El TJUE. Derecho al Olvido. Conclusión

De ayer para hoy seguimos con el Derecho al Olvido, charlando acerca de la Sentencia que el TJUE dictó a instancia de las cuestiones prejudiciales planteadas por la Audiencia Nacional, luego de una sanción impuesta por la AEPD a Google.

Habíamos hablado de la Segunda Cuestión Prejudicial planteada por la  Audiencia Nacional, que el TJUE examinó en primer lugar. Pasamos pues a la Primera Cuestión Prejudicial planteada, y otros extremos:

Territorialidad

 

Ámbito Territorial Unión Europea
Paises que conforman la unión Europea

 

Mediante esta Cuestión, la Audiencia Nacional pretende que se le aclare si es aplicable la legislación española sobre protección de datos (ley Orgánica 15/1999 y su Reglamento del 2007),  que ha traspuesto la Directiva 95/46/CE. Para ello el Tribunal considera acreditado que Google Search se presta a nivel mundial a través del sitio web “Google.com”. Que existen en diversos países versiones locales. La versión española es “Google.es”, dominio registrado en España y motor de búsqueda de los más utilizados. Que “Google Inc” -empresa matriz del Grupo” tiene su domicilio en Estados Unidos y gestiona “Google Search”. Que ésta indexa páginas web de todo el mundo, incluyendo las páginas web ubicadas en España. La información ideada por sus “arañas”, o robots de indexación -programas informáticos utilizados para rastrear y realizar un barrido de contenidos de paginas web de manera metódica y automatizada, se almacenan temporalmente en servidores cuyo Estado de ubicación se desconoce por razones de competitividad. Que Google Search no solo facilita el acceso a contenidos alojados en páginas web indexadas, sino que, además, aprovecha esta actividad para incluir publicidad asociada a los patrones de búsqueda introducidos por los internautas, contratada, a cambio de un precio, por las empresas que desean utilizar esta herramienta para ofrecer sus bienes o servicios a éstos.

Que el grupo Google utiliza una empresa filial en España, Google Spain, como agente promotor de ventas de espacios publicitarios, que se genera en el sitio “Google.com”. Google Spain tiene personalidad jurídica propia y domicilio en Madrid. Dirige su actividad, fundamentalmente a empresas radicadas en España, actuando como agente comercial del citado grupo. Su objeto es promocionar, facilitar y procurar la venta de productos y servicios de publicidad “on line” a través de Internet para terceros, así como la comercialización de la publicidad. En ocasiones Google Inc, designó a Google Spain responsable del tratamiento de de ficheros inscritos por Google Inc ante la Agencia Española de Protección de Datos, relacionados con clientes de servicios publicitarios que en su día contrataron con Google Inc.

Partiendo de tales datos, el TJUE desgrana varios artículos de la de la Directiva 95/46/CE:

4.-Derecho nacional aplicable

1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

Para dar respuesta  a lo solicitado por el Tribunal de España en el sentido de sí se cumple la disposición transcrita, en el supuesto de que: -la empresa proveedora del motor de búsqueda crea en un Estado miembro una oficina o filial destinada a la promoción y venta de los espacios publicitados por el motor de búsqueda, que dirige su actividad a los habitantes de ese Estado,  que-la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con contratación de publicidad,  que-cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la unión, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades en lo que a protección de datos personales se refiere.

Dice el Tribunal Español que Google Inc gestiona técnica y administrativamente Google Search y que no está probado que Google Spain realice en España una actividad directamente vinculada a la indexación o al almacenamiento de información o de datos contenidos en los sitios de Internet de terceros. No obstante ello, la actividad de promoción y venta de espacios publicitarios de la que Google Spain es responsable para España, constituye la parte esencial de la actividad comercial del grupo Google y puede considerarse que está estrechamente vinculada a Google Search. El Sr. Pepe, la AEPD y otros Países miembros entienden que habida cuenta de vínculo indisociable  entre la actividad del motor de búsqueda gestionado por G.Inc y la de G. Spain, ésta debe considerase un establecimiento de aquella, en el marco de cuyas actividades se lleva a cabo el tratamiento de datos personales. Las Google y otros Gobiernos de la Unión, sin embargo,  dicen que el artículo 4.1.a) no se aplicará en el primero de los supuestos, -cuando la empresa proveedora del motor de búsqueda crea en un Estado miembro una oficina o filial destinada a la promoción y venta de espacios publicitarios-, pues el tratamiento de datos lo lleva en exclusiva Google Inc, que gestiona G. Search, sin ninguna intervención de Google Spain, cuya actividad se limita a prestar apoyo a la actividad publicitaria del grupo Google, que es distinta al servicio de su motor de búsqueda.

El Tribunal recuerda que la Directiva señala que “el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable”, independientemente de la forma jurídica de dicho establecimiento, que sea o no una simple sucursal o filial con personalidad jurídica propia. Siendo, además necesario para cumplimentar dicha disposición, que el tratamiento de datos personales, por parte del responsable del tratamiento se “lleve a cabo en el marco de las actividades” de un establecimiento de dicho responsable situado en territorio de un Estado miembro.

No debe perderse de vista el objetivo de la Directiva de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, en concreto el derecho a la Intimidad, en lo que respecta al tratamiento de los datos personales, no debiendo ser objeto de interpretación restrictiva ésta expresión. Sigue indicando el Tribunal, que de los Considerandos 18 a 20 del artículo 4 de la Directiva, se desprende que el legislador de la Unión  pretendió evitar que una persona se viera excluida de la protección garantizada por ella y que se eludiera esta protección, estableciendo un ámbito de aplicación territorial particularmente extenso .Teniendo, pues, en cuenta el objetivo de la Directiva, y del tenor literal de su artículo 4.1.a), procede considerar que el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa “en el marco de las actividades” de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilidad el servicio propuesto por el motor.

En tales circunstancias, las actividades del gestor de motor de búsqueda y de su establecimiento situado en el Estado miembro están indisociablemente ligadas, pues las actividades relativas a espacios publicitarios constituyen el medio para que el  motor de búsqueda en cuestión sea económicamente rentable y, dado que este motor, es al mismo tiempo, el medio que permite realizar las mencionadas actividades. Sobre tal particular, conviene recordar como se ha precisado a lo largo de la Sentencia, que la propia presentación de datos personales en una página de resultado de una búsqueda constituye un tratamiento de tales datos; toda vez que la presentación de publicidad vinculada a los términos de búsqueda acompaña a los resultados de búsqueda, el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio Español.

Dicho cuanto antecede, no se puede aceptar, señala el Tribunal, que el tratamiento  de datos personales llevado a cabo para el funcionamiento del mencionado motor de búsqueda se sustraiga a las obligaciones y a las garantía previstas por la Directiva 95/46/CE, lo que menoscabaría su efecto útil y la protección eficaz y completa respecto de la defensa del derecho fundamental a una vida privada en el tratamiento de datos personales, al que dicha Directiva concede una relevancia especial, como ya vienen confirmando Sentencias anteriores.

Un establecimiento, pues, como Google Spain cumple el criterio recogido en el artículo 4 apartado 1 letra a), no procediendo, en consecuencia examinar ya los siguientes apartados..

De ahí que podamos Concluir que se puede responder a la Territorialidad (primera cuestión prejudicial planteada respecto del artículo) 4.1.a que debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o filial destinada a garantizar la promoción y venta de espacios publicitarios propuestos por el mencionado motor de búsqueda y cuya actividad se dirige a los habitantes de este estado miembro.

Bloqueo

 

Bloqueo páginas web
Bloqueo páginas web

Trata también el Tribunal una interesantísima cuestión al examinar el Derecho de Acceso establecido en el artículo 12 de la Directiva:

Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento:

b) en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos

y

Los Estados miembros reconocerán al interesado el derecho a:

a) Oponerse, al menos en los casos contemplados en las letras e) y f) del artículo 7, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. En caso de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos. Artículo 14. Derecho De Oposición Del Interesado.

