SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

de 5 de junio de 2018 ( *1 )

«Procedimiento prejudicial — Directiva 95/46/CE — Datos personales — Protección de las personas físicas en lo que respecta al tratamiento de estos datos — Orden por la que se solicita la desactivación de una página de Facebook (fan page) que permite recoger y tratar determinados datos vinculados a los visitantes de esa página — Artículo 2, letra d) — Responsable del tratamiento de datos personales — Artículo 4 — Derecho nacional aplicable — Artículo 28 —Autoridades nacionales de control — Poderes de intervención de esas autoridades»

En el asunto C‑210/16,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Bundesverwaltungsgericht (Tribunal Supremo de lo Contencioso-Administrativo, Alemania), mediante resolución de 25 de febrero de 2016, recibida en el Tribunal de Justicia el 14 de abril de 2016, en el procedimiento entre

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

y

Wirtschaftsakademie Schleswig-Holstein GmbH,

con intervención de:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. K. Lenaerts, Presidente, el Sr. A. Tizzano (Ponente), Vicepresidente, los Sres. M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský y E. Levits, Presidentes de Sala, y los Sres. E. Juhász, A. Borg Barthet y F. Biltgen, la Sra. K. Jürimäe y los Sres. C. Lycourgos, M. Vilaras y E. Regan, Jueces;

Abogado General: Sr. Y. Bot;

Secretario: Sra. C. Strömholm, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 27 de junio de 2017;

consideradas las observaciones presentadas:

en nombre del Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, por los Sres. U. Karpenstein y M. Kottmann, Rechtsanwälte;

en nombre de Wirtschaftsakademie Schleswig-Holstein GmbH, por el Sr. C. Wolff, Rechtsanwalt;

en nombre de Facebook Ireland Ltd, por los Sres. C. Eggers, H.‑G. Kamann y M. Braun, Rechtsanwälte, y por la Sra. I. Perego, avvocato;

en nombre del Gobierno alemán, por el Sr. J. Möller, en calidad de agente;

en nombre del Gobierno belga, por las Sras. L. Van den Broeck y C. Pochet y por los Sres. P. Cottin y J.-C. Halleux, en calidad de agentes;

en nombre del Gobierno checo, por los Sres. M. Smolek y J. Vláčil y por la Sra. L. Březinová, en calidad de agentes;

en nombre de Irlanda, por las Sras. M. Browne, L. Williams, E. Creedon y G. Gilmore y por el Sr. A. Joyce, en calidad de agentes;

en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por el Sr. P. Gentili, avvocato dello Stato;

en nombre del Gobierno neerlandés, por las Sras. C.S. Schillemans y M.K. Bulterman, en calidad de agentes;

en nombre del Gobierno finlandés, por el Sr. J. Heliskoski, en calidad de agente;

en nombre de la Comisión Europea, por los Sres. H. Krämer y D. Nardi, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 24 de octubre de 2017;

dicta la siguiente

Sentencia

1

La petición de decisión prejudicial tiene por objeto la interpretación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

2

Esta petición se ha presentado en el contexto de un litigio entre el Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Autoridad regional independiente de protección de datos de Schleswig-Holstein, Alemania; en lo sucesivo, «ULD») y Wirtschaftsakademie Schleswig-Holstein GmbH, sociedad de Derecho privado especializada en el ámbito de la educación (en lo sucesivo, «Wirtschaftsakademie»), respecto a la legalidad de una orden emitida por el ULD para que esta última desactivara su página de fans alojada en el sitio de la red social Facebook (en lo sucesivo, «Facebook»).

Marco jurídico

Derecho de la Unión

3

Los considerandos 10, 18, 19 y 26 de la Directiva 95/46 enuncian:

«(10)

Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, así como en los principios generales del Derecho [de la Unión]; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la [Unión];

[...]

(18)

Considerando que, para evitar que una persona sea excluida de la protección garantizada por la presente Directiva, es necesario que todo tratamiento de datos personales efectuado en la [Unión] respete la legislación de uno de sus Estados miembros; que, a este respecto, resulta conveniente someter el tratamiento de datos efectuados por cualquier persona que actúe bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado;

(19)

Considerando que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante al respecto; que cuando un mismo responsable esté establecido en el territorio de varios Estados miembros, en particular por medio de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a estas actividades;

[...]

(26)

Considerando que los principios de la protección deberán aplicarse a cualquier información relativa a una persona identificada o identificable; que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; [...]».

4

El artículo 1 de la Directiva 95/46, titulado «Objeto de la Directiva», establece:

«1.   Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

2.   Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.»

5

El artículo 2 de esta Directiva, titulado «Definiciones», tiene la siguiente redacción:

«A efectos de la presente Directiva, se entenderá por:

[...]

b)

“tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

[...]

d)

“responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o [de la Unión], el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o [de la Unión];

e)

“encargado del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento;

f)

“tercero”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento;

[...]»

6

El artículo 4 de dicha Directiva, titulado «Derecho nacional aplicable», establece en su apartado 1:

«Los Estados miembros aplicarán las disposiciones nacionales que hayan aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a)

el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

b)

el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;

c)

el responsable del tratamiento no esté establecido en el territorio de la [Unión] y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la [Unión].»

7

El artículo 17 de la Directiva 95/46, titulado «Seguridad del tratamiento», dispone en sus apartados 1 y 2:

«1.   Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales.

Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.

2.   Los Estados miembros establecerán que el responsable del tratamiento, en caso de tratamiento por cuenta del mismo, deberá elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas.»

8

El artículo 24 de esta Directiva, titulado «Sanciones», prevé:

«Los Estados miembros adoptarán las medidas adecuadas para garantizar la plena aplicación de las disposiciones de la presente Directiva y determinarán, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva.»

9

El artículo 28 de dicha Directiva, titulado «Autoridad de control», tiene el siguiente tenor:

«1.   Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.

2.   Los Estados miembros dispondrán que se consulte a las autoridades de control en el momento de la elaboración de las medidas reglamentarias o administrativas relativas a la protección de los derechos y libertades de las personas en lo que se refiere al tratamiento de datos de carácter personal.

3.   La autoridad de control dispondrá, en particular, de:

poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;

poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales;

capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.

Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

[...]

6.   Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.

Las autoridades de control cooperarán entre sí en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información que estimen útil.

[...]»

