habida cuenta de su influencia concreta en los medios y los fines de dicho tratamiento.

61.

Así pues, el hecho de que un prestador de servicios redacte el contrato y sus condiciones generales y que el operador que recurre a los servicios que ofrece dicho prestador no tenga acceso a los datos no excluye que éste pueda ser considerado un responsable del tratamiento, dado que ha aceptado libremente las cláusulas contractuales y, por lo tanto, la plena responsabilidad sobre éstas. ( 27 ) Como señala el Grupo de Trabajo «Artículo 29», también se debe reconocer que el posible desequilibrio de fuerzas entre el proveedor y quien recibe el servicio no obsta a que éste pueda ser calificado de «responsable del tratamiento». ( 28 )

62.

Asimismo, para que pueda considerarse que una persona es un responsable del tratamiento, en el sentido del artículo 2, letra d), de la Directiva 95/46, no es necesario que dicha persona disponga de un poder de control completo sobre todos los aspectos del tratamiento. Como indicó acertadamente el Gobierno belga en la vista, tal control existe cada vez menos en la práctica. Cada vez más, los tratamientos tienen una naturaleza compleja, en el sentido de que se producen varios tratamientos distintos que involucran a diversas partes, cada una de las cuales ejerce diferentes grados de control. Por consiguiente, la interpretación que prima la existencia de un poder de control completo sobre todos los aspectos del tratamiento puede dar lugar a serias lagunas en materia de protección de los datos personales.

63.

Los hechos que dieron lugar a la sentencia 13 de mayo de 2014, Google Spain y Google, ( 29 )constituyen una ilustración de este fenómeno. En efecto, dicho asunto tenía por objeto una situación que implicaba las relaciones en cadena de proveedores de información, en la que diversas partes ejercían cada una influencia distinta sobre el tratamiento. En ese asunto, el Tribunal de Justicia se negó a interpretar de forma restrictiva el concepto de «responsable del tratamiento». Consideró que el gestor del motor de búsqueda debía, «como persona que determina los fines y los medios de [su] actividad […] garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que dicha actividad satisface las exigencias de la Directiva 95/46». ( 30 ) Asimismo, el Tribunal de Justicia aludió a la posibilidad de una responsabilidad conjunta del gestor del motor de búsqueda y de los editores de sitios de Internet. ( 31 )

64.

Al igual que el Gobierno belga, considero que la interpretación amplia del concepto de «responsable del tratamiento», en el sentido del artículo 2, letra d), de la Directiva 95/46, que en mi opinión debe prevalecer en el marco del presente asunto, puede evitar los abusos. En efecto, de lo contrario bastaría con que una empresa recurriera a los servicios de un tercero para que pudiera sustraerse a sus obligaciones en materia de protección de los datos personales. Dicho de otro modo, a mi entender, no se debe distinguir entre una empresa que dote a su sitio de Internet de herramientas análogas a las propuestas por Facebook y la que se una a la red social Facebook para disfrutar de las herramientas que ésta ofrece. Así pues, es preciso garantizar que los operadores económicos que utilicen un servicio de alojamiento de su página web no puedan sustraerse a su responsabilidad aceptando las condiciones generales de un prestador de servicios. Asimismo, como indicó ese mismo Gobierno en la vista, es perfectamente razonable esperar que las empresas sean diligentes a la hora de escoger sus proveedores de servicios.

65.

Por lo tanto, opino que el hecho de que un administrador de una página de fans utilice la plataforma ofrecida por Facebook y disfrute de los servicios asociados a ésta no le exime de sus obligaciones en materia de protección de los datos personales. A este respecto, debo observar que, si la Wirtschaftsakademie hubiera abierto una página web fuera de Facebook utilizando una herramienta similar a «Facebook Insights» para elaborar estadísticas de audiencia, se la consideraría responsable del tratamiento que es necesario para elaborar dichas estadísticas. En mi opinión, tal operador económico no debería verse eximido del cumplimiento de las normas en materia de protección de datos personales resultantes de la Directiva 95/46 por el simple motivo de que utiliza la plataforma de la red social Facebook para promocionar sus actividades. Como indicó acertadamente el propio tribunal remitente, un proveedor de información no debe poder eludir, mediante la elección de un proveedor de infraestructuras determinado, las obligaciones que el Derecho aplicable en materia de protección de datos personales le impone respecto de los usuarios de su oferta de información y debería cumplir si fuera un simple proveedor de contenidos. ( 32 ) Una interpretación contraria crearía un riesgo de elusión de las normas relativas a la protección de los datos personales.

66.

También es preciso, a mi entender, evitar crear una distinción artificial entre la situación examinada en el marco del presente asunto y la considerada en el marco del asunto C‑40/17, Fashion ID. ( 33 )

67.

Este último asunto se refiere a una situación en la que el gestor de una página web insertó en ésta lo que se denomina un «módulo social» (en ese caso, el botón «me gusta» de Facebook) de un proveedor externo (esto es, Facebook), que implicaba una transferencia de datos personales del ordenador del usuario de la página web al proveedor externo.

68.

En el marco del litigio que dio lugar a dicho asunto, una asociación de protección de los consumidores censuró a la sociedad Fashion ID porque al insertar en su página web el módulo «me gusta» proporcionado por la red social Facebook, permitió a este último acceder a los datos personales de los usuarios de dicha página, sin su consentimiento e incumpliendo las obligaciones de información previstas en las disposiciones en materia de protección de los datos personales. Se planteó entonces el problema de si, dado que Fashion ID permitía a Facebook acceder a los datos personales de los usuarios de su página web, esta sociedad podía o no ser calificada de «responsable del tratamiento» en el sentido del artículo 2, letra d), de la Directiva 95/46.

69.

Sobre este particular, no identifico ninguna diferencia fundamental entre la situación de un administrador de una página de fans y la del gestor de una página web que integre el código de un proveedor de servicios de webtracking en su página y favorezca de este modo, sin que el internauta lo sepa, la transmisión de datos, la instalación de cookies y la recogida de datos en beneficio del proveedor de servicios de webtracking.

70.

Los plugins sociales permiten a los gestores de páginas web utilizar determinados servicios de las redes sociales en sus propias páginas web con el fin de incrementar su visibilidad, por ejemplo insertando en su página el botón «me gusta» de Facebook. Al igual que los administradores de páginas de fans, los gestores de páginas web que tienen integrados plugins sociales pueden beneficiarse del servicio «Facebook Insights» para obtener información estadística precisa sobre los usuarios de su página.

71.

Al igual que lo que sucede en caso de consultar una página de fans, la consulta de una página web que contiene un plugin social dará lugar a una transferencia de datos personales hacia el proveedor de que se trata.

72.

En mi opinión, en tal contexto y como sucede con el administrador de una página de fans, en la medida en que ejerce una influencia de hecho en la fase del tratamiento relativa a la transferencia de datos personales a Facebook, el gestor de un página web que contenga un plugin social debería ser calificado de «responsable del tratamiento» en el sentido del artículo 2, letra d), de la Directiva 95/46. ( 34 )

73.

Debo añadir que, tal como indicó acertadamente el Gobierno belga, la constatación según la cual la Wirtschaftsakademie actuó como un responsable conjunto del tratamiento al decidir recurrir a los servicios de Facebook para ofrecer su información no altera en modo alguno las obligaciones de Facebook Inc. y Facebook Ireland en su condición de responsables del tratamiento. En efecto, está claro que estas dos entidades ejercen una influencia determinante en los fines y los medios del tratamiento de los datos personales que se produce en el marco de la consulta de una página de fans y que éstas también utilizan para sus propios fines e intereses.

74.