Por ello dilucida el Tribunal si para respetar los derechos que se establecen en las disposiciones transcritas, el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona  con vínculos a la página web. Las Google consideran que ello atenta al principio de proporcionalidad y cualquier solicitud que tenga por objeto que se elimine información ha de dirigirse al editor de la página web, ya que es éste el que asume la responsabilidad de publicar la información. Y además, continúan, imponer esto al gestor de un motor de búsqueda, que retire de sus índices información publicada en Internet, no tiene suficientemente en cuenta los derechos fundamentales de los editores del sitio de Internet, del resto de los internautas y del propio gestor.

De ello discrepa la AEPD , el Sr. Pepe, la Comisiónn y otros países.

En este sentido, sigue recordando el Tribunal, el objetivo de la Directiva, garantizar un nivel elevado de protección de derechos fundamentales en el ámbito de la vida privada y en relación con el tratamiento de datos personales. Y los citados artículos (12 y 14) disponen, entre otros, que los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento, en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la Directiva. Amén de las excepciones contenidas en la Directiva, todo tratamiento de datos personales debe ser conforme a los principios de calidad de los datos y a la legitimación del tratamiento. Incumbe, pues, al responsable del tratamiento garantizar que los datos personales sean “tratados de manera leal y lícita” que sean “recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines”, que sean “adecuados”, “pertinentes” y “no excesivos” con relación a los fines para los que se recaban. En este marco, dice el Tribunal, el responsable debe adoptar todas las medidas razonables para que los datos que no responden a los requisitos de esta disposición sean suprimidos o rectificados.

Asimismo, los Estados miembros reconocerán al interesado el derecho a oponerse, en las condiciones establecidas, en cualquier momento por razones legítimas de su situación particular a que los datos que le conciernan sean objeto de tratamiento, salvo que la legislación nacional disponga otra cosa.

El interesado puede dirigir las solicitudes directamente al responsable del tratamiento, que debe examinar debidamente su fundamento y, en su caso, poner fin al tratamiento de los datos controvertidos. Si no se accede a ello el interesado puede acudir a la Autoridad de Control o a los Tribunales para que éstos lleven a cabo las comprobaciones necesarias y ordenen a dicho gestor las medidas precisas en consecuencia.

Para, concluir,  que un tratamiento de datos personales como el controvertido en este litigio, efectuado por el gestor de un motor de búsqueda, puede afectar significativamente a los derechos fundamentales de respeto a la vida privada y de protección de datos personales, cuando la búsqueda realizada sirviéndose de ese motor de búsqueda se lleva a cabo a partir del nombre de una persona física, pues dicho tratamiento permite a cualquiera obtener mediante la lista de resultados una visión estructurada de la información relativa a la vida de esa persona que puede hallarse en internet, que afecta potencialmente a una multitud de aspectos de su vida privada, que, sin dicho motor, no se habrían interconectado o solo podrían haberlo sido muy difícilmente y que le permite de este modo establecer un perfil más o menos detallado de la persona de que se trate. La injerencia en dichos derechos del interesado se multiplica debido al importante papel que desempeñan internet y los motores de búsqueda en la sociedad moderna, que confieren a la información contenida en tal lista de resultados un carácter ubicuo.

En vista de la gravedad de esta injerencia, es obligatorio declarar que el mero interés económico del gestor de tal motor en este tratamiento no la justifica. No obstante, en la medida en que la supresión de vínculos de la lista de resultados podría, en función de la información, tener repercusiones en el interés legítimo de los internautas potencialmente interesados en tener acceso a la información en cuestión, es preciso buscar,  en situaciones como la presente un justo equilibrio entre este interés y los derechos de la persona afectada, pudiendo depender en supuestos específicos de la naturaleza de la información de que se trate y del carácter sensible para la vida privada de la persona afectada y del interés público en disponer de esta información,que puede variar, en función del papel que esa persona desempeñe en la vida pública.

Conclusión

1.-La actividad de un motor de búsqueda que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y ponerla a disposición de los internautas, según un orden de preferencia determinada ha de calificarse de tratamiento de datos personales y el gestor de un motor de búsqueda debe considerase responsable de dicho tratamiento.

2.-Se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro.

3.-Cumplidos los requisitos establecidos, para respetar los derechos a que estamos aludiendo, el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a la página web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí mixm lícita.

4.-Hay que examinar, en particular, si el interesado tiene derecho a que la información relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados obtenidos tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en la lista de resultados cause un perjuicio al interesado. Ya que éste puede solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en la lista de resultados, estos derechos prevalecen, en principio, no solo  sobre el interés económico del gestor de motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Excepto, como ya se dijo, si la persona desempeña en la vida pública un papel relevante, ya que la injerencia en sus derechos fundamentales está justificada por el interés preponderante del público en tener acceso a la información de que se trate.

Y así es Como El Tribunal de la unión Europea resolvió el denominado Derecho al Olvido, en favor del derecho a la Intimidad que tienen las personas, frente a postulados básicamente económicos esgrimidos por las partes recurrentes de la AEPD para evadir la normativa sobre protección de datos personales. Tema del que han hablado importantes y destacados Juristas!

mariagude

Anuncios

El TJUE habló del Derecho al Olvido (I)

Sí, fue hace dos años, en Mayo del 2014, el 13, que el TJUE se pronunció sobre el Derecho al Olvido. El mismo día en que la Virgen Portuguesa  habló a Fátima en Coba da Iría. El día en que cumple años  mi hermano.

Algunos conceptos previos determinantes

Antes indicar, que la Directiva 95/46/CE de Protección de Datos de carácter personal tiene por objeto la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la Intimidad, en lo que respecta al tratamiento de los datos personales y la eliminación de los obstáculos a la libre circulación de esos datos.

Datos personales.-Toda información sobre una persona física identificada o identificable, directa o indirectamente por uno o varios elementos específicos característicos de su indemnidad física, fisiológica, psíquica, económica, cultural o social.

Tratamiento de datos personales.- Cualquier operación o conjunto de operaciones efectuadas o no mediante procedimientos automatizados, y aplicados a datos personales, como recogida, registro, organización, conservación, elaboración, modificación, extracción, consulta, utilización, comunicación por transmisión difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo, interconexión, así como su bloqueo, supresión o destrucción.

Responsable del Tratamiento.- Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o junto con otros determine los fines y los medios del tratamiento de datos personales.

Fichero.- Conjunto organizado de datos de carácter personal, que permite el acceso a los datos con arreglo a criterios determinados cualquiera que fuere su forma o modalidad de su creación, almacenamiento, organización o acceso.

Establecimiento.- implica el ejercicio efectivo y real de una actividad mediante una instalación estable; siendo indiferente la forma jurídica, ya  sea una simple sucursal o una empresa filial con personalidad jurídica.

Para el asunto que nos ocupa conviene, asimismo, señalar que los Principios que han de presidir el tratamiento de los datos personales, se concretan, primordialmente en que sean  Leales y LícitosHan de ser recogidos con fines determinados y explícitos. Serán adecuados, pertinentes y no excesivos; exactos y actualizados, que permitan la identificación de los interesados durante un período no superior al necesario respecto de los fines para los que fueron recogidos. Corresponde al Responsable del Tratamiento garantizar tales principios.

Recordamos…. Que el Sr. Pepe había solicitado de la AEPD que requiriese a La Vanguardia y a Google para que retirasen información que aparecía la “pinchar su nombre”, información de tiempos pretéritos. La AEPD desestima frente a la Vanguardia y requiere a Google para que retire determinada información que aparece al “pinchar” el nombre del Sr. Pepe, acudiendo google a la Audiencia Nacional, quien recaba del TJUE que dictamine acerca de determinadas cuestiones prejudiciales para poder así dictar Sentencia con arreglo a la Directiva 95/46/CE de Protección de Datos personales.

