La Sala de lo Contencioso-administrativo del Tribunal Supremo (STS 121/2019, de 5 de febrero, Rec. 627/2018) ha establecido que la Agencia Española de Protección de Datos (AEPD) es competente para sancionar a una sociedad domiciliada en otro país de la Unión Europea pero que opere de forma regular en España. De esta manera establece doctrina en relación con el alcance del concepto de establecimiento contenido en la LOPD en los supuestos en que la sede principal de una entidad está ubicada en el territorio de otro Estado miembro de la UE, pero realiza actividades en otros Estados miembros.
Una sociedad domiciliada en Luxemburgo dirigía, de forma regular, actividades y operaciones a través de medios instrumentales radicados en España, pues disponía de un apartado de correos y era titular de una cuenta corriente en España. Así, adoptaba decisiones relativas a los fines y medios del tratamiento de datos, siendo la responsable de impartir las órdenes para que se incluyeran datos personales en ficheros de solvencia. Este tratamiento de datos se articulaba en virtud de un contrato de compraventa de una cartera de créditos celebrado en España, siendo gestionados los cobros por una entidad domiciliada en España, que se encargaba de las reclamaciones e incidencias en relación con las obligaciones de pago que resultaban incumplidas.
La Agencia Española de Protección de Datos impuso una sanción a la entidad luxemburguesa, y posteriormente la Audiencia Nacional estimó que la Agencia carecía de competencia para imponer tal sanción, al estar la empresa sancionada domiciliada en un tercer Estado miembro de la Unión Europea.
Cuando la sede principal de una entidad está ubicada en el territorio de otro Estado miembro de la Unión Europea, pero realiza actividades en otros Estados miembros, el concepto de establecimiento al que se refiere la Ley Orgánica de Protección de Datos de Carácter Personal debe interpretarse de forma flexible y antiformalista, esto es, quedan comprendidos dentro del concepto de establecimiento, a los efectos del tratamiento de datos personales, todas las actuaciones desarrolladas en un Estado miembro de la Unión Europea (distinto a donde tiene la sede o administración principal) a través de la utilización de medios instrumentales que se revelen idóneos y eficaces en el tratamiento de datos personales.
Conforme a esta premisa, el Tribunal Supremo declara que la Agencia Española de Protección de Datos sí tiene competencia para controlar las actividades de una sociedad que opera en España a través de un apoderado, con domicilio en Madrid, y que dispone de dos personas de contacto encargadas de realizar las gestiones de comunicación e información con los afectados a través de medios telemáticos.
Sólo de esta forma se supera la rigidez y el formalismo, al no ser equivalente el concepto de establecimiento al de la sede social donde esté registrada la sociedad responsable del tratamiento de datos.
Además, esta extensión del concepto de establecimiento sirve para garantizar una protección eficaz y plena del derecho fundamental a la intimidad en lo que respecta al tratamiento de datos personales, porque sólo del hecho de que la entidad no está establecida en España no se puede extraer que no le resulte aplicable la cláusula de sujeción al Derecho español de protección de datos de carácter personal, sino que se deben valorar las concretas circunstancias en que desarrolla la actividad de tratamiento de datos en territorio español.