Sin embargo, el reconocimiento de una responsabilidad conjunta de los administradores de páginas de fans en cuanto a la fase del tratamiento consistente en la obtención de datos personales por Facebook contribuye a garantizar una protección más completa de los derechos de las personas que consultan este tipo de páginas. En efecto, el hecho de asociar de manera activa a los administradores de páginas de fans al cumplimiento de las normas sobre protección de datos personales al designarlos como responsables del tratamiento puede, por un efecto indirecto, incentivar a la propia plataforma de la red social a ajustarse a dichas normas.

75.

También cabe señalar que la existencia de una responsabilidad conjunta no equivale a una responsabilidad a pie de igualdad. Por el contrario, los diferentes responsables del tratamiento pueden intervenir en un tratamiento de datos personales en distintas fases y en distintos grados. ( 35 )

76.

Según el Grupo de Trabajo «Artículo 29», «la posibilidad de un control plural responde al número creciente de situaciones en que diferentes partes actúan como responsables del tratamiento. La evaluación de este control conjunto debería ser un reflejo de la evaluación del control “único”, adoptando un enfoque sustantivo y funcional centrado en establecer si los fines y los aspectos esenciales de los medios los determina más de una parte. La participación de las partes en la determinación de los fines y los medios del tratamiento en el contexto del control conjunto puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales». ( 36 ) En efecto, «cuando son varios los agentes, estos pueden tener una relación muy estrecha entre sí (y compartir, por ejemplo, todos los fines y medios de un tratamiento), o bien una relación más laxa (y, por ejemplo, compartir sólo los fines o los medios, o una parte de éstos). Por lo tanto, debe tomarse en consideración una amplia variedad de tipologías de control conjunto y analizarse sus consecuencias legales, procediendo con cierta flexibilidad para tener en cuenta la creciente complejidad de la realidad actual del tratamiento de datos». ( 37 )

77.

De las consideraciones precedentes se desprende que, en mi opinión, debe considerarse que el administrador de una página de fans en la red social Facebook es, junto con Facebook Inc. y Facebook Ireland, responsable del tratamiento de los datos personales que se realiza con el fin de elaborar estadísticas de audiencia relativas a dicha página.

B. Sobre las cuestiones prejudiciales tercera y cuarta

78.

Mediante sus cuestiones prejudiciales tercera y cuarta, que a mi juicio procede examinar conjuntamente, el tribunal remitente desea obtener del Tribunal de Justicia aclaraciones relativas a la interpretación de los artículos 4, apartado 1, letra a), y 28, apartados 1, 3 y 6, de la Directiva 95/46 en una situación en la que una sociedad matriz cuyo domicilio social se encuentra fuera de la Unión, como Facebook Inc., presta servicios relativos a una red social en el territorio de la Unión a través de diversos establecimientos. Entre estos establecimientos, uno ha sido designado por la sociedad matriz como el responsable del tratamiento de los datos personales en el territorio de la Unión (Facebook Ireland) y el otro se ocupa de la promoción y la venta de espacios publicitarios, y de las actividades de marketing dirigidas a los habitantes de Alemania (Facebook Germany). En esta situación, el tribunal remitente desea saber, por una parte, si la autoridad de control alemana puede ejercer sus poderes de intervención con el fin de interrumpir el tratamiento de los datos personales controvertido y, por otra parte, contra cuál de los establecimientos se pueden ejercer dichos poderes.

79.

En respuesta a las dudas expresadas por la ULD y por el Gobierno italiano sobre la admisibilidad de las cuestiones prejudiciales tercera y cuarta, debo señalar que el Bundesverwaltungsgericht (Tribunal Supremo de lo Contencioso-Administrativo) explica en su resolución de remisión que precisa las aclaraciones sobre estos puntos para poder pronunciarse sobre la legalidad de la orden examinada en el litigio principal. En particular, este órgano jurisdiccional alega que la orden adoptada contra la Wirtschaftsakademie podría adolecer de un error de apreciación y, por consiguiente, ser ilegal si era posible subsanar las vulneraciones del Derecho aplicable a la protección de los datos alegadas por la ULD mediante una medida dirigida directamente contra la filial Facebook Germany, que está establecida en Alemania. ( 38 ) A mi entender, esta reflexión del tribunal remitente permite comprender correctamente las razones por las cuales dicho Tribunal plantea al Tribunal de Justicia las cuestiones prejudiciales tercera y cuarta. Habida cuenta de la presunción de pertinencia de que gozan las peticiones de decisión prejudicial, ( 39 ) propongo, en consecuencia, que el Tribunal de Justicia responda a dicha cuestiones.

80.

Con arreglo al artículo 4 de la Directiva 95/46, que lleva por título «Derecho nacional aplicable»:

«1.   Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a)

el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

[…]».

81.

En su Dictamen 8/2010, de 16 de diciembre de 2010, sobre el Derecho aplicable, ( 40 ) el Grupo de Trabajo «Artículo 29» menciona la aplicación del artículo 4, apartado 1, letra a), de la Directiva 95/46 en la siguiente situación: «Una plataforma de red social tiene su sede central en un tercer país y un establecimiento en un Estado miembro. El establecimiento define y aplica políticas relativas al tratamiento de datos personales de residentes de la UE. La red social se dirige activamente a residentes de todos los Estados miembros, que suponen una parte significativamente importante de sus clientes e ingresos. Asimismo instala cookies en los ordenadores de los usuarios de la UE. En este caso, el Derecho aplicable será, de conformidad con el artículo 4, apartado 1, letra a), [de la Directiva 95/46], el Derecho sobre protección de datos del Estado miembro donde la empresa esté establecida en la UE. La cuestión de si la red social recurre a medios ubicados en el territorio de otros Estados miembros es irrelevante, ya que todo el tratamiento se efectúa en el marco de las actividades del único establecimiento y la Directiva excluye la aplicación acumulativa de las letras a) y c) del artículo 4, apartado 1, [de esta Directiva]». ( 41 ) El Grupo de Trabajo «Artículo 29» también precisa que «la autoridad de control del Estado en el que la red social esté establecida en la UE tendrá, de conformidad con el artículo 28, apartado 6, [de dicha Directiva], la obligación de cooperar con otras autoridades de control para, por ejemplo, tratar las peticiones o reclamaciones procedentes de residentes de otros países de la [Unión]». ( 42 )

82.

El supuesto presentado en el punto anterior no plantea grandes dificultades en cuanto a la determinación del Derecho nacional aplicable. En efecto, en dicho caso, dado que la sociedad matriz dispone de un único establecimiento en la Unión, se aplicará al tratamiento de los datos personales examinado el Derecho del Estado miembro en el que se encuentre situado dicho establecimiento.

83.

La situación se complica cuando, al igual que sucede en el presente asunto, una sociedad domiciliada en un tercer Estado, como Facebook Inc., desarrolla sus actividades en la Unión, por una parte, mediante un establecimiento que esta sociedad designa para que asuma la responsabilidad exclusiva de la recogida y del tratamiento de los datos personales dentro del Grupo Facebook en todo el territorio de la Unión (Facebook Ireland) y, por otra parte, mediante otros establecimientos, uno de los cuales está situado en Alemania (Facebook Germany) y se ocupa, según la información que figura en la resolución de remisión, de la promoción y la venta de espacios publicitarios y de otras actividades de marketing dirigidas a los habitantes de este Estado miembro. ( 43 )

84.

En tales circunstancias, ¿es competente la autoridad de control alemana para ejercer sus poderes de intervención con el fin de interrumpir el tratamiento de datos personales del que Facebook Inc. y Facebook Ireland son responsables conjuntas?