Colisionan varios derechos en el ámbito de los hechos acaecidos. Por una parte  los Derechos que todo individuo tiene para ser protegido en el ámbito de su Intimidad, cómo llevar a cabo esos derechos cuando se trata, como en el presente caso, de cuestiones novísimas, como pueden ser las arañas,  robots que utilizan los motores de búsqueda y su funcionamiento y ubicación. Cómo ha de aplicarse a una empresa como Google, que se ramifica en muchas empresas y que su sede principal está en California bajo Legislación de los Estados Unidos, que no tiene por qué coincidir, ni mucho menos, con el Derecho de la Unión Europea, que protege la Intimidad. Cuál se aplica?  Qué es un establecimiento?, quién toma decisiones y dónde?, en cuanto a qué hacer con los datos que se indexan?. Ha habido muchos defensores del derecho a la Intimidad, como los ha habido del Derecho que todos los internautas tienen a acceder a Información, y que imponiendo criterios restrictivos a Google se impediría que las nuevas tecnologías avanzasen, que en definitiva, podría ser mucho peor el remedio que la enfermedad y que la colisión del Derecho a la Intimidad con el Derecho Información, debería ponderarse en favor de éste.

Todas estas cuestiones han sido tratadas por el Tribunal, aplicando la Directiva 95/46/CE

TJUE
Tribunal Justicia Unión Europea

Argumentos del Tribunal

Alterando el orden de formulación de la Cuestiones prejudiciales propuestas por la Audiencia Nacional, El TJUE, da comienzo por la Segunda Cuestión Prejudicial y procede al examen de la actividad de los buscadores, para ello examina en primer lugar, qué es un motor de búsqueda?  – proveedor de contenidos, cuya actividad consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, ponerla a disposición de los internautas, según un orden de preferencia determinado-. Si la actividad de estos puede calificarse de “tratamiento de datos personales“? . Si ello fuera así, ha de interpretarse que el gestor de un motor de búsqueda ha de considerarse responsable de tratamiento de datos personales?, todo ello de acuerdo con la Directiva citada.

Motores de búsqueda
Motores de búsqueda.

Sabemos que el Sr. Pepe, la AEPD y otros países, entienden que efectivamente que la actividad de los motores de búsqueda implican claramente “tratamiento de datos” en el sentido que establece la Directiva, y su gestor es el responsable ; sin embargo Google Spain, Google Inc. y otros países, consideran que la actividad de los motores de búsqueda no puede considerarse que impliquen  tratamiento de datos, y, además, el gestor de un motor de búsqueda no puede considerarse responsable de ese “tratamiento”.

De acuerdo con el concepto que da la Directiva del “tratamiento de Datos Personales”, transcrita en párrafos precedentes, señala el Tribunal: Que en lo que a Internet se refiere, ya se ha pronunciado este Tribunal y que la conducta que consiste en hacer referencia en una página web a datos personales, ha de considerarse un “tratamiento de datos” de ésta índole (artículo 2.b de la Directiva). Por tanto, al explorar Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el gestor de un motor de búsqueda, “recoge” tales datos que “extrae”, “registra” y “organiza” posteriormente en el marco de sus programas de indexación, “conserva” en sus servidores y, en su caso, “comunica” y “facilita” el acceso a sus usuarios en forma de listas de resultados de sus búsquedas. Por lo que ha de calificarse de “tratamiento de datos” recogidos expresamente en la Directiva, sin que sea relevante que el gestor del motor de búsqueda también realice las mismas operaciones con otros tipos de información de carácter no personal. Tampoco obsta que tales datos hayan sido ya tratados o publicados en Internet.

En cuanto a que si el gestor del motor de búsqueda debe considerarse o no “responsable del tratamiento” de los datos personales tratados por dicho motor de búsqueda, recuerda el Tribunal que la Directiva define al responsable como la persona física o jurídica, autoridad….que solo o conjuntamente con otros determine fines y medios del tratamiento de datos personales. Debe considerarse responsable, pues es preciso señalar que sería contrario al objetivo que persigue la Directiva -garantizar una protección eficaz y completa a los interesados-,  si no se avalase  una definición amplia de “responsable”, incluyendo, por tanto en dicho concepto al gestor de un motor de búsqueda. La actividad de los motores de búsqueda, continúa el Tribunal,  desempaña un papel decisivo en la difusión global de dichos datos. La organización y agregación de la información publicada en Internet, efectuada por los motores de búsqueda  para facilitar el acceso a usuarios se lleva a cabo a partir del nombre de la persona física, permitiendo establecer un perfil mas o menos detallado del interesado..

 

Search
Las arañas o motores de búsqueda

Por ello, en la medida en que la actividad de un motor de búsqueda puede afectar significativamente a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, el gestor de este motor, como persona que determina fines y medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, competencias y posibilidades, que se lleve a cabo una protección eficaz y completa de los interesados, en particular de su derecho al respeto a la vida privada. El hecho de que los editores no indiquen a los gestores de motores de búsqueda protocolos tipo “no índex” “robot.txt” o  “noarchive” que señalan  una exclusión total o parcial de dicha información, no libera al gestor de motor de búsqueda de su responsabilidad por el tratamiento de datos personales que lleva a cabo en el marco de la actividad de dicho motor.

De todo lo dicho, la conclusión es que la Segunda Cuestión Prejudicial letras b) y d) del artículo 2 de la Directiva analizada, ha de interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas, según un orden de preferencia determinado, debe calificarse de “tratamiento de datos personales” en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales y, por otro lado el gestor de un motor de búsqueda debe considerarse “responsable” de dicho tratamiento en el sentido del mencionado artículo letra d).

Para adentrarnos en lo que era la Primera Cuestión Prejudicial, pasaremos a otro post, hay cosas que conviene digerirlas despacio, máxime cuando de sopas de letra se trata.

mariagude

 

Derecho al Olvido. Qué dijo Google?

Habíamos dicho en un post anterior que el Sr Pepe reclamó ante la Agencia Española de Protección de Datos para que la Vanguardia, y Google respetaran los derechos en que le ampara la legislación sobre protección de datos –Derecho al Olvido-. La AEPD decide estimar la reclamación frente a Google Spain y frente a Google Inc y al recurrir ante la Audiencia Nacional se defienden del utilizando los argumentos que pasamos a expresar:

Google Spain s.l.

Google Spain
Fotografía seña de Google Spain s.l.

Señala ante la Audiencia Nacional Google Spain S.L., que la Agencia Española de Protección de Datos no puede sancionar a Google por no estar esta sociedad dentro del ámbito territorial de la competencia de la Agencia ni tampoco cela Audiencia y, además porque el contenido es imposible.

La actividad que se enjuicia no se desarrolla en España y no existe elemento de conexión que permita aplicar la L.O.P.D 15/1999 al presente supuesto. Tampoco es aplicable el artículo 4.1.a de la Directiva 95/46/CE de protección de datos personales.

Google Spain aunque es un establecimiento ubicado en España, el tratamiento de datos del caso que nos ocupa, el Sr. Pepe, no tiene lugar en España, no está pues, encuadrado en el “marco de actividades de un establecimiento instalado en territorio español. Google Spain, no tiene intervención alguna en el funcionamiento del buscador, su actividad se ciñe a l a promoción de actividades publicitarias de Google Inc., siendo Google Spain totalmente ajena a la actividad del buscador que se desarrolla fuera de España.

La mera existencia de una filial con actividad económica en España, no es suficiente dado que precisa estar directamente vinculada con el tratamiento de datos.

Señala, por otro lado, que tampoco es aplicable el artículo 3.1.c del Reglamento Español de protección de datos -dicho artículo alude al responsable del tratamiento de datos que no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos,  medios situados en territorio español, salvo que solo sea con fines de tránsito-. Se argumenta así que Google Spain es una entidad cuyo domicilio y centro de actividad está en España, habiéndose dirigido a ella la AEPD en todo momento como responsable del tratamiento de datos. Incurre, además, la Agencia en contradicción, pues al incorporarse el citado precepto del Reglamento español de P.D y alegar que Google Inc se sirve de medios en España para el desarrollo de su actividad, la Agencia está atribuyendo a Google Inc la condición de responsable del tratamiento.

Las “arañas web”, “crawlers” o “robots” no entran ni acceden, ni menos aún, se instalan en el servidor de las páginas web, sino que se limitan a gestionar los equipos del buscador en que están instalados para lograr la conexión con las webs. Las “arañas web” no penetran en el espacio jurídico español, sino que simplemente envían comunicaciones a los sitios web, y en respuesta a ellos las webs envían a los buscadores copias de los contenidos que alojan.