Derecho alemán

10

El artículo 3, apartado 7, de la Bundesdatenschutzgesetz (Ley Federal sobre Protección de Datos), en su versión aplicable a los hechos del litigio principal (en lo sucesivo, «BDSG»), es del siguiente tenor:

«Se entenderá por entidad responsable toda persona o entidad que recoja, trate o utilice datos personales por cuenta propia o mediante un encargado del tratamiento.»

11

El artículo 11 del BDSG, titulado «Recogida, tratamiento o utilización de datos personales mediante un encargado del tratamiento», presenta la siguiente redacción:

«(1)   Si se recogen, tratan o utilizan datos personales mediante una entidad encargada del tratamiento, quien haya encargado el tratamiento responderá de la observancia de las disposiciones de la presente Ley y demás disposiciones relativas a la protección de datos. [...]

(2)   El encargado del tratamiento deberá ser rigurosamente elegido teniendo en cuenta especialmente la adecuación de las medidas técnicas y de organización que haya adoptado. El encargo del tratamiento requerirá forma escrita y, en particular, habrá de determinarse en detalle: [...]

Quien haya encargado el tratamiento deberá garantizar la observancia de las medidas técnicas y de organización adoptadas por el encargado del tratamiento antes del comienzo del tratamiento de los datos y, posteriormente, de forma regular. El resultado deberá quedar documentado.

[...]»

12

El artículo 38, apartado 5, de la BDSG dispone:

«Con el fin de garantizar el respeto de la presente Ley y de las demás disposiciones relativas a la protección de datos, la autoridad de control podrá ordenar la adopción de medidas dirigidas a subsanar las infracciones que se hayan constatado en la recogida, el tratamiento o la utilización de los datos personales, o los incumplimientos técnicos u organizativos. En caso de infracciones o de incumplimientos graves, en particular cuando estos supongan un riesgo particular de vulneración del derecho a la intimidad, dicha autoridad podrá prohibir la obtención, el tratamiento o la utilización, incluso el recurso a determinados procedimientos, cuando no se hayan subsanado las infracciones o incumplimientos en un plazo razonable, incumpliéndose así la orden contemplada en la primera frase y a pesar de la aplicación de una multa coercitiva. Dicha autoridad podrá solicitar el cese del agente de protección de los datos si tal agente carece de los conocimientos o la fiabilidad necesarias para desempeñar sus funciones.»

13

El artículo 12 de la Telemediengesetz (Ley sobre los Medios de Comunicación Electrónicos), de 26 de febrero de 2007 (BGBl. 2007 I, p. 179; en lo sucesivo, «TMG»), es del siguiente tenor:

«(1)   Los proveedores de servicios únicamente podrán recoger y utilizar datos personales con la finalidad de ponerlos a disposición de los medios de comunicación electrónicos en la medida en que lo autorice la presente Ley u otra norma jurídica que regule expresamente los medios de comunicación electrónicos o el usuario haya prestado su consentimiento.

[...]

(3)   Salvo disposición en contrario, serán de aplicación las correspondientes disposiciones vigentes relativas a la protección de los datos personales, aun cuando no se produzca un tratamiento automatizado de los datos.»

Litigio principal y cuestiones prejudiciales

14

Wirtschaftsakademie ofrece servicios de formación mediante una página de fans alojada en Facebook.

15

Las páginas de fans son cuentas de usuario que pueden ser configuradas en Facebook por particulares o empresas. Para ello, el creador de la página de fans, una vez registrado en Facebook, puede utilizar la plataforma gestionada por dicha red social para presentarse a los usuarios de esta así como a las personas que visitan la página de fans y difundir todo tipo de comunicaciones en el mercado de los medios y de la opinión. Los administradores de páginas de fans pueden obtener estadísticas anónimas sobre los visitantes de esas páginas mediante una herramienta denominada Facebook Insight, que Facebook pone gratuitamente a su disposición conforme a condiciones de uso no modificables. Estos datos se recogen gracias a ficheros testigo (en lo sucesivo, «cookies»), cada uno de los cuales contiene un código de usuario único, activos durante dos años y almacenados por Facebook en el disco duro del ordenador o en cualquier otro soporte de los visitantes de la página de fans. El código de usuario, que puede vincularse a los datos de conexión de los usuarios registrados en Facebook, se recoge y trata en el momento en que se abren las páginas de fans. A este respecto, de la resolución de remisión se desprende que ni Wirtschaftsakademie ni Facebook Ireland Ltd mencionaron la operación de almacenamiento y el funcionamiento de esa cookie o el tratamiento posterior de los datos, al menos durante el período relevante en el litigio principal.

16

Mediante resolución de 3 de noviembre de 2011 (en lo sucesivo, «resolución impugnada»), el ULD, en su condición de autoridad de control, en el sentido del artículo 28 de la Directiva 95/46, encargada de vigilar la aplicación en el territorio del Land de Schleswig-Holstein (Alemania) de las disposiciones adoptadas por la República Federal de Alemania en aplicación de dicha Directiva, ordenó a Wirtschaftsakademie, conforme al artículo 38, apartado 5, primera frase, de la BDSG, que desactivara la página de fans que había creado en Facebook en la dirección www.facebook.com/wirtschaftsakademie, bajo pena de multa coercitiva en caso de incumplimiento en el plazo establecido, debido a que ni Wirtschaftsakademie ni Facebook informaban a los visitantes de la página de fans de que esta última recogía mediante cookies datos personales a su respecto y de que posteriormente trataban tales datos. Wirtschaftsakademie presentó una reclamación contra esta resolución alegando, en esencia, que no era responsable, a la luz del Derecho aplicable a la protección de datos, ni del tratamiento de los datos realizado por Facebook ni de las cookies instaladas por esta.

17

Mediante resolución de 16 de diciembre de 2011, el ULD desestimó esta reclamación al considerar que la responsabilidad de Wirtschaftsakademie como proveedor de servicios estaba acreditada con arreglo a los artículos 3, apartado 3, punto 4, y 12, apartado 1, de la TMG, en relación con el artículo 3, apartado 7, de la BDSG. El ULD expuso que, al crear su página de fans, Wirtschaftsakademie había realizado una contribución activa y voluntaria a la recogida por parte de Facebook de datos personales relativos a los visitantes de dicha página de fans, datos de los que se benefició mediante estadísticas que esta última puso a su disposición.