85.

Para poder responder a esta cuestión, es preciso determinar si la autoridad de control alemana puede aplicar válidamente su Derecho nacional a tal tratamiento.

86.

En este sentido, del artículo 4, apartado 1, letra a), de la Directiva 95/46 se desprende que un tratamiento de datos efectuado en el marco de las actividades de un establecimiento deberá regirse por el Derecho del Estado miembro en cuyo territorio se encuentre situado dicho establecimiento.

87.

El Tribunal de Justicia ya ha dictaminado que, visto el objetivo perseguido por esta Directiva, consistente en garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, concretamente del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, la expresión «en el marco de las actividades de un establecimiento», que figura en el artículo 4, apartado 1, letra a), de esta Directiva, no puede ser objeto de interpretación restrictiva. ( 44 )

88.

La aplicabilidad de una ley de transposición de un Estado miembro a un tratamiento de datos personales supone que se reúnan dos requisitos. En primer lugar, el responsable de dicho tratamiento debe disponer de un «establecimiento» en ese Estado miembro. En segundo lugar, dicho tratamiento debe tener lugar «en el marco de las actividades» de ese establecimiento.

89.

Por lo que se refiere, en primer lugar, al concepto de «establecimiento» en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46, el Tribunal de Justicia ha precisado, interpretando este concepto de forma amplia y flexible, que se extiende a toda actividad real y efectiva, aun mínima, ejercida mediante una instalación estable, ( 45 ) que rechaza de este modo cualquier enfoque formalista. ( 46 )

90.

Desde ese punto de vista, deben evaluarse tanto el grado de estabilidad de la instalación como la efectividad del desarrollo de las actividades en el Estado miembro de que se trata, ( 47 ) tomando en consideración la naturaleza específica de las actividades económicas y de las prestaciones de servicios en cuestión. ( 48 ) A este respecto, no se discute que Facebook Germany, cuya sede social está situada en Hamburgo (Alemania), ejerce efectiva y realmente una actividad mediante una instalación estable en Alemania. Por lo tanto, ésta constituye un «establecimiento» en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46.

91.

Por lo que se refiere, en segundo lugar, a la cuestión de si el tratamiento de datos personales objeto de litigio se efectúa «en el marco de las actividades» de ese establecimiento, en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46, el Tribunal de Justicia ya ha recordado que esta disposición no exige que el tratamiento de los datos personales controvertido sea efectuado «por» el propio establecimiento en cuestión, sino únicamente «en el marco de las actividades» de éste. ( 49 )

92.

Tal como se desprende del Dictamen 8/2010, «la noción de “marco de actividades” —y no la ubicación de los datos— es un factor determinante en la determinación del ámbito del Derecho aplicable. La noción de “marco de actividades” implica que el Derecho aplicable no es el del Estado miembro en el que esté establecido el responsable del tratamiento, sino en el que un establecimiento del responsable del tratamiento esté implicado en actividades [vinculadas al tratamiento de datos personales o relativas a dicho tratamiento]. En este contexto, es crucial el grado de implicación del (de los) establecimiento(s) en las actividades en cuyo marco se traten los datos personales. Además, debe considerarse la naturaleza de las actividades de los establecimientos y la necesidad de garantizar una protección efectiva de los derechos de las personas. En el análisis de estos criterios debe adoptarse un enfoque funcional: más que la indicación teórica por las partes del Derecho aplicable, lo que debería ser decisivo son su comportamiento e interacción en la práctica». ( 50 )

93.

En la sentencia de 13 de mayo de 2014, Google Spain y Google, ( 51 ) el Tribunal de Justicia tuvo que verificar el cumplimiento de este requisito. Lo interpretó de forma amplia al considerar que el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa «en el marco de las actividades» de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor. ( 52 ) En efecto, el Tribunal de Justicia estimó que, «en tales circunstancias, las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades». ( 53 ) El Tribunal de Justicia añadió, en apoyo de su solución, que toda vez que la presentación de datos personales en una página de resultados de una búsqueda «está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de autos el territorio español». ( 54 )

94.

Pues bien, según las indicaciones que figuran en la resolución de remisión, Facebook Germany se ocupa de la promoción y la venta de espacios publicitarios y de otras actividades de marketing dirigidas a los habitantes de Alemania. En la medida en que el tratamiento de datos personales que es objeto del litigio principal, que consiste en la recogida de tales datos mediante cookies instaladas en los ordenadores de los visitantes de páginas de fans, tiene la finalidad, en particular, de permitir a Facebook dirigir mejor la publicidad que ofrece, debe considerarse que tal tratamiento ha tenido lugar en el marco de las actividades que realiza Facebook Germany en Alemania. En este sentido, habida cuenta de que una red social como Facebook genera la mayor parte de sus ingresos con la publicidad que se difunde en las páginas web que los usuarios crean y a las que acceden, ( 55 ) cabe considerar que las actividades de los responsables conjuntos del tratamiento, Facebook Inc. y Facebook Ireland, están indisociablemente vinculadas con las de un establecimiento como Facebook Germany. Asimismo, a raíz del tratamiento de datos personales que permite la instalación de una cookie en el ordenador de una persona que visita una página perteneciente al nombre de dominio Facebook.com, la consulta de una página de Facebook va acompañada de la presentación, en la misma página web, de publicidad relativa a los intereses de ese visitante. Cabe deducir de este hecho que el tratamiento de datos personales en cuestión se efectúa en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en el territorio de un Estado miembro, en este caso en el de Alemania.

95.

El hecho de que el Grupo Facebook, a diferencia de lo que sucedía en el marco del asunto que dio lugar a la sentencia de 13 de mayo de 2014, Google Spain y Google, ( 56 ) dispone de una sede social en Europa, en este caso en Irlanda, no se opone a la aplicación en el presente asunto de la interpretación del artículo 4, apartado 1, letra a), de la Directiva 95/46 que el Tribunal de Justicia realizó en esa sentencia. En dicha sentencia, el Tribunal de Justicia expresó la voluntad de evitar que un tratamiento de datos personales se sustrajera a las obligaciones y a las garantías previstas en la Directiva 95/46. En el marco del presente procedimiento se ha alegado que el problema relativo a tal elusión no se plantea en este caso puesto que el responsable del tratamiento está establecido en un Estado miembro, en este caso Irlanda. Por lo tanto, según esta lógica, se debería interpretar el artículo 4, apartado 1, letra a), de la mencionada Directiva en el sentido de que impone a dicho responsable del tratamiento tener únicamente en cuenta una sola legislación nacional y depender sólo de una única autoridad de control, a saber, la legislación y la autoridad irlandesas.

96.

Sin embargo, tal interpretación es contraria al tenor literal del artículo 4, apartado 1, letra a), de la Directiva 95/46 y a la génesis de esta disposición. En efecto, tal como señaló acertadamente el Gobierno belga en la vista, esta Directiva no establece ni un mecanismo de ventanilla única ni el principio del país de origen. ( 57 ) En este sentido, no se debe confundir lo referente al objetivo político que perseguía la Comisión Europea en su propuesta de Directiva y la solución que fue finalmente adoptada por el Consejo de la Unión Europea. En la citada Directiva, este legislador eligió no priorizar la aplicación del Derecho nacional del Estado miembro en el que esté situado el establecimiento principal del responsable del tratamiento. El resultado, la Directiva 95/46, refleja la voluntad de los Estados miembros de conservar su competencia de ejecución nacional. Al no adoptar el principio del país de origen, el legislador de la Unión permitió que cada Estado miembro aplicara su propia legislación nacional e hizo posible de este modo la acumulación de legislaciones nacionales aplicables. ( 58 )

97.