En definitiva, dice Google Spain, e´sta sociedad es un simple agente de Google Inc, que solo se dedica a la promoción de la actividad publicitaria de Google, no teniendo intervención laguna en el funcionamiento del buscador ni en el tratamiento de datos y ni siquiera dispone de medios técnicos que para ello harían falta..

Los servidores que alojan las páginas web no pertenecen a Google, que pertenecen a la responsable de la web de que se trate, o la la empresa que haya contratado para el alojamiento de sus contenidos. Es Google Inc con domicilio en California (U.S.A) la titular del servicio del buscador de Google en Internet (google Search), tanto desde el sitios w.w.w.google.es, como desde w.w.w.google.com y también explota el espacio publicitario que se genera en esas páginas web.

Se extralimita pues la Agencia EPD en sus competencias, vulnerando el derecho internacional, pues Google Spain no ha tenido participación alguna en la adopción de la política de prestación de los servicios del buscador, ni ha participado en su ejecución, no desarrolla ningún tratamiento de datos, sino que se limita a ser un agente comercial.

Se vulneran además, señala Google Spain, artículos del I convenio Europeo de Derechos del Hombre de 1950. La libertad de expresión protegida por el citado Convenio incluye la libertad de comunicar información sin que pueda haber injerencia de autoridad pública y sin consideración de fronteras engloba claramente la actividad del buscador. Esta libertad, continúa, está asociada al Derecho Fundamental a constituir sociedades y asociaciones para llevar a cabo la libertad de expresión y comunicación, de acuerdo con la Jurisprudencia del Tribunal Europeo de Derechos Humanos.

Se indica, además, que el GT29 (Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE) ha reconocido que el tratamiento que realiza el buscador es secundario, pues depende de la decisión de un tratamiento principal, que realiza la página web que publica la información. Existen en la actualidad, sistemas eficaces simples y gratuitos que permiten a los responsables de sitios web controlar el alcance de la publicación. Google Inc respeta las instrucciones de no indexación  de contenidos que establecen los responsables de sitios web. Carece de sentido, que la Agencia Española de Protección de Datos afirme que el servicio de búsqueda en Internet vulnera la Ley Orgánica de Protección de Datos, o incluso la Dignidad Humana, pero, a s u vez,  permita a esas entidades que continúen publicando los datos de forma incontrolada e ilimitada.

Google Inc

Google Inc
Sede de Google

Google Inc argumentó en primer lugar que el hecho de que Google Inc haya designado a Google Spain s.l. como representante en España, a efectos de cumplir deberes legales derivados del tratamiento de datos personales en un fichero concreto inscrito por Google Inc en la AEPD, no puede en modo alguno considerarse como una designación de esa sociedad como representante en cualquier otro procedimiento tramitado por la Agencia.

No es aplicable la L.O.P.D. al tratamiento de información en los índices del buscador de Google, pues la Agencia aplica indistintamente criterios que son incompatibles entre sí. Al aludir, por un lado, a los responsables del tratamiento en el territorio español y, por otro, a los responsables del tratamiento que no tengan establecimiento en la UE, como recoge el GT29 al informar sobre cual es la ley aplicable (wp 179) de 16 de Diciembre del 2010.

En cualquier caso, tampoco sería aplicable la L.O.P.D. ya que la información necesaria para el funcionamiento del buscador la recoge y la proceso exclusivamente Google Inc, sociedad que no está establecida en el territorio de la Unión Europea, sin servirse en ningún caso de medios situados en España y sin intervención alguna de Google Spain s.l..

No puede considerarse en modo alguno medios usados en España por Google Inc los servidores que alojan la información a la que los equipos de Google puedan tener acceso. Ni la obtención ni el procedimiento de la información que se incorpora a los índices del buscador tiene nada que ver  con las actividades de Google Spain s.l.. Ésta compañía es un mero agente que promueve la venta de los productos y servicios que presta Google Ireland Ltd.

Es ilegal la orden de la AEPD, de eliminar del buscador  a contenidos lícitos. De acuerdo con la doctrina del GT29, las empresas que operan buscadores de Internet, no son responsables de los datos que alojan, siempre que se limiten a ser un reflejo actualizado de contenidos existente. Las responsabilidad por el contenido recae sobre los editores de la información. Informe WP148.

Antes de que se pronunciase el TJEU hubo rios de tinta comentando el Derecho al Olvido, antes del verano del 2013, los Abogados Generales se inclinaban a dar la razón a Google, luego…veremos lo que sucedió…

mariagude

Derecho al Olvido. Origen

IMG_6820-3
Derecho Olvido

Origen Derecho Olvido

Por aquello de la propia protección de datos, diré que el Sr. Pepe, en su día, concretamente en Noviembre del 2009, ejercitó ante el periódico “La Vanguardia”, el Derecho   de Oposición al tratamiento de sus datos personales. Señalaba en su reclamación que al “pinchar” su nombre en el buscador de “Google” aparecía la referencia a una página del periódico citado con enlaces a una subasta de inmuebles relacionada con un embargo derivado de unas deudas con la Seguridad Social, señalando que dicho embargo estaba totalmente solucionado y resuelto desde hacía ya años, careciendo, por tanto, de relevancia en el momento de dicha reclamación.

La Vanguardia le contesta que entiende no debe cancelar sus datos, ya que la publicación en su día realizada, lo fue por Orden del Ministerio de Trabajo y Asuntos Sociales, mediante la Secretaría de Estado de la Seguridad Social. En Febrero del 2010 el Sr. Pepe remitió escrito a Google Spain S.L. ejercitando su Derecho de Oposición indicando que al introducir su nombre y apellidos los resultados de búsqueda le llevaba a los links de La Vanguardia. Google Spain le remite a la empresa Google Inc. con sede social en California (EEUU), señalando que la empresa que presta el servido de búsqueda en Internet, todo ello sin perjuicio de informarle que para ejercer el derecho de Cancelación u Oposición sobre sus datos personales debería dirigirse al webmaster de la pagina web que publicó esos datos.

Ante las respuestas de ambos, La Vanguardia y Google Spin s.l., el Sr. Pepe, se dirige a la Agencia española de Protección de Datos (AEPD) y le solicita que le exija al responsable de la publicación de La Vanguardia que elimine o modifique la publicación, para que no apareciesen sus datos personales, o bien se utilizasen las herramientas por los buscadores para proteger su información personal. Solicitando, además, que exigiese a Google España o Google Inc, para que elimine o bien oculte sus datos para que dejen de incluirse en los resultados de búsqueda y dejen de estar ligados a los links de La Vanguardia.

La AEPD por resolución de 30 de Julio del 2010 estima la reclamación formulada por el Sr. Pepe contra Google Spain y contra Google Inc, instándoles a fin de que adopten las medidas necesarias para retirar los datos de su índice imposibilitando el acceso futuro a los mismos. La notificación se remite al domicilio de Google Spain, recibiendo ésta la comunicación a ella dirigida, pero rechazando la notificación de Google Inc

Desestima la reclamación hecha frente a La Vanguardia por entender que la denegación de ésta era correcta, ya que la publicación estaba legalmente justificada, siendo su fin dar la máxima publicadas a la subasta del bien inmueble que iba a subastarse por impago de cuotas a la Seguridad Social.

Google Spain y Google Inc recurren ante la Audiencia Nacional.

Cuestiones previas

En la Legislación española de protección de Datos, L.O. 16/1999, que traspasa al derecho español la Directiva sobre protección de Datos 95/46 y el Reglamento que la desarrolla establecen los denominados derechos ARCO, al que la Jurisprudencia vino perfilando y se añade otro, no recogido expresamente en dicha normativa, el derecho al Olvido al que se viene haciendo desde hace ya tiempo alusión y que se recoge en la nueva normativa de protección de Datos de la unión Europea, un Reglamento, que ha entrado hace pocos días en vigor.