18

Wirtschaftsakademie interpuso un recurso contra esta resolución ante el Verwaltungsgericht (Tribunal de lo Contencioso-Administrativo, Alemania), alegando que no le era imputable el tratamiento de datos personales efectuado por Facebook y que tampoco había encargado a Facebook, en el sentido del artículo 11 de la BDSG, que realizara un tratamiento de datos bajo su control o en el que ella pudiera influir. En consecuencia, Wirtschaftsakademie estimaba que el ULD debería haberse dirigido directamente contra Facebook en vez de adoptar en su contra la resolución impugnada.

19

Mediante sentencia de 9 de octubre de 2013, el Verwaltungsgericht (Tribunal de lo Contencioso-Administrativo) anuló la resolución impugnada basándose, en esencia, en que, dado que el administrador de una página de fans en Facebook no es una entidad responsable en el sentido del artículo 3, apartado 7, de la BDSG, Wirtschaftsakademie no podía ser destinataria de una medida adoptada con arreglo al artículo 38, apartado 5, de la BDSG.

20

El Oberverwaltungsgericht (Tribunal Superior de lo Contencioso-Administrativo, Alemania) desestimó por infundado el recurso de apelación interpuesto por el ULD contra esa sentencia. Dicho tribunal consideró, en esencia, que la prohibición del tratamiento de los datos establecida en la resolución impugnada era ilegal, por cuanto el artículo 38, apartado 5, segunda frase, de la BDSG establece un procedimiento progresivo, cuya primera fase permite únicamente adoptar medidas dirigidas a subsanar las infracciones detectadas en el tratamiento de los datos. Solo se podría contemplar la prohibición inmediata del tratamiento de datos si el procedimiento de tratamiento de datos fuera ilícito en su totalidad y si únicamente la suspensión de ese procedimiento permitiera subsanar dicha situación. Ahora bien, según el Oberverwaltungsgericht (Tribunal Superior de lo Contencioso-Administrativo), no había sucedido así en el caso de autos, dado que Facebook había tenido efectivamente la posibilidad de hacer cesar las infracciones que alegó el ULD.

21

El Oberverwaltungsgericht (Tribunal Superior de lo Contencioso-Administrativo) añadió que la resolución impugnada también era ilegal debido a que solo se podía dictar una orden en virtud del artículo 38, apartado 5, de la BDSG contra la entidad responsable, en el sentido del artículo 3, apartado 7, de la BDSG, condición que no concurría en Wirtschaftsakademie en relación con los datos recogidos por Facebook. A su juicio, en efecto, únicamente Facebook podía decidir la finalidad y los medios de la recogida y del tratamiento de los datos personales utilizados en el marco de la funcionalidad Facebook Insights, pues Wirtschaftsakademie, por su parte, solo recibía información estadística anonimizada.

22

El ULD interpuso un recurso de casación ante el Bundesverwaltungsgericht (Tribunal Supremo de lo Contencioso-Administrativo, Alemania), invocando, entre otras alegaciones, una infracción del artículo 38, apartado 5, de la BDSG, así como diversos errores procesales de la resolución del tribunal de apelación. Según el ULD, la infracción cometida por Wirtschaftsakademie estribaba en que había encargado la realización, el alojamiento y el mantenimiento de un sitio de Internet a un proveedor (concretamente, Facebook Ireland) que resultaba inadecuado por no haber respetado el Derecho aplicable a la protección de datos. A su entender, la orden dirigida a Wirtschaftsakademie mediante la resolución impugnada para que desactivara su página de fans pretendía subsanar esa infracción, pues le prohibía continuar utilizando la infraestructura de Facebook como base técnica de su sitio de Internet.

23

Al igual que el Oberverwaltungsgericht (Tribunal Superior de lo Contencioso-Administrativo), el Bundesverwaltungsgericht (Tribunal Supremo de lo Contencioso-Administrativo) estima que no cabe considerar que la propia Wirtschaftsakademie sea responsable del tratamiento de los datos, en el sentido del artículo 3, apartado 7, de la BDSG o del artículo 2, letra d), de la Directiva 95/46. Este último tribunal entiende, no obstante, que dicho concepto debe, en principio, interpretarse de manera extensiva en interés de una protección efectiva del derecho a la intimidad, tal como, según afirma, ha reconocido el Tribunal de Justicia en su jurisprudencia reciente en la materia. Por otra parte, alberga dudas en cuanto a los poderes de que dispone en el presente caso el ULD en relación con Facebook Germany, habida cuenta de que el responsable de la recogida y del tratamiento de los datos personales dentro del grupo Facebook, en el ámbito de la Unión, es Facebook Ireland. Por último, dicho órgano jurisdiccional se pregunta acerca de la incidencia, a efectos del ejercicio de los poderes de intervención del ULD, de las apreciaciones realizadas por la autoridad de control a la que está sujeta Facebook Ireland en cuanto a la legalidad del tratamiento de los datos personales en cuestión.

24

En estas circunstancias, el Bundesverwaltungsgericht (Tribunal Supremo de lo Contencioso-Administrativo) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)

¿Debe interpretarse el artículo 2, letra d), de la Directiva [95/46] en el sentido de que regula taxativa y exhaustivamente la responsabilidad por las infracciones en materia de protección de datos, o bien, en el ámbito de las “medidas adecuadas” a que se refiere el artículo 24 de [esta Directiva] y de los “poderes efectivos de intervención” mencionados en el artículo 28, apartado 3, segundo guion, de [dicha Directiva], en las relaciones en cadena de proveedores de información también puede incurrir en responsabilidad una entidad que no sea responsable del tratamiento de los datos, en el sentido del artículo 2, letra d), de [la mencionada Directiva], por la elección del operador para ofrecer su información?

2)

¿De la obligación impuesta por el artículo 17, apartado 2, de la Directiva [95/46] a los Estados miembros de establecer que, en caso de que se encargue el tratamiento de los datos, el responsable del tratamiento deberá “elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse” se deduce, a sensu contrario, que en otras relaciones de uso que no suponen un tratamiento de datos mediante un encargado del tratamiento en el sentido del artículo 2, letra e), de [esta Directiva] no existe tal obligación de elección diligente y tampoco la puede imponer el Derecho nacional?