En el artículo 4, apartado 1, letra a), de la mencionada Directiva, el legislador de la Unión decidió permitir, en caso de presencia de diversos establecimientos de un responsable del tratamiento en la Unión, que se pudieran aplicar distintas legislaciones nacionales en materia de protección de datos personales a los tratamientos de datos personales de los residentes de los Estados miembros de que se trata con el fin de garantizar una protección efectiva de sus derechos en dichos Estados miembros.

98.

Confirma esto el considerando 19 de la Directiva 95/46, que especifica que «cuando un mismo responsable esté establecido en el territorio de varios Estados miembros, en particular por medio de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a estas actividades».

99.

Por consiguiente, deduzco del artículo 4, apartado 1, letra a), de la Directiva 95/46, cuya segunda frase señala, en la línea de lo dispuesto en el considerando 19 de esta Directiva, que, si un mismo responsable del tratamiento está establecido en el territorio de varios Estados miembros, debe adoptar las medidas necesarias para garantizar que cada uno de sus establecimientos respete las obligaciones previstas en el Derecho nacional aplicable, que la estructura de un grupo caracterizado por la presencia de establecimientos del responsable del tratamiento en varios Estados miembros no debe dar lugar a que se permita a este último eludir el Derecho del Estado miembro en cuyo territorio estén situados cada uno de estos establecimientos.

100.

Debo añadir que, en mi opinión, ya no es posible defender la interpretación favorable a la aplicación exclusiva del Derecho del Estado miembro en el que está situada la sede europea de un grupo internacional desde la sentencia de 28 de julio de 2016, Verein für Konsumenteninformation. ( 59 ) En esa sentencia, el Tribunal de Justicia decidió que el tratamiento de datos personales realizado por una empresa de comercio electrónico se rige por el Derecho del Estado miembro hacia el cual dicha empresa dirige sus actividades si se demuestra que dicha empresa efectúa el tratamiento de los datos de que se trata en el marco de las actividades de un establecimiento situado en dicho Estado miembro. El Tribunal de Justicia resolvió en este sentido a pesar del hecho de que Amazon, al igual que Facebook, es una empresa que no sólo tiene una sede social europea en un Estado miembro, sino que también tiene una presencia física en distintos Estados miembros de la Unión. En tal caso también procede examinar si el tratamiento de los datos se inscribe en el marco de las actividades de un establecimiento en un Estado miembro distinto de aquel en el que se sitúa la sede europea del responsable del tratamiento.

101.

En consecuencia, como señaló el Gobierno belga, es perfectamente posible que un establecimiento distinto del de la sede social europea de una empresa sea pertinente para la aplicación del artículo 4, apartado 1, letra a), de la Directiva 95/46.

102.

Por consiguiente, en el marco del sistema establecido por esta Directiva, la ubicación donde se efectúa el tratamiento, al igual que la ubicación donde ha establecido el responsable del tratamiento su sede en la Unión, no son determinantes, en caso de presencia de diversos establecimientos de ese responsable dentro de la Unión, para identificar el Derecho nacional aplicable a un tratamiento de datos y para otorgar a una autoridad de control la competencia para ejercer sus poderes de intervención.

103.

En este sentido, en mi opinión el Tribunal de Justicia no debería anticipar el régimen que ha establecido el Reglamento general sobre protección de datos, ( 60 ) que será aplicable a partir del 25 de mayo de 2018. En el marco de este régimen, se ha establecido un mecanismo de ventanilla única, lo que significa que un responsable del tratamiento que efectúa tratamientos transfronterizos, como Facebook, dispondrá de una única autoridad de control como interlocutora, a saber, la autoridad de control principal, que será la del lugar en el que se sitúe el establecimiento principal del responsable del tratamiento. Sin embargo, este régimen, así como el sofisticado mecanismo de cooperación que establece, aún se aplica.

104.

Es indudable que, en la medida en que Facebook eligió instalar su sede principal en la Unión en Irlanda, la autoridad de control de dicho Estado miembro se ve abocada a jugar un papel importante a la hora de verificar si Facebook cumple las normas resultantes de la Directiva 95/46. Sin embargo, tal como reconoce esa misma autoridad, ello no significa que, en el marco del sistema actual basado en esta Directiva, ésta disponga de una competencia exclusiva sobre las actividades de Facebook en la Unión. ( 61 )

105.

El conjunto de estos elementos me lleva a considerar, al igual que el Gobierno belga, el Gobierno neerlandés y la ULD, que la interpretación del artículo 4, apartado 1, letra a), de la Directiva 95/46 que realizó el Tribunal de Justicia en su sentencia de 13 de mayo de 2014, Google Spain y Google, ( 62 ) también es aplicable a una situación como la examinada en el litigio principal, en la que un responsable del tratamiento está establecido en un Estado miembro de la Unión y dispone de varios establecimientos dentro de la Unión.

106.

Por lo tanto, sobre la base de las indicaciones proporcionadas por el tribunal remitente en cuanto a la naturaleza de las actividades efectuadas por Facebook Germany, procede considerar que el tratamiento de datos personales controvertido se realizó en el marco de las actividades de ese establecimiento y que el artículo 4, apartado 1, letra a), de la Directiva 95/46 permite, en una situación como la examinada en el litigio principal, la aplicación del Derecho alemán relativo a la protección de los datos personales. ( 63 )

107.

Por consiguiente, la autoridad de control alemana es competente para aplicar su Derecho nacional al tratamiento de los datos personales controvertido en el litigio principal.

108.

Del artículo 28, apartado 1, de esta Directiva resulta que toda autoridad de control establecida por un Estado miembro velará por el cumplimiento, en el territorio de dicho Estado miembro, de las disposiciones adoptadas por los Estados miembros en aplicación de la mencionada Directiva.

109.

En virtud del artículo 28, apartado 3, de la Directiva 95/46, estas autoridades de control disponen, en particular, de poderes de investigación, como el de recabar toda la información necesaria para el cumplimiento de su misión de control, y de poderes efectivos de intervención, como los de ordenar el bloqueo, la supresión o la destrucción de datos, o el de prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento. Estos poderes de intervención pueden comprender el de sancionar al responsable del tratamiento de datos imponiéndole una multa. ( 64 )

110.

En cuanto al artículo 28, apartado 6, de la Directiva 95/46, tiene el siguiente tenor:

«Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.

Las autoridades de control cooperarán entre sí en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información que estimen útil.»

111.

Habida cuenta de que el Derecho de su propio Estado miembro es aplicable al tratamiento de los datos personales examinado en el litigio principal, la autoridad de control alemana puede ejercer la totalidad de sus poderes de intervención para garantizar que Facebook aplique y respete el Derecho alemán en el territorio alemán. Tal conclusión se desprende de la sentencia de 1 de octubre de 2015, Weltimmo, ( 65 ) que permitió precisar el alcance del artículo 28, apartados 1, 3 y 6, de la Directiva 95/46.

112.

El desafío principal de ese asunto era determinar la competencia de la autoridad de control húngara para imponer una multa a un prestador de servicios con sede en otro Estado miembro, a saber, Eslovaquia. La determinación de esta competencia debía pasar por el examen previo de la cuestión de si, por aplicación del criterio planteado por el artículo 4, apartado 1, letra a), de la Directiva 95/46, el Derecho húngaro era aplicable o no.

113.

En la primera parte de su respuesta, el Tribunal de Justicia proporcionó al tribunal remitente un cierto número de indicaciones que le permitieron demostrar la existencia de un establecimiento del responsable del tratamiento en Hungría. Por otro lado, consideró que dicho tratamiento se había realizado en el marco de las actividades de ese establecimiento y que, en una situación como la examinada en dicho asunto, el artículo 4, apartado 1, letra a), de la Directiva 95/46 permitía la aplicación del Derecho húngaro relativo a la protección de los datos personales.