Los Derechos de Acceso, Rectificación, Cancelación y Oposición, venían recogidos, como se indica en la legislación española, siendo el primero de ellos, el derecho qque tiene el interesado para solicitar y obtener gratuitamente información de sus datos personales sometidos a tratamiento; el derecho de Rectificación, reconoce al interesado para que se dirija al responsable del tratamiento de datos a fin de que los rectifique caso de ser erróneos o incompletos y se proceda a su Cancelación cuando no se ajusten a la ley y particularmente caneo resulten inexactos o incompletos.

La Cancelación da lugar al bloqueo de los datos personales.

El derecho de Oposición es el que tiene el interesado para exigir que se lleve a cabo el tratamiento de sus datos personales o se cese en los mismos, cuando concurre motivos legítimos y fundados y en las condiciones que la ley determina.

Señalar asimismo que el Reglamento Español de Protección de Datos realiza de forma exhaustiva la definición de los conceptos que se utilizan en la legislación de protección de datos, concretando quien es el responsable de los datos, que es un fichero, qué es la cesión de datos, el consentimiento, etc.

A ello cabe añadir que tanto la AEPD como la Jurisprudencia de los diversos Tribunales, han venido matizando los conceptos jurídicos de protección de datos, así como su interpretación a la luz de los principios que inspira la protección de datos.

datos personales
Entre datos personales e información general

Cuestiones prejudiciales

Ante las diversa definiciones, matizadas e interpretadas por los Tribunales de Justicia y los nuevos conceptos dentro del ámbito de Internet, problemas que pueden, además plantearse de qué legislación aplicar cuando una empresa radica fuera de la Unión y tiene, por tanto, otra normativa de protección de Datos, así como cuestiones múltiples en todos estos aspectos, tratado el tema también dentro del Grupo de Trabajo 29 (GT29); La Audiencia Nacional decide plantear, ante el Recurso formulado por Google Inc y Google Spain s.l. frente a la Resolución dictada por la AEPD, mediante auto de 27 de Febrero del 2012, diversas cuestiones al Tribunal de Justicia de la Unión Europea para que enmarque los hechos dentro de la Directiva 95/46/CE, de protección de datos de carácter personal y así poder resolverse por la Audiencia Nacional el proceso, conforme a la normativa Comunitaria.

En cuanto a la Aplicación Territorial de la Directiva 95/46/CE.-
¿Debe interpretarse que existe un “establecimiento” en los términos descritos en el artículo 4.1.a de la Directiva 95/46/CE, cuando concurra alguno o algunos de los siguientes supuestos:

  • Cuando la empresa proveedora del motor de búsqueda crea en un Estado Miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes de ese Estado.
  • Cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa
  • Cuando la oficina o filial establecida en un Estado Miembro traslada a la empresa matriz, radicada fuera de la Unión Europea, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto al Derecho de protección de datos personales, aún cuando dicha colaboración se realice de forma voluntaria.

¿Debe interpretarse el artículo 4.1.c de la Directiva 95/46/CE en el sentido de que existe un “recurso a medios situados en el territorio de dicho Estado miembro”:

  • Cuando un buscador utilice arañas o robots para localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado miembro.
  • Cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y los resultados en función del idioma de ese Estado miembro.

En cuanto a la actividad de los Buscadores, como proveedores de contenido.-

¿Puede considerarse como un “recurso a medios”, en los términos del artículo 4.1.c de la Directiva 95/46/CE el almacenamiento temporal de la información indexada por los buscadores de Internet?

Si la respuesta es afirmativa ¿Puede entenderse que éste criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde almacena estos índices alegando razones competitivas?

¿Debe interpretarse una actividad como la descrita comprendida en el concepto de “tratamiento de datos”, contenido en el artículo 2.b de la Directiva?

Si así fuere,

¿Debe interpretarse el artículo 2.d de la Directiva, en el sentido de considerar que la empresa que gestiona el buscador Google es responsable del tratamiento de datos personales contenidos en la pagina web que indexa?

Si la respuesta fuera afirmativa,

¿Puede la autoridad Nacional de control de datos (en este caso AEPD), tuteando los derechos contenidos en el artículo 12.b y 14.a de la Directiva, requerir directamente al buscador de la empresa Google para exigirle la retirada de sus índices de una información publicada por terceros,sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información?

Si fuese afirmativa,

¿Se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene los datos personales se haya publicado lícitamente por terceros y se mantenga en la página web de origen?

En cuanto al alcance del Derecho de Cancelación y Oposición se plantean las siguientes cuestiones.-

¿Debe interpretarse que los derechos de supresión y Bloqueo de los datos, regulados en el artículo 12.b y el de Oposición, regulado en el artículo 14.a de la Directiva comprenden que el interesado pueda dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona, publicada en páginas web de tercero,amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidad, aunque se trate de una información lícitamente publicada por terceros?

Estas cuestiones han sido todas resueltas por el TJEU, que recogeremos en otro momento, pero antes aludiremos a la oposición que en su día hizo Google y algún comentario al respecto, para dejar encuadrado el Derecho al Olvido, que está ahora Recogido en el nuevo Reglamento, que recientemente, como he dicho ha entrado en vigor.

justicia europa
Legislación de Datos personale UE

mariagude

Compliance

Mirando atrás

Compliance
Compliance

Únicamente había escuchado en el ámbito de las Corporaciones Americanas y en la City Londinense, allá por los años noventa, la palabra Compliance cuando nuestros barcos surcaban las aguas de las Islas Británicas; tiempos en los que la Sra. Theatcher nos tildaban de piratas y nosotros, a capa y espada como en los años 40 nos defendíamos de nuestra falta de Buen gobierno, que decían ellos.

En esos intercambios fue donde comencé a visualizar el Compliance como el buen hacer, la ética de la empresa en la que no solo hay que prevenir el delito sino dotarse de una actuación en todos los ámbitos que se encuadra dentro del bien hacer.

El concepto de Compliance, a mi modo de entender, apunta a orientar a las empresas o corporaciones en determinados objetivos de responsabilidad, ética, tareas sociales; valores o modos de organizar no solo en el cumplimento de las exigencias legales, sino como pauta de conducta generalizadas dentro de la ética. Va más allá del concepto legal, aunque aquí es este el aspecto que vamos a examinar someramente.

El Compliance surgió con más fuerza y ya como programas de cumplimiento que las empresas habrían de llevar a cabo, a raíz de los escándalos económicos que aparecen a principios de este Siglo, en el 2001 y, más concretamente a partir del año 2007 con el caso de corrupción de Siemens; posteriormente se generaliza a partir de los craks en los años 2008 y siguientes.

Los contenidos de los primeros programas en el ámbito penal se destinan a las regularizaciones de empresas en las que se definen los objetivos y los valores que han de llevarse a efecto, siguiendo determinados procedimientos para impedir hechos delictivos, especialmente la corrupción, el lavado de dinero, delitos contra la libre competencia, terrorismo, de carácter contable, defraudaciones tributarias, delitos medioambientales, de abuso de información privilegiada y revelación de secretos comerciales.

Se llevan a cabo precisamente para proteger los valores económicos de la empresa. La transparencia y el buen gobierno forma parte de los programas de Compliance. Existen múltiples programas, atendiendo a las diferentes empresas y a sus distintos valores.

En lo programas de Compliance han de fijarse los objetivos buscados y los valores protegidos. Pautas detalladas de cumplimiento tanto para Directivos como para empleados; cursos de capacitación y procesos informativos. Los programas preventivo-criminales de Compliance se dan en muchas de las empresas e Institutos de Crédito donde se dasarrollan sistemas apropiados de control y aseguramiento  para prevenir el blanqueo de dinero.

Carecemos en estos lares de prácticas de buen gobierno empresarial y parece que se ha optado por empezar implantándolas en el ámbito más drástico del Derecho, el Penal.

La responsabilidad y la culpa

 

unnamed-2
Responsabilidad penal empresas

La responsabilidad Penal de las personas Jurídicas, no aparece en nuestro derecho hasta la reforma del Código Penal de 1995, mediante la L. Orgánica 5/2010. Se establece el sistema de responsabilidad por atribución. La persona física cumple los requisitos de culpabilidad para que la persona jurídica responda. Responsabilidad por hecho de otro.