3)

En los casos en que una sociedad matriz establecida fuera de la Unión mantenga establecimientos jurídicamente independientes (filiales) en diversos Estados miembros, ¿la autoridad de control de un Estado miembro (en este caso, Alemania) es también competente con arreglo al artículo 4 y al artículo 28, apartado 6, de la Directiva [95/46] para ejercer los poderes que le otorga el artículo 28, apartado 3, de [esta Directiva] contra el establecimiento situado en su territorio, aunque dicho establecimiento solo tenga funciones de promoción y venta de espacios publicitarios así como relativas a otras medidas de marketing dirigidas a los habitantes de ese Estado miembro, mientras que, conforme al reparto de funciones dentro del grupo, corresponde al establecimiento independiente (filial) situado en otro Estado miembro (en este caso, Irlanda) la responsabilidad exclusiva relativa a la obtención y al tratamiento de los datos personales en todo el territorio de la Unión Europea y, por lo tanto, también en el otro Estado miembro (en este caso, Alemania), cuando en realidad la decisión sobre el tratamiento de los datos la toma la sociedad matriz?

4)

¿Deben interpretarse los artículos 4, apartado 1, y 28, apartado 3, de la Directiva [95/46] en el sentido de que, en los casos en que el responsable del tratamiento disponga de un establecimiento en el territorio de un Estado miembro (en este caso, Irlanda) y de otro establecimiento jurídicamente independiente en el territorio de otro Estado miembro (en este caso, Alemania), el cual se ocupa, en particular, de la venta de espacios publicitarios, y cuya actividad está dirigida a los habitantes de dicho Estado, la autoridad de control competente en ese otro Estado miembro (en este caso, Alemania) puede adoptar medidas y dictar órdenes para la ejecución del Derecho aplicable en materia de protección de datos, incluso contra el otro establecimiento (en este caso, sito en Alemania) que, conforme al reparto interno de funciones y responsabilidades dentro del grupo, no es responsable del tratamiento de los datos, o solo puede decretar tales medidas y órdenes la autoridad de control del Estado miembro (en este caso, Irlanda) en cuyo territorio tiene su domicilio la entidad responsable dentro del grupo?

5)

¿Deben interpretarse los artículos 4, apartado 1, letra a), y 28, apartados 3 y 6, de la Directiva [95/46] en el sentido de que, en los casos en que la autoridad de control de un Estado miembro (en este caso, Alemania) se dirige con arreglo al artículo 28, apartado 3, de [esta Directiva] contra una persona o entidad que opera en su territorio porque esta no ha elegido diligentemente al tercero implicado en el proceso de tratamiento de datos (en este caso, Facebook), dado que dicho tercero infringe el Derecho aplicable en materia de protección de datos, la autoridad de control que actúa (en este caso, Alemania) se halla vinculada a la valoración a efectos del Derecho aplicable en materia de protección de datos realizada por la autoridad de control del otro Estado miembro, donde tiene su establecimiento el tercero responsable del tratamiento de datos (en este caso, Irlanda), de manera que no puede realizar ninguna valoración jurídica diferente, o bien la autoridad de control que actúa (en este caso, Alemania) puede verificar de forma autónoma la legalidad del tratamiento de los datos realizado por el tercero establecido en el otro Estado miembro (en este caso, Irlanda) como cuestión incidental respecto de su propia actuación?

6)

En el caso de que la autoridad de control que actúa (en este caso, Alemania) pueda efectuar una verificación de forma autónoma, ¿debe interpretarse el artículo 28, apartado 6, segunda frase, de la Directiva [95/46] en el sentido de que esta autoridad de control solo puede ejercer los poderes efectivos de intervención que le atribuye el artículo 28, apartado 3, de [esta] Directiva contra una persona o entidad establecidas en su territorio por corresponsabilidad en las infracciones en materia de protección de los datos cometidas por un tercero establecido en otro Estado miembro si, previamente, ha pedido a la autoridad de control del otro Estado miembro (en este caso, Irlanda) que ejercite sus poderes?»

Sobre las cuestiones prejudiciales

Sobre las cuestiones prejudiciales primera y segunda

25

Mediante sus cuestiones prejudiciales primera y segunda, que procede examinar conjuntamente, el órgano jurisdiccional remitente pide, en esencia, que se dilucide si el artículo 2, letra d), el artículo 17, apartado 2, el artículo 24 y el artículo 28, apartado 3, segundo guion, de la Directiva 95/46 deben interpretarse en el sentido de que permiten considerar responsable a una entidad, en su condición de administradora de una página de fans alojada en una red social, en caso de infracción de las normas relativas a la protección de datos personales, por haber elegido recurrir a esa red social para difundir su oferta de información.

26

Para responder a estas cuestiones, procede recordar que, como se desprende de su artículo 1, apartado 1, y de su considerando 10, la Directiva 95/46 tiene por objeto garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas, sobre todo de su vida privada, en relación con el tratamiento de datos personales (sentencia de 11 de diciembre de 2014, Ryneš, C‑212/13, EU:C:2014:2428, apartado 27 y jurisprudencia citada).

27

Conforme a este objetivo, el artículo 2, letra d), de dicha Directiva define de manera amplia el concepto de «responsable del tratamiento», refiriéndose a la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales.

28

En efecto, tal como ya ha declarado el Tribunal de Justicia, el objetivo de esta disposición consiste en garantizar, mediante una definición amplia del concepto de «responsable», una protección eficaz y completa de los interesados (sentencia de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 34).

29

Además, puesto que, tal como prevé expresamente el artículo 2, letra d), de la Directiva 95/46, el concepto de «responsable del tratamiento» se refiere al organismo que «solo o conjuntamente con otros» determine los fines y los medios del tratamiento de datos personales, dicho concepto no se remite necesariamente a una única entidad, sino que puede aludir a varios actores que participen en ese tratamiento, cada uno de los cuales estará por tanto sujeto a las disposiciones aplicables en materia de protección de datos.

30

En el presente caso, debe considerarse que Facebook Inc. y, respecto a la Unión, Facebook Ireland determinan, con carácter principal, los fines y los medios del tratamiento de los datos personales de los usuarios de Facebook, así como de las personas que visitan las páginas de fans alojadas en Facebook, por lo que se les aplica la definición de «responsable del tratamiento», en el sentido del artículo 2, letra d), de la Directiva 95/46, lo cual no se discute en el caso de autos.