114.

Por lo tanto, esta primera parte de la respuesta del Tribunal de Justicia permitió confirmar la competencia de la autoridad de control húngara para imponer, en aplicación del Derecho húngaro, una multa a un prestador de servicios domiciliado en otro Estado miembro, en ese caso Weltimmo.

115.

Dicho de otro modo, a partir del momento en que, en aplicación del criterio recogido en el artículo 4, apartado 1, letra a), de la Directiva 95/46, fue posible declarar que el Derecho húngaro era el Derecho nacional aplicable, la autoridad de control húngara dispuso de la competencia necesaria para garantizar el respeto de ese Derecho en caso de que un responsable del tratamiento lo infringiera, aunque este último estuviera registrado en Eslovaquia. En virtud de esta disposición de la Directiva 95/46, se pudo considerar que Weltimmo, a pesar de estar registrada en Eslovaquia, también estaba establecida en Hungría. La presencia en Hungría de un establecimiento del responsable del tratamiento que ejercía actividades en el marco de las cuales se efectuó ese tratamiento constituyó así el punto de conexión necesario para el reconocimiento de la aplicabilidad del Derecho húngaro y, a su vez, de la competencia de la autoridad de control húngara para garantizar el cumplimiento de ese Derecho en Hungría.

116.

La segunda parte de la respuesta del Tribunal de Justicia, en la que éste tuvo que poner de relieve el principio de la aplicación territorial de los poderes de las autoridades de control, fue pronunciada únicamente con carácter subsidiario, a saber, «en el supuesto de que la autoridad húngara de control considerase que Weltimmo dispone de un establecimiento, no en Hungría, sino en otro Estado miembro, a efectos del artículo 4, apartado 1, letra a), de la Directiva 95/46 y ejerce actividades en cuyo marco se efectúa el tratamiento de los datos personales». ( 66 ) Por consiguiente, se trataba de la respuesta a la cuestión de si, «en el supuesto de que la autoridad húngara de control llegara a la conclusión de que el Derecho aplicable al tratamiento de los datos personales no es el Derecho húngaro, sino el Derecho de otro Estado miembro, el artículo 28, apartados 1, 3 y 6, de la Directiva 95/46 debe interpretarse en el sentido de que dicha autoridad sólo podría ejercer las facultades establecidas en el artículo 28, apartado 3, de esta Directiva de conformidad con lo dispuesto en el Derecho de ese otro Estado miembro, y no podría imponer sanciones». ( 67 )

117.

En consecuencia, en esta segunda parte de su respuesta el Tribunal de Justicia precisó el alcance tanto material como territorial de los poderes que podía ejercer una autoridad de control en una situación concreta, a saber, aquella en la que el Derecho de su propio Estado miembro no sea aplicable.

118.

En tal supuesto, el Tribunal de Justicia consideró que «las facultades de [dicha] autoridad no comprenden necesariamente todas aquellas de las que está investida conforme al Derecho de su propio Estado miembro». ( 68 ) Así pues, esta autoridad «puede ejercer sus facultades de investigación sea cual sea el Derecho aplicable e incluso antes de saber cuál es el Derecho nacional aplicable al tratamiento de que se trata. Sin embargo, si llega a la conclusión de que es aplicable el Derecho de otro Estado miembro, no puede imponer sanciones fuera del territorio de su propio Estado miembro. En tal situación, le corresponde instar, en ejecución de la obligación de cooperación que se establece en el artículo 28, apartado 6, de la citada Directiva, a la autoridad de control de ese otro Estado miembro a declarar una eventual infracción de ese Derecho y a imponer sanciones si éste lo permite, basándose, en su caso, en la información que ella le haya remitido». ( 69 )

119.

Extraigo las siguientes conclusiones de la sentencia de 1 de octubre de 2015, Weltimmo, ( 70 ) a los efectos del presente asunto.

120.

A diferencia del supuesto sobre el que el Tribunal de Justicia desarrolló su razonamiento relativo a los poderes de las autoridades de control en esta segunda parte de la sentencia de 1 de octubre de 2015, Weltimmo, ( 71 ) el caso de autos presenta una situación análoga a la que corresponde a la primera parte de esa sentencia, en la que, como ya he indicado anteriormente, el Derecho nacional aplicable es efectivamente el del propio Estado miembro de la autoridad de control que ejerce sus poderes de intervención, y ello debido a la presencia en el territorio de dicho Estado miembro de un establecimiento del responsable del tratamiento cuya actividad está indisociablemente vinculada a dicho tratamiento. La presencia en Alemania de este establecimiento constituye el punto de conexión necesario para la aplicación del Derecho alemán al tratamiento de los datos personales controvertido.

121.

Una vez que se ha cumplido este requisito previo, se debe reconocer la competencia de la autoridad de control alemana para garantizar el cumplimiento de las normas en materia de protección de datos personales en el territorio alemán poniendo en práctica todos los poderes de que ésta dispone en virtud de las disposiciones alemanas de transposición del artículo 28, apartado 3, de la Directiva 95/46. Tales poderes pueden comprender una orden que consista en prohibir provisional o definitivamente un tratamiento.

122.

En lo referente a la cuestión de saber qué entidad debe ser destinataria de tal medida, dos soluciones parecen posibles.

123.

La primera solución consiste en considerar, según una lectura estricta del ámbito de aplicación territorial de los poderes de intervención de que disponen las autoridades de control, que éstas únicamente pueden ejercer estos poderes contra el establecimiento del responsable del tratamiento que esté situado en el territorio de su propio Estado miembro. Si, como sucede en el presente asunto, dicho establecimiento, esto es, Facebook Germany, no es el responsable del tratamiento y por lo tanto no puede ejecutar por sí mismo la solicitud de la autoridad de control de poner fin a un tratamiento de datos, deberá transmitir esta solicitud al responsable del tratamiento para que éste pueda ejecutarla.

124.

En cambio, la segunda solución consiste en considerar que, dado que el responsable del tratamiento es el único que ejerce una influencia determinante en el tratamiento de datos controvertido, se le debería dirigir directamente la medida por la que se ordena poner fin a tal tratamiento.

125.

En mi opinión, esta segunda solución debería primar, en la medida en que es coherente con el papel fundamental que tiene el responsable del tratamiento en el marco del sistema establecido por la Directiva 95/46. ( 72 ) Tal solución, al evitar pasar obligatoriamente por el intermediario que es el establecimiento que ejerce unas actividades en cuyo marco se ha efectuado un tratamiento, permite garantizar una aplicación inmediata y efectiva de las normas nacionales en materia de protección de datos personales. Asimismo, la autoridad de control que dirija directamente a un responsable del tratamiento que no esté establecido en el territorio de su propio Estado miembro, como Facebook Inc. o Facebook Germany, una medida por la que se ordena poner fin a un tratamiento de datos permanece dentro de los límites de su competencia, que consiste en garantizar que dicho tratamiento sea conforme al Derecho de ese Estado en su territorio. Poco importa, a este respecto, que el responsable o los responsables del tratamiento estén establecidos en otro Estado miembro o en un tercer Estado.

126.

También debo precisar, en relación con mi propuesta de respuesta a las cuestiones prejudiciales primera y segunda, que, habida cuenta del objetivo de garantizar la protección más completa posible de los derechos de las personas que consultan las páginas de fans, la posibilidad de que la ULD ejerza sus poderes de intervención contra Facebook Inc. y Facebook Ireland no excluye en modo alguno, en mi opinión, la adopción de medidas contra la Wirtschaftsakademie y, por lo tanto, como tal, no puede afectar a la legalidad de éstas. ( 73 )

127.