La responsabilidad de la persona jurídica por transferencia, implantada en esta reforma, se caracteriza por no requerir una “culpabilidad propia” de la persona jurídica, sino que ésta se transferiría, en principio, sin mas requisitos de los que la persona física que cometa el delito a la persona jurídica (tesis defendida por la Fiscalía General del Estado en su circular 1/2011).

La responsabilidad de la persona jurídica siempre tuvo mal encaje con el principio de Culpabilidad. Es un principio de Derecho consagrado constitucionalmente, estando proscrita la responsabilidad por hecho de otro. Cuando un Directivo comete un delito y es irrelevante el dolo o culpa de la empresa, ello equivaldría a hacer responder a un sujeto (la corporación) de un delito de otro (el administrador o Directivo), lo que contradice el principio de culpabilidad, en concreto el principio de personalidad de la culpa. Para salvaguardar este escollo un sector de la doctrina había propuesto , conforme a la jurisprudencia constitucional que para condenar penalmente a la persona jurídica, además de comprobar que el representante actuó en representación de la empresa y en provecho de esta, sería necesario hacer un juicio de culpabilidad autónomo distinto del de la persona física, acreditar, que al menos, actuó con negligencia. En este sistema, en su sentido estricto, no se adaptaría  el Compliance o planes de prevención del delito. El principio de transferencia pasa aparentemente por encima del principio de culpabilidad; se imputa la responsabilidad por el hecho delictivo de otro. aunque ello, no cabe duda, es relativo ya que una persona jurídica siempre precisa de la actuación física para actuar.

Otro tipo de responsabilidad es la denominada Alter-Ego , doctrina que se plasma en muchas decisiones marco de la Unión Europea en materia penal, que considera que determinadas personas físicas son el alter-ego de la persona jurídica, de tal manera que, en cierta medida sus comportamientos son los de aquella (C. Gómez-Java). En las sociedades, ej. unipersonales la persona física concentra tanto poder en la persona jurídica y se identifica tanto con ésta, que resulta de todo punto imposible y artificioso separarlas (Carecería de sentido el Compliance).

Haremos también mención a la responsabilidad por hecho propio , aquí se tiene en cuenta la conducta de la persona jurídica, analiza su estructura interna y su organización y si el modo de organizarse es negligente y facilita la comisión del delito en su seno, la persona jurídica responde por su actitud. El Compliance o planes o programas de prevención del delito se justificarían adecuadamente

El artículo 31bis del Código Penal

Prevenir el delito
Prevención del delito

La Ley Orgánica 1/2015 de Código Penal hace una reforma de calado en el artículo 31bis tal y como se tipificaba en el Código de 1995 con su reforma del 2010. Aquí aparecen por primera vez en nuestro derecho los programas de Compliance,  que someramente examinaremos al analizar este importante artículo del Código Penal.

Dice el preámbulo de la Ley, en su apartado III, que se lleva a cabo una mejora técnica en la regulación de la responsabilidad penal de las personas jurídicas, para delimitar adecuadamente, señala, el contenido del “debido control”, cuyo quebrantamiento permite fundamentar su responsabilidad penal. Se zanjan dudas interpretativas ,  pues se había diseñado un régimen de responsabilidad vicarial y se asumen recomendaciones de organizaciones internacionales. De ahí que además de dichas razones se deba a la imperiosa necesidad de dar respuesta eficaz al avance de la criminalidad de las corporaciones en el ámbito del derecho económico, se acaba incluyendo la reforma de la responsabilidad de las personas jurídicas tal como ahora la vemos en el nuevo artículo 31bis del C.P.

3bis CP
Artículo 31Bis CP L.O. 1/2015

 

El primer análisis se dirige al centro e la reforma operada por la nueva redacción dada al artículo 31bis CP, pues afecta fundamentalmente a su estructura y contenido.

Veremos dos ejes fundamentales:

1-Quienes pueden, o qué personas físicas pueden transferir responsabilidad penal a la persona jurídica.

2-La incorporación del Compliance o programas de prevención del delito, que permite exonerar o aminorar la responsabilidad penal de la persona jurídica.

1-En cuanto a las personas que pueden transferir responsabilidad tenemos, el apartado a) del artículo 31bis CP, cometidos por las personas físicas autorizadas a tomar decisiones en nombre de la persona jurídica u ostenten facultades de organización y control dentro de la misma, quienes, además han de actuar en su ámbito de competencia y  que exista beneficio para la persona jurídica.  A diferencia de la anterior reforma (5/2010)  que aludía a representantes legales de hecho y de derecho, ahora no hace la alusión de ese modo, si bien, la jurisprudencia tenía perfectamente delimitada la figura del representante de hecho, introduciéndose ahora, posiblemente cierta inseguridad jurídica ya que habrá que definir jurisprudencialmente, nuevamente, el concepto ahora introducido. Y en el apartado b) se contempla a aquellos que estando sometidos a la autoridad de las personas físicas mencionadas -quienes ostentan facultades de organización y control-, si se incumple por estos gravemente las funciones de control supervisión y vigilancia de su actividad.

Por la Fiscalía General del Estado se ha dictado la Circular 1/2016 que da instrucciones a todos los Fiscales para interpretar y actuar ante supuestos contemplados en este artículo en la que se mantiene que el modelo de atribución de responsabilidad a la persona jurídica no ha variado sustancialmente desde la reforma del 2010 aludida . De hecho, en ninguno de los supuestos se atribuye a ésta la comisión del delito, sino que se indica “cuando de acuerdo con lo establecido en el artículo 31bis, una persona jurídica sea la responsable de los delitos…”. Se remite necesariamente a la persona física. Se observa claramente una responsabilidad por transferencia. Si bien no cabe olvidar que en el nuevo artículo 31ter y 31quater hay elementos que atribuyen la responsabilidad autónoma, al afirmar que la responsabilidad de la persona jurídica no depende de la previa declaración de responsabilidad de la persona física. Ni la falta de identificación del autor o imposibilidad de dirigir el procedimiento frente a él, excluye la responsabilidad de la persona jurídica.

No hay pues, continúa la Circular, un sistema de imputación propio de autorresponsabilidad de la persona jurídica en sentido estricto, que exigiría dolo o culpa en la persona jurídica, aunque permite, como se deja dicho, que su sanción no dependa de la previa declaración de responsabilidad de la persona física.

No es ello un tema baladí, como dice la circular, dado que si el fundamento de la imputación es la defectuosa organización societaria y ésta se configura como elemento del tipo  o define su culpabilidad, la acusación ha de probar ademas de la comisión del delito por la persona física, de los apartados a y b del artículo 31bis CP, que tal infracción se ha cometido a consecuencia de un ineficiente control de la persona jurídica. Si el fundamento de la imputación de la persona jurídica reside en la conducta delictiva de sus dirigentes o incumplimento de sus obligaciones de control sobre sus subordinados, esto será la único que debe probar la acusación.

Todo este engranaje hay que conjugarlo con el número 2 del artículo 31bis CP:

2-Los programas de prevención del delito, COMPLIANCE, son la manera que tiene la persona jurídica de protegerse frente al riesgo de  incurrir en la responsabilidad penal, mediante la adopción de sistemas de control internos de que se dotan las organización para prevenir o evitar la comisión de  delitos, o facilitar su aminoración o descubrimiento.

El núcleo de la reforma está en los incisos 2 a 5 del artículo 31bisCP donde  se regulan las condiciones para que la persona jurídica pueda quedar exenta de responsabilidad o aminorarla.

La persona jurídica quedará exenta de responsabilidad penal, aún en el supuesto de que los delitos sean cometidos por sus representes legales o administradores, si se atienen a los siguientes requisitos:

Que se haya dotado a la persona jurídica de modelos de organización y gestión, que incluyen medidas de vigilancia y control adecuado para prevenir el delito.

Modelo que debe adoptar el órgano de administración de la persona jurídica:

-Identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

-Establecimiento de protocolos o procedimientos que concreten el proceso de formación de la voluntad de las personas jurídicas, de adopción de decisiones y su ejecución con relación a aquellos.

-Establecimiento de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deban prevenirse.

