No es habitual que, desde Alicante, me toque analizar el caso de una empresa con filiales en Países del Unión Europea que se pregunta qué legislación en materia de Protección de Datos hay que aplicar: ¿la de la central en España? ¿La de cada País donde la empresa tiene filiales? ¿Ambas?

Estos análisis son los que amenizan la profesión y te hacen salir un poco del terreno en el cual te sientes cómodo y te obliga a adoptar soluciones nuevas para tus clientes. Así que, para dar respuestas a estas preguntas, he intentado hacer algo de luz a través de la Opinión 8/2010 del Grupo del Artículo 29, del pasado diciembre de 2010.

La situación analizada es, más o menos, la siguiente: La EMPRESA A, que tiene su sede principal en España y que cumple religiosamente la LOPD, realiza sus actividades comerciales en distintos Países de la Unión Europea, implicando estas actividades, en algunos casos, el tratamiento de datos de carácter personal. El problema empieza a surgir cuando la EMPRESA A abre su filial en Francia, con su sede física, sus impuestos, ordenadores, empleados y demás estructuras para llevar a cabo su actividad.

Para estos casos de actividades mercantiles transfronterizas dentro de la Unión Europea, la determinación de la aplicación de la legislación en materia de protección de datos competente gira alrededor de la interpretación de art. 4.1.a de la Directiva 95/46/CE, que se reproduce a continuación:

«Artículo 4, Derecho nacional aplicable

1.Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a)el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable».

Los conceptos aquí subrayados son los de “marco de actividades” y “un establecimiento”. Es curioso como la mencionada Opinión, primero establece el criterio de la localización del establecimiento para decidir que legislación aplicar, para después matizar este principio. Vayamos por partes.

El primer criterio para establecer la legislación aplicable es el de la localización del establecimiento comercial. De manera que, en un primer momento, parece que la EMPRESA A deberá aplicar la LOPD para su sede española. Pero ¿qué hacemos con la filial gala?

En este caso la EMPRESA A deberá adoptar la legislación en materia de protección de datos del País en el que la filial realiza su actividad, siempre y cuando ésta implique el tratamiento de datos personales. Parecería que también para la filial francesa se aplicará el criterio de localización. Sin embargo, habrá que atender a la importante excepción que se describe a continuación.

Si la actividad realizada en Francia es realizada en el contexto de las actividades propias de la EMPRESA A, entonces sólo se deberá aplicar la LOPD española. Es decir, si la filial no tiene autonomía sobre la decisión del tratamiento de los datos personales (elección de la finalidad, recogida, tratamiento, seguridad, eventuales cesiones, etc.), sólo deberán aplicarse las medidas (ya puestas en marcha) en la sede española. No tengo muy claro la expresión del «contexto de las actividades», pero lo dejaré para otro momento. De hecho, el mismo Grupo del Artículo 29 pide que, en las futuras modificaciones de la Directiva en cuestión, se defina un poco más claramente qué grado de implicación tiene que tener la filial con respecto al tratamiento de datos realizados por la «empresa madre», en suma, que aclare qué diablos significa «contexto de actividades«.

De momento, nos quedamos con la idea que el elemento decisorio para cualificar a un establecimiento en la óptica de la Directiva mencionada es el efectivo y real ejercicio de las actividades en el contexto en el cual los datos personales son tratados.

También nos quedamos con la idea clara de excluir, como elementos determinantes para la aplicación de la legislación en materia de protección de datos, el hecho que la filial tenga o no personalidad jurídica propia. Esto también implica, a contrario, que hay que tener en cuenta que la mera presencia de un agente (sin ni siquiera estructura organizativa y/o jurídica detrás) presente en un País de la Unión Europea puede implicar la aplicación de la legislación en materia de protección de datos del Estado donde se encuentre el agente. Todo dependerá de la autonomía y del dichoso contexto de las actividades.

A estas alturas, por lo tanto, conforme avanza la interpretación de la Opinión 8/2010, el elemento de la “localización” pierde importancia a favor del desarrollo efectivo de las actividades y su contexto (de verdad espero algún día alcanzar el nirvana y saber exactamente qué es esto).

En este sentido, si las actividades de la filial francesa de la EMPREA A es sólo de tratamiento de datos personales de clientes y/o proveedores por cuenta de la sede principal española, no implicará la aplicación de la legislación francesa en materia de protección de datos. Y, aún así, tampoco creo que esto sea completamente correcto, pero, de momento, lo dejamos en suspenso.

Esta conclusión debe ser matizada para el tratamiento de otros datos personales como son los realizados por el Departamento de Recursos Humanos de las empresas. En la Opinión 8/2010 se hace expresa referencia a los datos de los empleados de la filial que, independientemente de la legislación laboral competente, afirma que:

«Si los datos de los empleados de la sucursal/filial (es indiferente la naturaleza jurídica de la sede) son transferidos a una base de datos centralizada en España, deberán aplicarse, para el mismo fichero, las dos distintas legislaciones en materia de protección de datos.»

La conclusión sobre este asunto es que, en virtud de lo expresado por la Opinión 8/2010 del Grupo del Artículo 29, por lo menos en el caso del fichero del Departamento de Recursos Humanos, habrá que seguir la legislación en materia de protección de datos tanto del País donde reside la central, como la de cada País (de la Unión Europea) donde se tengan filiales. Para el resto de ficheros, bueno, como se ha dicho, dependerá del ya sobado «contexto de las actividades».