31

Dicho esto, y con objeto de responder a las cuestiones prejudiciales planteadas, procede examinar si el administrador de una página de fans alojada en Facebook, como Wirtschaftsakademie, contribuye, y en qué medida, a determinar en el marco de esa página de fans, conjuntamente con Facebook Ireland y Facebook Inc., los fines y los medios del tratamiento de los datos personales de los visitantes de dicha página de fans y puede, por tanto, ser considerado a su vez «responsable del tratamiento», en el sentido del artículo 2, letra d), de la Directiva 95/46.

32

A este respecto, cabe observar que cualquier persona que desee crear una página de fans en Facebook celebra con Facebook Ireland un contrato específico relativo a la apertura de tal página y, de este modo, suscribe las condiciones de uso de dicha página, incluida la correspondiente política en materia de cookies, aspecto que corresponde comprobar al órgano jurisdiccional nacional.

33

Según se desprende de los autos transmitidos al Tribunal de Justicia, los tratamientos de datos personales de que se trata en el litigio principal se efectúan en esencia mediante cookies que Facebook coloca en el ordenador o en cualquier otro aparato de las personas que visitan la página de fans, cuya finalidad es almacenar información sobre los navegadores web y que permanecen activas durante dos años si no se borran. Asimismo se desprende de dichos autos que, en la práctica, Facebook recibe, guarda y trata los datos almacenados en las cookies, en particular, cuando una persona visita «los servicios de Facebook, los servicios ofrecidos por otras empresas de Facebook y los servicios ofrecidos por otras empresas que utilizan los servicios de Facebook». Además, otras entidades, como los socios de Facebook o incluso terceros, «pueden utilizar cookies en los servicios de Facebook para [ofrecer servicios directamente a dicha red social], así como a las empresas que se anuncian en Facebook».

34

En particular, estos tratamientos de datos personales tienen por objeto permitir, por un lado, a Facebook mejorar su sistema de publicidad, que difunde a través de su red, y, por otro lado, posibilitar que el administrador de la página de fans obtenga estadísticas elaboradas por Facebook a partir de las visitas a esa página, a efectos de la gestión de la promoción de su actividad, lo que le permite conocer, por ejemplo, el perfil de los visitantes que indican que les gusta su página de fans o que utilizan sus aplicaciones, de tal modo que pueda ofrecerles contenido más relevante y desarrollar funciones con mayores probabilidades de interesarles.

35

Pues bien, aunque el hecho de utilizar una red social como Facebook no convierte al usuario de Facebook en corresponsable de un tratamiento de datos personales efectuado por dicha red, es preciso señalar, no obstante, que el administrador de una página de fans alojada en Facebook, mediante la creación de tal página, ofrece a Facebook la posibilidad de colocar cookies en los ordenadores o en cualquier otro aparato de la persona que haya visitado su página de fans, disponga o no esta persona de una cuenta de Facebook.

36

En este contexto, de las indicaciones transmitidas al Tribunal de Justicia se desprende que la creación de una página de fans en Facebook implica por parte de su administrador una acción de configuración, en función, entre otros aspectos, de su audiencia destinataria, así como de los objetivos de gestión o de promoción de sus actividades, que influye en el tratamiento de datos personales a efectos de la elaboración de las estadísticas establecidas a partir de las visitas de la página de fans. El administrador puede, gracias a filtros que Facebook pone a su disposición, definir los criterios a partir de los cuales deben elaborarse esas estadísticas e incluso designar las categorías de personas cuyos datos personales serán objeto de explotación por parte de Facebook. Por consiguiente, el administrador de una página de fans alojada en Facebook contribuye al tratamiento de los datos personales de los visitantes de su página.

37

En particular, el administrador de la página de fans puede solicitar la obtención —y, por tanto, el tratamiento— de datos demográficos relativos a su audiencia destinataria, especialmente, de las tendencias en materia de edad, sexo, situación sentimental y profesión, información sobre el estilo de vida y los intereses de su audiencia destinataria, así como información relativa a las compras y comportamiento de compras en línea de los visitantes de su página, las categorías de productos o servicios que más les interesan, además de datos geográficos que permiten al administrador de la página de fans saber dónde efectuar promociones especiales u organizar eventos y, con carácter más general, dirigir de forma óptima su oferta de información.

38

Si bien es cierto que las estadísticas de audiencia elaboradas por Facebook se transmiten únicamente al administrador de la página de fans de forma anonimizada, no lo es menos que la elaboración de esas estadísticas se basa en la recogida previa, mediante cookies instaladas por Facebook en los ordenadores o cualesquiera otros aparatos de las personas que visitan esas páginas, y en el tratamiento de los datos personales de esos visitantes a los citados efectos estadísticos. En cualquier caso, la Directiva 95/46 no exige, cuando existe una responsabilidad conjunta de varios operadores respecto a un mismo tratamiento, que cada uno de ellos tenga acceso a los datos personales en cuestión.

39

En estas circunstancias, procede considerar que el administrador de una página de fans alojada en Facebook, como Wirtschaftsakademie, participa, mediante su acción de configuración, en función, en particular, de su audiencia destinataria, así como de objetivos de gestión o de promoción de sus actividades, en la determinación de los fines y los medios del tratamiento de los datos personales de los visitantes de su página de fans. De este modo, dicho administrador debe ser calificado en el presente caso de responsable de ese tratamiento en la Unión, en el sentido del artículo 2, letra d), de la Directiva 95/46, conjuntamente con Facebook Ireland.

40

En efecto, el hecho de que un administrador de una página de fans utilice la plataforma ofrecida por Facebook para disfrutar de los servicios asociados a esta no le exime de sus obligaciones en materia de protección de datos personales.

41

Por lo demás, es preciso subrayar que las páginas de fans alojadas en Facebook pueden ser visitadas igualmente por personas que no son usuarias de Facebook y que, por tanto, no disponen de una cuenta de usuario en esa red social. En ese caso, la responsabilidad del administrador de la página de fans respecto del tratamiento de los datos personales de tales personas resulta aún mayor, pues la mera consulta de la página de fans por parte de los visitantes desencadena automáticamente el tratamiento de sus datos personales.

42

En este contexto, el reconocimiento de una responsabilidad conjunta del operador de una red social y del administrador de una página de fans alojada en esa red en relación con el tratamiento de los datos personales de los visitantes de esa página de fans contribuye a garantizar una protección más completa de los derechos de que disponen las personas que visitan una página de fans, conforme a las exigencias de la Directiva 95/46.