-Obligación de normar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento  y observancia del modelo de prevención.

-Establecimiento de un sistema disciplinario que sancione adecuadamente el incumplimientos de las medidas que establezca el modelo.

Añade, además, que estos modelos de organización y gestión deben contener medidas que, según la naturaleza y tamaño de la organización y tipo de actividades permitan la detección pronta y prevención de la situación del riego de la actividad a desarrollar de acuerdo con la Ley. Exige la verificación periódica del modelo y la prevención de sus modificaciones cuando se produzcan cambios en la organización y se pongan de manifiesto infracciones relevantes.

Además de llevar a cabo estos programas, podrá eximirse de responsabilidad la persona jurídica cuando las personas físicas de la organización autoras del delito, hayan podido cometerlo “eludiendo fraudulentamente” el modelo de prevención implementado..

Finalmente, se exige para eximir de responsabilidad penal a la persona jurídica que no haya existido una omisión o un ejercicio insuficiente de las funciones de supervisión y vigilancia.

Corresponde a la persona jurídica probar que se han cumplido los requisitos, sin tener en cuenta que en nuestro ordenamiento jurídico impide pechar con la carga de la prueba al acusado. Esto vuelve a enlazarnos con los problemas de los tipos de responsabilidad y el principio constitucional de culpabilidad a que habíamos aludido al principio. De ahí la dificultad y falta de registros de condenas en el ámbito de la persona jurídica.

La Circular de la fiscalía 1/2016 detalla ha señalado los criterios para valorar los programas de Compliance.

1.- Deben interpretarse  de modo que no quede vacío de contenido el régimen de responsabilidad penal de la persona jurídica.

2-No deben solo evitar una sanción penal, sino e regirse en verdaderos promotores de la ética empresarial.

3-Las certificaciones de idoneidad pueden apreciarse como elemento adicional pero no acreditan su eficacia de manera exclusiva.Si son los principales responsables quienes incumplen difícilmente pueden admitirse sistemas eficaces, que reflejen verdadera cultura de respeto a la Ley por parte de la empresa.

4- Se valorará el inequívoco compromiso de la alta dirección con el programa.

5-La responsabilidad de la empresa debe ser más exigente cuando redunda el beneficio principalmente en ésta.

6- Los fiscales prestarán especial relevancia al descubrimiento de delitos por la propia corporación y su puesta en conocimiento de la autoridad.

7-La comisión de un delito no invalida un programa, pero puede quedar seriamente en entredicho, según la gravedad de la conducta y su extensión.

8-Se valorará el comportamiento pasado de la corporación ante actitudes delictivas.

9-La imposición de medidas disciplinarias a los autores y la inmediata revisión del programa son datos también a tener en cuenta.

 

Los programas de prevención del delito a implementar en las empresas, pueden ser similares o seguir las pautas ya conocidas para los programas de prevención de riesgos laborales.

Existe a día de hoy, además de muchos programas o software para cada tipo de empresa, la ISO 19600, como herramienta para detectar y gestionar riesgos.

mariagude

 

 

 

 

Protección Datos nueva normativa

Antecedentes y propuesta

Actualizar y modernizar la Directiva 95/46/CE sobre Protección de Datos personales y la Decisión Marco del 2008 sobre Cooperación Judicial y policial es una tarea que viene llevando a cabo la Comisión para lo que ha venido en hacer una, digamos, doble propuesta:

Un REGLAMENTO para la protección de datos personales de las personas físicas y la libre circulación de aquellos y

Una DIRECTIVA de protección de datos de las personas físicas, en cuanto al tratamiento de datos personales por las autoridades competentes a efectos de Prevención, Investigación, Detención y Enjuiciamiento de infracciones penales, su ejecución y su libre circulación.

Con el avance  estratosférico, diríamos, que impone la evolución tecnológica, los retos que se vienen planteando demandan cambios que comprendan tal avance y la recogida de los mismos. La magnitud e intercambio de datos y su recogida desbordan toda previsión y su utilización se puede hacer a una escala sin precedentes en la Historia de la Humanidad.

La regulación que pronto entrará en vigor es de suma importancia para el desenvolvimiento económico y para la vida social. Entra de lleno en la Agenda Digital para Europa, encuadrada en la Estrategia 2020.

Como es sabido la protección de datos de carácter personal está introducida en el Tratado de Lisboa, en el artículo 16 del Tratado de Funcionamiento de la unión Europea. Se introduce una base jurídica específica para adoptar normas concernientes a la protección de datos de carácter personal. También en el artículo 8 de la Carta de los Derechos Fundamentales de la UE, que consagra como Derecho Fundamental la protección de datos de carácter personal.

Para la consecución de la normativa sobre la protección de datos próxima a su entrada en vigor se ha llevado a cabo una Consulta y se ha efectuado una Evaluación de Impacto.

La gran mayoría mostró su acuerdo en que los principios generales siguen siendo válido, se precisa adaptar el marco vigente a los retos del rapidísimo desarrollo de la tecnología y la globalización; la fragmentación de la normativa sobre protección de datos personales en la Unión ha sido objeto de duras críticas, solicitándose mayor seguridad jurídica y armonización de normas. La complejidad de las normas que regulan las Transferencias Internacionales de Datos personales, constituye un impedimento sustancial en su funcionamiento, ya que resulta habitual transferir datos personales en toda la UE y de ésta al resto de países del globo.

La Evaluación de Impacto llevada a cabo, señala tres puntos estratégicos:

-Mejorar la dimensión del mercado interior de la protección de datos personales.

– Hacer mas efectivo el ejercicio de los derechos de protección datos para  los ciudadanos.

– Crear un marco general y coherente que abarque todos los ámbitos de la competencia de la Unión, incluyendo la cooperación policial y judicial en materia de penal.

De acuerdo con la Evaluación de Impacto, habrá de llegarse a mejoras considerables en materia de seguridad jurídica para los responsables del tratamiento de los datos; reducir la carga administrativa; insistir en la coherencia en la aplicación de la protección de datos personales en toda la Unión; y la posibilidad efectiva para que las personas físicas puedan desenvolver los derechos (ARCO); y la incidencia en pequeñas y medianas empresas.

DataPimages-1

Elementos Jurídicos

Como ya hemos indicado, la Propuesta se basa en el artículo 16 del Tratado de Funcionamiento de la Unión Europea, que es la nueva base jurídica para adoptar normas sobre protección de datos de carácter personal, introducida por el Tratado de Lisboa.

Es considerado el Reglamento como instrumento jurídico más apropiado para definir el marco de la protección de los datos personales, dado quemes una norma jurídica de Derecho comunitario con alcance general y eficacia directa. La aplicabilidad directa (artículo 288 del TFUE) reducirá la fragmentación jurídica, ofreciendo mayor seguridad, mejorando, al mismo tiempo, la protección de Derechos Fundamentales.

Los principios de Subsidiariedad y Proporcionalidad   rigen, como no podía ser menos, también en esta materia. De acuerdo con el primero de los citados (artículo 5.3 del TFUE), la Unión solo puede intervenir en caso de que los objetivos perseguidos no puedan ser alcanzados de modo suficiente por los Estados miembros por sí solos. El análisis de subsidiariedad hecho,  indica la necesidad de adoptar  iniciativas a escala de la Unión, por las siguientes razones.

-Al objeto de fomentar el mismo nivel de protección de carácter personal consagrado en el artículo de la Carta de Derechos Fundamentales de la Unión. Su ausencia provocaría distintos niveles de protección en los distintos países y afectaría a los flujos fronterizos.

-Las iniciativas a nivel de la Unión permiten más eficacia y mayor eficiencia para las acciones individuales que puedan llevar a cabo los Estados miembros.

-Los Estados miembros no pueden solucionar por sí solos los problemas de fragmentación detectados, por lo que se precisa la articulación de un Marco Armonizado.

En el  ámbito de los Derechos Fundamentales hemos de señalar que el Derecho de Protección de Datos de carácter Personal también viene recogido en el Articulo 8 del C.E.D.H (Convenio Europeo de Derechos Humanos).