De las consideraciones anteriores se desprende que el artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que un tratamiento de los datos personales como el examinado en el litigio principal se efectúa en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en el territorio de un Estado miembro, en el sentido de esta disposición, cuando una empresa que gestione una red social cree en dicho Estado miembro una filial destinada a garantizar la promoción y la venta de espacios publicitarios ofrecidos por esa empresa y cuya actividad se dirija a los habitantes de dicho Estado miembro.

128.

Asimismo, en una situación como la examinada en el litigio principal, en la que el Derecho nacional aplicable al tratamiento de los datos personales de que se trata es el del Estado miembro al que pertenece una autoridad de control, el artículo 28, apartados 1, 3 y 6, de la Directiva 95/46 debe interpretarse en el sentido de que esta autoridad de control puede ejercer todos los poderes efectivos de intervención que le han sido otorgados con arreglo al artículo 28, apartado 3, de esta Directiva contra el responsable del tratamiento, inclusive cuando dicho responsable tenga su sede en otro Estado miembro o bien en un tercer Estado.

C. Sobre las cuestiones prejudiciales quinta y sexta

129.

Mediante sus cuestiones prejudiciales quinta y sexta, que a mi juicio procede examinar conjuntamente, el tribunal remitente solicita al Tribunal de Justicia, en esencia, que declare si el artículo 28, apartados 1, 3 y 6, de la Directiva 95/46 debe interpretarse en el sentido de que, en unas circunstancias como las examinadas en el litigio principal, la autoridad de control perteneciente al Estado miembro en el que está situado el establecimiento del responsable del tratamiento (Facebook Germany) puede ejercer sus poderes de intervención de manera autónoma y sin estar obligada a instar previamente a la autoridad de control del Estado miembro en el que está situado el responsable del tratamiento (Facebook Ireland) a ejercer sus poderes.

130.

En su resolución de remisión, el Bundesverwaltungsgericht (Tribunal Supremo de lo Contencioso-Administrativo) explica la relación entre estas dos cuestiones prejudiciales y el control de la legalidad de la orden que debe realizar en el marco del litigio principal. Así pues, dicho órgano jurisdiccional indica, en esencia, que el hecho de dictar una orden contra la Wirtschaftsakademie podría considerarse constitutivo de un error de apreciación por parte de la ULD si el artículo 28, apartado 6, de la Directiva 95/46 se interpretara en el sentido de que establece, en unas circunstancias como las examinadas en el litigio principal, la obligación de que una autoridad de control como la ULD inste a la autoridad de control de otro Estado miembro, en este caso, la Autoridad de Protección de Datos, a ejercer sus poderes en caso de diferencias de apreciación entre estas dos autoridades en cuanto a la conformidad del tratamiento de los datos realizado por Facebook Ireland con las normas resultantes de la Directiva 95/46.

131.

Tal como declaró el Tribunal de Justicia en su sentencia de 1 de octubre de 2015, Weltimmo, ( 74 ) en el supuesto de que el Derecho aplicable al tratamiento de datos personales de que se trata no sea el del Estado miembro al que pertenece la autoridad de control que desee ejercer sus poderes de intervención sino el de otro Estado miembro, el artículo 28, apartados 1, 3 y 6, de la Directiva 95/46 debe interpretarse en el sentido de que dicha autoridad no puede imponer sanciones sobre la base del Derecho de su propio Estado miembro a un responsable del tratamiento que no esté domiciliado en el territorio de ese Estado miembro, sino que, de conformidad con el artículo 28, apartado 6, de la misma Directiva, deberá solicitar a la autoridad de control perteneciente al Estado miembro cuyo Derecho es aplicable que intervenga. ( 75 )

132.

En tal situación, la autoridad de control del primer Estado miembro pierde su competencia para ejercer su poder sancionador respecto de un responsable del tratamiento que esté establecido en otro Estado miembro. En ese caso, en cumplimiento de la obligación de cooperación establecida en el artículo 28, apartado 6, de la mencionada Directiva, deberá solicitar a la autoridad de control de ese otro Estado miembro que constate una posible infracción de su Derecho e imponga sanciones si este último lo permite, basándose, en su caso, en la información que ésta le haya comunicado. ( 76 )

133.

Como ya he indicado anteriormente, la situación examinada en el presente asunto es muy distinta, ya que el Derecho aplicable es efectivamente el del Estado miembro al que pertenece la autoridad de control que desea ejercer sus poderes de intervención. En esta situación, el artículo 28, apartado 6, de la Directiva 95/46 debe interpretarse en el sentido de que no obliga a esta autoridad de control a solicitar a la autoridad de control perteneciente al Estado miembro en el que esté establecido el responsable del tratamiento que ejerza sus poderes de intervención contra este último.

134.

Debo añadir que, de conformidad con lo establecido en el artículo 28, apartado 1, segunda frase, de la Directiva 95/46, la autoridad de control que sea competente para ejercer sus poderes de intervención contra un responsable del tratamiento establecido en un Estado miembro distinto del suyo propio ejercerá las funciones que le han sido atribuidas con total independencia.

135.

Tal como se desprende de mis consideraciones anteriormente expuestas, la Directiva 95/46 no establece ni el principio del país de origen ni un mecanismo de ventanilla única como el que aparece en el Reglamento 2016/679. En consecuencia, un responsable del tratamiento que disponga de establecimientos en diversos Estados miembros estará plenamente sometido al control de varias autoridades de control cuando sean aplicables los Derechos de los Estados miembros a los que pertenezcan dichas autoridades. Si bien por supuesto la concertación y la cooperación entre estas autoridades de control son deseables, nada obliga, no obstante, a una autoridad de control que haya sido declarada competente a alinear su posición con la adoptada por otra autoridad de control.

136.

Deduzco de todo lo anterior que el artículo 28, apartados 1, 3 y 6, de la Directiva 95/46 debe interpretarse en el sentido de que, en unas circunstancias como las examinadas en el litigio principal, la autoridad de control perteneciente al Estado miembro en el que esté situado el establecimiento del responsable del tratamiento puede ejercer sus poderes de intervención contra este responsable de manera autónoma y sin estar obligada a instar previamente a la autoridad de control del Estado miembro en el que esté situado dicho responsable a ejercer sus poderes.

III. Conclusión

137.

En atención a las consideraciones anteriores, propongo responder a las cuestiones prejudiciales planteadas por el Bundesverwaltungsgericht (Tribunal Supremo de lo Contencioso-Administrativo, Alemania) de la siguiente manera:

«1)

El artículo 2, letra d), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en su versión modificada por el Reglamento (CE) n.o 1882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003, debe interpretarse en el sentido de que el administrador de una página de fans de una red social como Facebook es un responsable del tratamiento, en el sentido de esta disposición, en lo que respecta a la fase del tratamiento de los datos personales consistente en la recogida por esta red social de los datos relativos a las personas que consulten dicha página con el fin de elaborar estadísticas de audiencia relativas a esa página.

2)

El artículo 4, apartado 1, letra a), de la Directiva 95/46, en su versión modificada por el Reglamento n.o 1882/2003, debe interpretarse en el sentido de que un tratamiento de los datos personales como el examinado en el litigio principal se efectúa en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en el territorio de un Estado miembro, a los efectos de esta disposición, cuando una empresa que gestione una red social establezca en dicho Estado miembro una filial destinada a garantizar la promoción y la venta de espacios publicitarios ofrecidos por esta empresa y cuya actividad se dirija a los habitantes de ese Estado miembro.