43

Dicho esto, procede precisar, tal como señaló el Abogado General en los puntos 75 y 76 de sus conclusiones, que la existencia de una responsabilidad conjunta no se traduce necesariamente en una responsabilidad equivalente de los diversos agentes a los que atañe un tratamiento de datos personales. Por el contrario, esos agentes pueden presentar una implicación en distintas etapas de ese tratamiento y en distintos grados, de modo que el nivel de responsabilidad de cada uno de ellos debe evaluarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto.

44

A la luz de las anteriores consideraciones, procede responder a las cuestiones prejudiciales primera y segunda que el artículo 2, letra d), de la Directiva 95/46 debe interpretarse en el sentido de que el concepto de «responsable del tratamiento», en el sentido de esa disposición, comprende al administrador de una página de fans alojada en una red social.

Sobre las cuestiones prejudiciales tercera y cuarta

45

Mediante sus cuestiones prejudiciales tercera y cuarta, que procede examinar conjuntamente, el órgano jurisdiccional remitente pide, en esencia, que se dilucide si los artículos 4 y 28 de la Directiva 95/46 deben interpretarse en el sentido de que, cuando una empresa establecida fuera de la Unión dispone de varios establecimientos en diversos Estados miembros, la autoridad de control de un Estado miembro está facultada para ejercer los poderes que le confiere el artículo 28, apartado 3, de la mencionada Directiva respecto a un establecimiento situado en el territorio de ese Estado miembro, aun cuando, en virtud del reparto de funciones dentro del grupo, por un lado, este establecimiento únicamente se encarga de la venta de espacios publicitarios y de otras actividades de marketing en el territorio de dicho Estado miembro y, por otro lado, la responsabilidad exclusiva de la recogida y del tratamiento de los datos personales incumbe, para todo el territorio de la Unión, a un establecimiento situado en otro Estado miembro, o si corresponde a la autoridad de control de este último Estado miembro ejercer tales poderes respecto al segundo establecimiento.

46

El ULD y el Gobierno italiano expresan dudas en cuanto a la admisibilidad de estas cuestiones prejudiciales, por entender que no resultan pertinentes para dirimir el litigio principal. A su juicio, en efecto, la resolución impugnada tiene como destinataria a Wirtschaftsakademie y, por tanto, no se refiere ni a Facebook Inc. ni a ninguna de sus filiales establecidas en el territorio de la Unión.

47

A este respecto, debe recordarse que, en el marco de la cooperación entre el Tribunal de Justicia y los órganos jurisdiccionales nacionales establecida en el artículo 267 TFUE, corresponde exclusivamente al juez nacional, que conoce del litigio y que ha de asumir la responsabilidad de la decisión jurisdiccional que debe adoptarse, apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar sentencia, como la pertinencia de las cuestiones que plantea al Tribunal de Justicia. Por consiguiente, cuando las cuestiones planteadas se refieren a la interpretación del Derecho de la Unión, el Tribunal de Justicia está, en principio, obligado a pronunciarse (sentencia de 6 de septiembre de 2016, Petruhhin, C‑182/15, EU:C:2016:630, apartado 19 y jurisprudencia citada).

48

En el presente caso, procede señalar que el órgano jurisdiccional remitente afirma necesitar una respuesta del Tribunal de Justicia a las cuestiones prejudiciales tercera y cuarta para pronunciarse sobre el litigio principal. En efecto, dicho órgano jurisdiccional explica que, en el supuesto de que se estimase, a la luz de tal respuesta, que el ULD podía subsanar las infracciones alegadas del derecho a la protección de los datos personales adoptando una medida contra Facebook Germany, ello podría acreditar la existencia de un error de apreciación en la resolución impugnada, por cuanto su adopción frente a Wirtschaftsakademie habría sido incorrecta.

49

En estas circunstancias, las cuestiones prejudiciales tercera y cuarta son admisibles.

50

Para responder a esas cuestiones prejudiciales, es preciso recordar con carácter preliminar que, conforme al artículo 28, apartados 1 y 3, de la Directiva 95/46, cada autoridad de control ejerce todas las facultades que se le han conferido, en virtud del Derecho nacional, en el territorio de su propio Estado miembro, a fin de garantizar en dicho territorio el respeto de las normas en materia de protección de datos (véase, en este sentido, la sentencia de 1 de octubre de 2015, Weltimmo, C‑230/14, EU:C:2015:639, apartado 51).

51

La cuestión de qué Derecho nacional se aplica al tratamiento de los datos personales se rige por el artículo 4 de la Directiva 95/46. A tenor del apartado 1, letra a), de dicho artículo, los Estados miembros aplicarán las disposiciones nacionales que hayan aprobado para la aplicación de esta Directiva a todo tratamiento de datos personales cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio de ese Estado miembro. Esa disposición precisa que, cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros, deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable.

52

Así pues, se desprende de una lectura conjunta de esta disposición y del artículo 28, apartados 1 y 3, de la Directiva 95/46 que, cuando el Derecho nacional del Estado miembro al que pertenezca la autoridad de control resulte aplicable en virtud del artículo 4, apartado 1, letra a), de la misma Directiva, debido a que el tratamiento en cuestión se efectúa en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio de ese Estado miembro, dicha autoridad de control podrá ejercer todos los poderes que le confiere ese Derecho frente a ese establecimiento, con independencia de si el responsable del tratamiento dispone también de establecimientos en otros Estados miembros.

53

Así, para determinar si una autoridad de control puede legítimamente, en circunstancias como las del litigio principal, ejercer contra un establecimiento situado en el territorio del Estado miembro al que pertenece los poderes que le confiere el Derecho nacional, procede comprobar si se cumplen los dos requisitos establecidos por el artículo 4, apartado 1, letra a), de la Directiva 96/46: por un lado, si se trata de un «establecimiento del responsable del tratamiento», en el sentido de esta disposición, y, por otro, si dicho tratamiento se efectúa «en el marco de las actividades» de dicho establecimiento, en el sentido de la misma disposición.

54

Por lo que respecta, en primer lugar, al requisito de que el responsable del tratamiento de los datos personales disponga de un establecimiento en el territorio del Estado miembro de la autoridad de control de que se trate, es preciso recordar que, según el considerando 19 de la Directiva 95/46, el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable y que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante (sentencia de 1 de octubre de 2015, Weltimmo, C‑230/14, EU:C:2015:639, apartado 28 y jurisprudencia citada).