3)

En una situación como la examinada en el litigio principal, en la que el Derecho nacional aplicable al tratamiento de los datos personales de que se trata es el del Estado miembro al que pertenece una autoridad de control, el artículo 28, apartados 1, 3 y 6, de la Directiva 95/46, en su versión modificada por el Reglamento n.o 1882/2003, debe interpretarse en el sentido de que esta autoridad de control puede ejercer todos los poderes efectivos de intervención que le otorga el artículo 28, apartado 3, de esta Directiva contra el responsable del tratamiento, inclusive cuando dicho responsable esté establecido en otro Estado miembro o bien en un tercer Estado.

4)

El artículo 28, apartados 1, 3 y 6, de la Directiva 95/46 debe interpretarse en el sentido de que, en unas circunstancias como las examinadas en el litigio principal, la autoridad de control perteneciente al Estado miembro en el que esté situado el establecimiento del responsable del tratamiento puede ejercer sus poderes de intervención contra dicho responsable de manera autónoma y sin estar obligada a instar previamente a la autoridad de control del Estado miembro en el que esté situado ese responsable a ejercer sus poderes.»


( 1 ) Lengua original: francés.

( 2 ) DO 1995, L 281, p. 31.

( 3 ) DO 2003, L 284, p. 1. En lo sucesivo, «Directiva 95/46».

( 4 ) En lo sucesivo, «Grupo de Trabajo “Artículo 29”».

( 5 ) En lo sucesivo, «Dictamen 2/2010».

( 6 ) Dictamen 2/2010, p. 5.

( 7 ) Dictamen 2/2010, p. 6. Según las explicaciones que ofrece el Grupo de Trabajo «Artículo 29» en este dictamen, «normalmente funciona así: el proveedor de redes de publicidad coloca [una] cookie de rastreo en el terminal del usuario la primera vez que este visita un sitio de internet que exhibe un anuncio de su red. [La] cookie es texto breve alfanumérico almacenado (y recuperado posteriormente) en el terminal del usuario por el proveedor de la red. En la publicidad comportamental, [la] cookie permitirá al proveedor de la red de publicidad reconocer a un antiguo visitante que vuelve a dicho sitio o visita cualquier otro sitio asociado de la red publicitaria. La repetición de visitas permitirá al proveedor de la red publicitaria construir un perfil del visitante que se utilizará para producir publicidad personalizada».

( 8 ) Dictamen 1/2010 del Grupo de Trabajo «Artículo 29», de 16 de febrero de 2010, sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento», p. 26.

( 9 ) Así pues, el 11 de septiembre de 2017, la Agencia Española de Protección de Datos anunció que había impuesto una multa de 1,2 millones de euros a Facebook Inc. Anteriormente, la Commission Nationale de l’Informatique et des Libertés (CNIL) (Comisión Nacional sobre Informática y Libertades, Francia) había decidido, mediante un acuerdo de 27 de abril de 2017, imponer a las sociedades Facebook Inc. y Facebook Ireland, de forma solidaria, una sanción pecuniaria de un importe de 150000 euros.

( 10 ) El artículo 38, apartado 5, de la BDSG dispone:

«Con el fin de garantizar el respeto de la presente Ley y de las demás disposiciones relativas a la protección de datos, la autoridad de control podrá ordenar la adopción de medidas dirigidas a subsanar las infracciones que se hayan constatado en la recogida, el tratamiento o la utilización de los datos personales, o los incumplimientos técnicos u organizativos. En caso de infracciones o de incumplimientos graves, en particular cuando éstos supongan un riesgo particular de vulneración del derecho a la intimidad, dicha autoridad podrá prohibir la obtención, el tratamiento o la utilización, incluso el recurso a determinados procedimientos, cuando no se hayan subsanado las infracciones o incumplimientos en un plazo razonable, incumpliendo así la orden contemplada en la primera frase y a pesar de la aplicación de una multa coercitiva. Dicha autoridad podrá solicitar el cese del agente de protección de los datos si tal agente carece de los conocimientos o la fiabilidad necesarias para desempeñar sus funciones.»

( 11 ) El artículo 12 de la Ley sobre los Medios de Comunicación Electrónicos está redactado en los siguientes términos:

«(1) Los proveedores de servicios únicamente podrán recoger y utilizar datos personales con la finalidad de su puesta a disposición de los medios de comunicación electrónicos en la medida en que lo autorice la presente Ley u otra norma jurídica que regule expresamente los medios de comunicación electrónicos o el usuario haya prestado su consentimiento.

[…]

(3) Salvo disposición en contrario, serán de aplicación las correspondientes disposiciones vigentes relativas a la protección de los datos personales, aun cuando no se produzca un tratamiento automatizado de los datos.»

( 12 ) Esta disposición se refiere al tratamiento de los datos personales a través de un encargado del tratamiento.

( 13 ) En virtud de esta disposición, «se entenderá por organismo responsable toda persona u organismo que recoja, trate o utilice datos personales por cuenta propia o mediante un tercero actuando como encargado del tratamiento».

( 14 ) C‑131/12, EU:C:2014:317.

( 15 ) Apartado 60 de la sentencia.

( 16 ) Según las definiciones indicadas en el Dictamen 1/2010, el término «fin» designa «un resultado anticipado que se persigue o que guía la actuación prevista», y la palabra «medio», «la manera en que se obtiene un resultado o se alcanza un objetivo» (p. 14).

( 17 ) Así pues, por ejemplo, con arreglo al artículo 6, apartado 2, de esta Directiva, corresponderá a los responsables del tratamiento garantizar el cumplimiento de los principios relativos a la calidad de los datos que se enumeran en el artículo 6, apartado 1, de dicha Directiva. En virtud de los artículos 10 y 11 de la Directiva 95/46, el responsable del tratamiento tiene el deber de informar a las personas afectadas por un tratamiento de datos personales. En aplicación del artículo 12 de esta Directiva, el derecho de los interesados de acceder a los datos se ejercerá ante el responsable del tratamiento. Cabe decir lo mismo respecto del derecho de oposición establecido en el artículo 14 de dicha Directiva. En virtud del artículo 23, apartado 1, de la Directiva 95/46, los Estados miembros deberán disponer que «toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de [esta] Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido». Por último, los poderes efectivos de intervención de las autoridades de control, tal como se establecen en el artículo 28, apartado 3, de la mencionada Directiva, se ejercerán contra los responsables del tratamiento.

( 18 ) C‑131/12, EU:C:2014:317.

( 19 ) Véase, en este sentido, la sentencia de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartados 38 y 83.

( 20 ) Véase, en particular, la sentencia de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 34.

( 21 ) Dictamen 1/2010, p. 10.

( 22 ) Así pues, Facebook Ireland explicó que con frecuencia introduce funciones que se ponen exclusivamente a la disposición de los interesados en la Unión y que están adaptadas para dichos interesados. En otros casos, Facebook Ireland decide no ofrecer en la Unión productos que Facebook Inc. oferta en los Estados Unidos.

( 23 ) Véase la sentencia de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650), apartado 27.

( 24 ) Véase la resolución de remisión, apartado 39.

( 25 ) Lo importante en el marco del presente asunto no es la determinación de los fines y los medios del tratamiento que sigue a la transferencia a Facebook de los datos de las personas que consultan una página de fans. Procede centrarse en la fase del tratamiento que se examina en el presente asunto, a saber, la de la recogida de los datos de las personas que consulten una página de fans sin que éstas hayan sido informadas de ello y sin que se haya recabado debidamente su consentimiento.