55

En el presente caso, consta que Facebook Inc., como responsable del tratamiento de datos personales, conjuntamente con Facebook Ireland, dispone de un establecimiento estable en Alemania, a saber, Facebook Germany, situado en Hamburgo, y que esta última sociedad ejerce real y efectivamente actividades en dicho Estado miembro. Por lo tanto, constituye un «establecimiento» en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46.

56

En lo que atañe, en segundo lugar, al requisito según el cual el tratamiento de los datos personales debe efectuarse «en el marco de las actividades» del establecimiento de que se trate, procede recordar, primeramente, que, visto el objetivo perseguido por la Directiva 95/46, consistente en garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, concretamente del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, la expresión «en el marco de las actividades de un establecimiento» no puede ser objeto de interpretación restrictiva (sentencia de 1 de octubre de 2015, Weltimmo, C‑230/14, EU:C:2015:639, apartado 25 y jurisprudencia citada).

57

Seguidamente, es preciso subrayar que el artículo 4, apartado 1, letra a), de la Directiva 95/46 no exige que ese tratamiento sea efectuado «por» el propio establecimiento en cuestión, sino únicamente «en el marco de las actividades» de este (sentencia de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 52).

58

En el presente caso, de la resolución de remisión y de las observaciones escritas presentadas por Facebook Ireland se desprende que Facebook Germany se encarga de la promoción y de la venta de espacios publicitarios y se dedica a actividades destinadas a los residentes en Alemania.

59

Tal como se ha recordado en los apartados 33 y 34 de la presente sentencia, el tratamiento de datos personales de que se trata en el litigio principal, efectuado por Facebook Inc. conjuntamente con Facebook Ireland y consistente en la recogida de tales datos mediante cookies instaladas en los ordenadores o cualquier otro aparato de los visitantes de las páginas de fans alojadas en Facebook, tiene como objetivo, en particular, permitir a esa red social mejorar su sistema de publicidad con el fin de dirigir mejor las comunicaciones que difunde.

60

Pues bien, como indicó el Abogado General en el punto 94 de sus conclusiones, puesto que, por un lado, una red social como Facebook genera una parte sustancial de sus ingresos gracias, especialmente, a la publicidad difundida en las páginas web que los usuarios crean y a las que acceden y, por otro lado, que el establecimiento de Facebook situado en Alemania está destinado, en ese Estado miembro, a la promoción y venta de espacios publicitarios que sirven para rentabilizar los servicios ofrecidos por Facebook, las actividades de dicho establecimiento deben considerarse indisociablemente vinculadas al tratamiento de datos personales controvertido en el litigio principal, del cual Facebook Inc. es responsable conjuntamente con Facebook Ireland. Por tanto, el referido tratamiento debe considerarse efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46 (véase, en este sentido, la sentencia de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317, apartados 5556).

61

De ello se sigue que, puesto que el Derecho alemán es aplicable, en virtud del artículo 4, apartado 1, letra a), de la Directiva 95/46, al tratamiento de los datos personales de que se trata en el litigio principal, la autoridad de control alemana era competente, conforme al artículo 28, apartado 1, de la referida Directiva, para aplicar este Derecho a dicho tratamiento.

62

Por consiguiente, esa autoridad de control era competente, con objeto de garantizar el cumplimiento en el territorio alemán de las normas en materia de protección de datos personales, para poner en práctica, respecto a Facebook Germany, todos los poderes de que dispone en virtud de las disposiciones nacionales de transposición del artículo 28, apartado 3, de la Directiva 95/46.

63

Debe precisarse asimismo que la circunstancia, subrayada por el órgano jurisdiccional remitente en su tercera cuestión prejudicial, de que las estrategias decisorias en cuanto a la recogida y tratamiento de datos personales relativos a residentes en el territorio de la Unión sean adoptadas por una sociedad matriz establecida en un tercer país, como, en el caso de autos, Facebook Inc., no permite cuestionar la competencia de la autoridad de control sujeta al Derecho de un Estado miembro frente a un establecimiento, situado en el territorio de ese mismo Estado, del responsable del tratamiento de dichos datos.

64

En vista de las anteriores consideraciones, procede responder a las cuestiones prejudiciales tercera y cuarta que los artículos 4 y 28 de la Directiva 95/46 deben interpretarse en el sentido de que, cuando una empresa establecida fuera de la Unión dispone de varios establecimientos en diversos Estados miembros, la autoridad de control de un Estado miembro está facultada para ejercer los poderes que le confiere el artículo 28, apartado 3, de la mencionada Directiva respecto a un establecimiento de esa empresa situado en el territorio de ese Estado miembro, aun cuando, en virtud del reparto de funciones dentro del grupo, por un lado, este establecimiento únicamente se encarga de la venta de espacios publicitarios y de otras actividades de marketing en el territorio de dicho Estado miembro y, por otro lado, la responsabilidad exclusiva de la recogida y del tratamiento de los datos personales incumbe, para todo el territorio de la Unión, a un establecimiento situado en otro Estado miembro.

Sobre las cuestiones prejudiciales quinta y sexta

65

Mediante sus cuestiones prejudiciales quinta y sexta, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 4, apartado 1, letra a), y el artículo 28, apartados 3 y 6, de la Directiva 95/46 deben interpretarse en el sentido de que, cuando la autoridad de control de un Estado miembro pretende ejercer frente a una entidad establecida en el territorio de ese Estado miembro los poderes de intervención contemplados en el artículo 28, apartado 3, de la referida Directiva debido a infracciones de las normas relativas a la protección de datos personales cometidas por un tercero responsable del tratamiento de esos datos que tiene su domicilio en otro Estado miembro, dicha autoridad de control es competente para apreciar, de manera autónoma respecto de la autoridad de control de este último Estado miembro, la legalidad del referido tratamiento de datos y puede ejercer sus poderes de intervención frente a la entidad establecida en su territorio sin instar previamente la intervención de la autoridad de control del otro Estado miembro.

66

Para responder a estas cuestiones prejudiciales, procede recordar, tal como resulta de la respuesta ofrecida a las cuestiones prejudiciales primera y segunda, que el artículo 2, letra d), de la Directiva 95/46 debe interpretarse en el sentido de que permite, en circunstancias como las del litigio principal, considerar responsable a una entidad como Wirtschaftsakademie, en su condición de administradora de una página de fans alojada en Facebook, en caso de infracción de las normas relativas a la protección de los datos personales.

67

De ello se sigue que, en virtud del artículo 4, apartado 1, letra a), así como del artículo 28, apartados 1 y 3, de la Directiva 95/46, la autoridad de control del Estado miembro en cuyo territorio esté establecida dicha entidad es competente para aplicar su Derecho nacional y, de este modo, ejercer, contra esa entidad, todos los poderes que le confiere ese Derecho nacional, conforme al artículo 28, apartado 3, de la mencionada Directiva.

68

Tal como prevé el artículo 28, apartado 1, párrafo segundo, de dicha Directiva, las autoridades de control encargadas de vigilar la aplicación, en el territorio de los Estados miembros a los que pertenecen, de las disposiciones adoptadas por estos en aplicación de la referida Directiva han de ejercer las funciones que les son atribuidas con total independencia. Esta exigencia deriva también del Derecho primario de la Unión, en particular del artículo 8, apartado 3, de la Carta de los Derechos Fundamentales de la Unión Europea y del artículo 16 TFUE, apartado 2 (véase, en este sentido, la sentencia de 6 de octubre de 2015, Schrems, C‑362/14, EU:C:2015:650, apartado 40).

69

Además, si bien, en virtud del artículo 28, apartado 6, párrafo segundo, de la Directiva 95/46, las autoridades de control deben cooperar entre sí en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información que estimen útil, esta misma Directiva no prevé ningún criterio de prioridad que rija la intervención de las autoridades de control en sus relaciones mutuas ni establece la obligación de que una autoridad de control de un Estado miembro se atenga a la postura expresada, en su caso, por la autoridad de control de otro Estado miembro.

70

Así, nada obliga a una autoridad de control cuya competencia esté reconocida en virtud de su Derecho nacional a asumir la solución adoptada por otra autoridad de control en una situación análoga.

71

A este respecto, es preciso recordar que, puesto que las autoridades nacionales de control, conforme al artículo 8, apartado 3, de la Carta de los Derechos Fundamentales y al artículo 28 de la Directiva 95/46, están encargadas del control del cumplimiento de las normas de la Unión para la protección de las personas físicas frente al tratamiento de datos personales, toda autoridad nacional de control está investida, por tanto, de la competencia para comprobar si un tratamiento de datos personales en el territorio del Estado miembro de esa autoridad respeta las exigencias establecidas por la Directiva 95/46 (véase, en este sentido, la sentencia de 6 de octubre de 2015, Schrems, C‑362/14, EU:C:2015:650, apartado 47).

72

Dado que el artículo 28 de la Directiva 95/46 se aplica por su propia naturaleza a todo tratamiento de datos personales, incluso aunque exista una resolución de una autoridad de control de otro Estado miembro, una autoridad de control a la que una persona haya presentado una solicitud de protección de sus derechos y libertades frente al tratamiento de datos personales que le conciernen debe poder apreciar con toda independencia si el tratamiento de esos datos cumple las exigencias establecidas por la referida Directiva (véase, en este sentido, la sentencia de 6 de octubre de 2015, Schrems, C‑362/14, EU:C:2015:650, apartado 57).

73

De ello se sigue que, en el presente caso, en virtud del sistema establecido por la Directiva 95/46, el ULD estaba facultado para apreciar, de manera autónoma respecto de las evaluaciones efectuadas por la autoridad de control irlandesa, la legalidad del tratamiento de datos controvertido en el litigio principal.

74

Por consiguiente, procede responder a las cuestiones prejudiciales quinta y sexta que el artículo 4, apartado 1, letra a), y el artículo 28, apartados 3 y 6, de la Directiva 95/46 deben interpretarse en el sentido de que, cuando la autoridad de control de un Estado miembro pretende ejercer frente a una entidad establecida en el territorio de ese Estado miembro los poderes de intervención contemplados en el artículo 28, apartado 3, de la referida Directiva debido a infracciones de las normas relativas a la protección de datos personales cometidas por un tercero responsable del tratamiento de esos datos que tiene su domicilio en otro Estado miembro, dicha autoridad de control es competente para apreciar, de manera autónoma respecto de la autoridad de control de este último Estado miembro, la legalidad del referido tratamiento de datos y puede ejercer sus poderes de intervención frente a la entidad establecida en su territorio sin instar previamente la intervención de la autoridad de control del otro Estado miembro.

Costas

75

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

 

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:

 

1)

El artículo 2, letra d), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que el concepto de «responsable del tratamiento», en el sentido de esa disposición, comprende al administrador de una página de fans alojada en una red social.

 

2)

Los artículos 4 y 28 de la Directiva 95/46 deben interpretarse en el sentido de que, cuando una empresa establecida fuera de la Unión dispone de varios establecimientos en diversos Estados miembros, la autoridad de control de un Estado miembro está facultada para ejercer los poderes que le confiere el artículo 28, apartado 3, de la mencionada Directiva respecto a un establecimiento de esa empresa situado en el territorio de ese Estado miembro, aun cuando, en virtud del reparto de funciones dentro del grupo, por un lado, este establecimiento únicamente se encarga de la venta de espacios publicitarios y de otras actividades de marketing en el territorio de dicho Estado miembro y, por otro lado, la responsabilidad exclusiva de la recogida y del tratamiento de los datos personales incumbe, para todo el territorio de la Unión, a un establecimiento situado en otro Estado miembro.

 

3)

El artículo 4, apartado 1, letra a), y el artículo 28, apartados 3 y 6, de la Directiva 95/46 deben interpretarse en el sentido de que, cuando la autoridad de control de un Estado miembro pretende ejercer frente a una entidad establecida en el territorio de ese Estado miembro los poderes de intervención contemplados en el artículo 28, apartado 3, de la referida Directiva debido a infracciones de las normas relativas a la protección de datos personales cometidas por un tercero responsable del tratamiento de esos datos que tiene su domicilio en otro Estado miembro, dicha autoridad de control es competente para apreciar, de manera autónoma respecto de la autoridad de control de este último Estado miembro, la legalidad del referido tratamiento de datos y puede ejercer sus poderes de intervención frente a la entidad establecida en su territorio sin instar previamente la intervención de la autoridad de control del otro Estado miembro.

 

Firmas


( *1 ) Lengua de procedimiento: alemán.