( 26 ) De las condiciones de uso de Facebook se desprende que las estadísticas de audiencia permiten al administrador de una página de fans consultar información sobre su público objetivo, con el fin de poder crear contenidos más pertinentes para éste. Las estadísticas de audiencia proporcionan al administrador de una página de fans datos demográficos relativos a su público objetivo, en particular las tendencias en cuanto a su edad, sexo, situación sentimental y profesional, información sobre el estilo de vida y los intereses de su público objetivo e información relativa a las compras de su público objetivo, en particular su comportamiento de compra en línea, las categorías de productos o servicios que les interesan más, y datos geográficos que permiten al administrador de la página de fans saber dónde efectuar promociones especiales y organizar eventos.

( 27 ) Véase, en este sentido, el Dictamen 1/2010, p. 29.

( 28 ) Ibidem, p. 29: «el desequilibrio en cuanto al poder contractual entre un pequeño responsable del tratamiento y un gran proveedor de servicios no debería considerarse una justificación para que el primero acepte cláusulas y condiciones de contractos que no se ajusten a la legislación en materia de protección de datos».

( 29 ) C‑131/12, EU:C:2014:317.

( 30 ) Sentencia de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 38, y, en este sentido, apartado 83.

( 31 ) Sentencia de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 40.

( 32 ) Véase la resolución de remisión, apartado 35.

( 33 ) Asunto todavía pendiente ante el Tribunal de Justicia.

( 34 ) Tal como señala la Autoridad suiza de Protección de Datos: «aunque en la mayoría de los casos el proveedor de servicios de webtracking realiza la grabación y el análisis propiamente dichos de los datos de forma muy discreta, el gestor de la página web es igualmente responsable. En efecto, éste integra el código del proveedor de servicios de webtracking en su página web y de este modo facilita, sin que el internauta lo sepa, la transferencia de datos, la instalación de cookies y la obtención de datos en beneficio del proveedor de servicios de webtracking»: véanse las «Explicaciones sobre el webtracking» del Préposé fédéral à la protection des données et à la transparence (Comisionado Federal para la Protección de Datos y la Transparencia, Suiza, PFPDT), a cuya versión francesa se puede acceder en la siguiente dirección: https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr

( 35 ) Véase, en este sentido, el Dictamen 1/2010, p. 25.

( 36 ) Dictamen 1/2010, p. 36.

( 37 ) Dictamen 1/2010, p. 21.

( 38 ) Véase la resolución de remisión, apartado 40.

( 39 ) Véase, en particular, la sentencia de 31 de enero de 2017, Lounani (C‑573/14, EU:C:2017:71), apartado 56 y jurisprudencia citada.

( 40 ) En lo sucesivo, «Dictamen 8/2010».

( 41 ) Página 32 del Dictamen.

( 42 ) Página 32 del Dictamen.

( 43 ) La estructura adoptada por grupos como Google y Facebook para operar en todo el mundo complica la determinación del Derecho nacional aplicable y la identificación del establecimiento contra el que los particulares que vean sus derechos vulnerados y las autoridades de control deben actuar. Véase, sobre estas cuestiones, Svantesson, D., «Enforcing Privacy Across Different Jurisdiction», en Wright, D. y De Hert, P., Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, 2016, pp. 195 y ss., especialmente pp. 216 a 218.

( 44 ) Véase, en particular, la sentencia de 1 de octubre de 2015, Weltimmo (C‑230/14, EU:C:2015:639), apartado 25 y jurisprudencia citada.

( 45 ) Véase, en particular, la sentencia de 28 de julio de 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612), apartado 75 y jurisprudencia citada.

( 46 ) Véase la sentencia de 1 de octubre de 2015, Weltimmo (C‑230/14, EU:C:2015:639), apartado 29.

( 47 ) Véase, en particular, la sentencia de 28 de julio de 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612), apartado 77 y jurisprudencia citada.

( 48 ) Véase la sentencia de 1 de octubre de 2015, Weltimmo (C‑230/14, EU:C:2015:639), apartado 29.

( 49 ) Véase, en particular, la sentencia de 28 de julio de 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612), apartado 78 y jurisprudencia citada.

( 50 ) Página 33 del Dictamen 8/2010. Véase también, en este sentido, la p. 15 de dicho Dictamen.

( 51 ) C‑131/12, EU:C:2014:317.

( 52 ) Apartado 55 de la sentencia.

( 53 ) Apartado 56 de la sentencia.

( 54 ) Apartado 57 de la sentencia.

( 55 ) Véase, en este sentido, el Dictamen 5/2009, de 12 de junio de 2009, sobre las redes sociales en línea, del Grupo de Trabajo «Artículo 29», p. 5.

( 56 ) C‑131/12, EU:C:2014:317.

( 57 ) Véase, en particular, «Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain», del Grupo de Trabajo «Artículo 29», de 16 de diciembre de 2015, pp. 6 y 7.

( 58 ) Véase, en el sentido de la aplicación potencial de una pluralidad de Derechos nacionales, el Dictamen 8/2010: «la referencia a “un” establecimiento significa que la aplicabilidad del Derecho de un Estado miembro se desencadenará por la ubicación de un establecimiento del responsable del tratamiento en dicho Estado miembro, mientras que la de los Derechos de otros Estados miembros podría desencadenarse por la ubicación de otros establecimientos de ese responsable del tratamiento en dichos Estados miembros» (p. 33).

( 59 ) C‑191/15, EU:C:2016:612.

( 60 ) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (DO 2016, L 119, p. 1).

( 61 ) Véase, a este respecto, Hawkes, B., «The Irish DPA and its Approach to Data Protection», in Wright, D., y De Hert, P., Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, 2016, p. 450, nota 11. Así pues, el autor indica que «the degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook-Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase “the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State”. The DPC, in its audit report, stated that: “it ha(d) jurisdiction over the personal data processing activities of [Facebook-Ireland] based on it being established in Ireland” but that this “should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU”».

( 62 ) C‑131/12, EU:C:2014:317.

( 63 ) Véase, según una lógica comparable, el Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 May 2017, en el que las autoridades declaran lo siguiente: «[…] the DPAs united in the Contact group conclude that their respective national data protection law applies to the processing of personal data of users and non-users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice […], the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non-users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are “inextricably linked” to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC».

( 64 ) Véase la sentencia de 1 de octubre de 2015, Weltimmo (C‑230/14, EU:C:2015:639), apartado 49.

( 65 ) C‑230/14, EU:C:2015:639.

( 66 ) Véase la sentencia de 1 de octubre de 2015, Weltimmo (C‑230/14, EU:C:2015:639), apartado 42.

( 67 ) Véase la sentencia de 1 de octubre de 2015, Weltimmo (C‑230/14, EU:C:2015:639), apartado 43.

( 68 ) Véase la sentencia de 1 de octubre de 2015, Weltimmo (C‑230/14, EU:C:2015:639), apartado 55.

( 69 ) Véase la sentencia de 1 de octubre de 2015, Weltimmo (C‑230/14, EU:C:2015:639), apartado 57.

( 70 ) C‑230/14, EU:C:2015:639.

( 71 ) C‑230/14, EU:C:2015:639.

( 72 ) Véase, a este respecto, el punto 44 de las presentes conclusiones.

( 73 ) Véanse igualmente los puntos 73 a 77 de las presentes conclusiones.

( 74 ) C‑230/14, EU:C:2015:639.

( 75 ) Sentencia de 1 de octubre de 2015, Weltimmo (C‑230/14, EU:C:2015:639), apartado 60.

( 76 ) Sentencia de 1 de octubre de 2015, Weltimmo (C‑230/14, EU:C:2015:639), apartado 57.

Top