El Tribunal de Justicia de la UE ha manifestado a través de reiterada y unánime Jurisprudencia que el Derecho a la Protección de Datos de carácter personal no es un derecho absoluto, si no que ha de considerarse en relación con su ficción en la Sociedad. En consonancia con el artículo 52.1 de la Carta de Derechos Fundamentales pueden introducirse limitaciones SIEMPRE que estén establecidas por ley; respeten el PRINCIPIO DE PROPORCIONALIDAD, sean necesarias y respondan efectivamente a objetivos de e interés general reconocidos por la Unión.

El Derecho a la Protección de Datos de carácter Personal está íntimamente ligado y relacionado con la vida privada y familiar recogido en el artículo 7 de la Carta de Derechos Europea, que se viene reflejando desde su instauración por la Directiva 95/46/CE, al señalar que los Estados miembros garantizarán la Protección de la libertades y de los Derechos Fundamentales de las personas físicas, en particular, el dDerecho a la Intimidad, en lo que respecta al tratamiento de datos de carácter personal. Afecta además a otros Derechos Fundamentales, como pueden ser el de Libertad de empresa, el de Propiedad y Propiedad Intelectual, de la Salud, de Acceso a Documentos, de Tutela Judicial efectiva, de Derecho a un Juez imparcial.

De ahí la importancia de su regulación con perspectiva de Derecho Fundamental y su propuesta como Reglamento, y como Directiva en el aspecto del tratamiento por autoridades competentes en el ámbito de la colaboración Penal.

mariagude

 

 

 

 

 

 

 

Protección de Datos Judiciales

Antecedentes

La Ley Orgánica del Poder Judicial, 7/2015 de 21 de Julio, que modifican Ley Orgánica 6/85 de 1 de Julio, dice su Exposición de Motivos, entre otras, que hay que adaptar la Justicia a los  tiempos, a la protección de Datos, a la sociedad de la información, al Tribunal Europeo de Derechos Humanos…en fins…a los tiempos que vivimos.

Amén de dedicar gran parte de su articulado a aspectos burocráticos y de funciones de quienes administran Justicia, y a normas de competencia objetiva e internacional, se centra en el encaje de la Jurisdicción Militar dentro del esquema del poder judicial, en dar salida a la jurisprudencia emanada del Tribunal Europeo de Derechos Humanos, articulando recursos que se basen el las Resoluciones de dicho Tribunal,Refutar violencia de género e incardinar los procesos dentro de los Tribunales que tratan esta materia, tales como la revelación de secretos, injurias..etc; Plenos para establecimiento de criterios; eliminar la responsabilidad cidivil directa de jueces y magistrados, siguiendo el criterio de los demás funcionarios públicos; Vinculación de jueces y Tribunales al derecho emanado de la UE y resaltar que la función nomofiláctica ( Se dice especialmente de la función o cometido de ciertos tribunales que, al tener atribuida la competencia de definir el derecho objetivo, atienden en sus sentencias más a esta finalidad que a la cuestión concreta que enfrenta a las partes del proceso), es lo cierto que en su Capítulo I BIS, del Título III, Libro III regula la protección de datos de carácter personal en el ámbito de la Administración de Justicia, cuestión en la que nos vamos a centrar.

El legislador ha tenido a bien establecer toda la protección de datos judicial en el artículo 236, plasmando la añoranza de viejos latinajos y así empieza por el 236 bis, seguido del ter, quáter y así hasta el decies; fórmula, por otra parte, que se viene utilizando en toda esta legislatura.Proteger Datos

Dicho cuánto antecede, pasemos a ver que dice la Reforma de la ley orgánica del poder judicial de la protección de datos en aquel ámbito.

Tratamiento de Datos

El tratamiento de datos de carácter personal siempre ha de someterse a la Ley Orgánica de Protección de Datos, aunque se establezcan ciertas especialidades. Empieza la Reforma diferenciando entre el tratamiento de datos de carácter personal en el ámbito propiamente Jurisdiccional o no Jurisdiccional el tratamiento de los primeros se limita a los datos en tanto en cuanto se encuentren incorporados a los pleitos de que conozcan  y su finalidad se relacione directamente con el ejercicio jurisdiccional, debido los Juzgados y Tribunales el pleno respeto a las garantías y derechos establecidos en la normativa de protección de datos de carácter personal; el de los segundos (No Jurisdiccionales) se corresponde con el tratamiento de datos de carácter personal que se realiza dentro de la gestión de la Oficina Judicial, estos se someterán a los dispuesto a la Ley Orgánica 15/1999 de protección de datos y su normativa de desarrollo, pudiendo el Consejo General del Poder Judicial prestar a la Agencia Española de Protección de Datos la colaboración que precise, pudiendo, además, adoptar medidas reglamentarias precisas para garantizar, en el cumplimiento del tratamiento de datos con fines no jurisdiccionales, las medidas de seguridad establecidas en la normativa de protección de datos.

Para el tratamiento de datos de carácter personal en el ámbito jurisdiccional y de acuerdo con lo dispuesto en el artículo 11.2 de la L.O.P.D, no será necesario el consentimiento del interesado para que los Tribunales procedan al tratamiento en el ejercicio de dicha potestad, ya sean los datos  facilitados por las partes o recabados por el propio Tribunal. Si los datos no tienen fines jurisdiccionales, se estará a lo dispuesto en la L.O.P.D. el tratamiento de datos personales no jurisdiccionales está sujeto al consentimiento de la L.O.P.D

El tratamiento de los datos de carácter personal  a que hayan tenido acceso las partes, por razón del proceso, está sujeto a la normativa sobre protección de datos.

Ficheros

Habiendo pues, ficheros jurisdiccionales  y no jurisdiccionales.

Los ficheros de datos de carácter personal del consejo General del Poder Judicial y de los órganos que lo integran serán  creados, modificados o suprimidos por acuerdo del Consejo General del Poder Judicial, adoptado a propuesta de la Sala de Gobierno del Tribunal Supremo, de la Audiencia Nacional o del Tribunal Superior de Justicia de las Comunidades Autónomas.. Se ajustará a lo dispuesto en la legislación vigente en materia de protección de datos y se publicará en el BOE, o, en su caso, len los Diarios de las Comunidades Autónomas. Publicado el Acuerdo el consejo dará traslado del mismo para sus inscripción en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos.

Responsable de los Ficheros

El Responsable de los ficheros jurisdiccionales es el órgano jurisdiccional  ante el que se tramiten los procesos cuyos datos se incorporen al fichero, y dentro de él decidirá quien tenga la competencia atribuida por la normativa vigente, según la solicitud que se reciba del ciudadano. De los ficheros No Jurisdiccionales será Responsable la oficina judicial con la que se relacionen los datos que laos mismos se incorporen.

Todo ello se entiende, sin perjuicio de la responsabilidad disciplinaria que pudiera corresponder en cuanto a comisión de infracciones en materia de protección de datos de carácter personal.

El Letrado de la Administración de Justicia nombrado al efecto velará por la adopción de las medidas que impidan la alteración, pérdida, tratamiento o acceso no deseado a los datos de carácter personal; incorporados a ficheros tanto jurisdiccionales como no, ostentando la condición de Responsable de seguridad a los efectos previstos en la normativa de protección de datos.

Los Jueces, Tribunales, y Letrados de la Administración de Justicia (antes Secretarios Judiciales) podrán adoptar medidas precisas para la supresión de los datos personales de los documentos a los que puedan tener acceso las partes durante la tramitación del proceso, siempre que no sean necesarios para garantizar el derecho a la tutela judicial efectiva.

El acceso al texto de la Sentencias, a determinados extremos de las mismas, o a otras resoluciones dictadas en el seno del proceso, sólo podrá llevarse a cabo previa disociación de los datos de carácter personal que los mismos contuvieran, con respeto al derecho a la intimidad.

Los derechos ARCO

Los Jueces y Tribunales, adoptarán las medidas necesarias para el ejercicio de derecho de Acceso de las partes a los datos personales que pudieran contener las Sentencias y demás resoluciones del proceso.

Las solicitudes del ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición en relación a datos tratados con fines jurisdiccionales, se tramitarán conforme a las normas que resulten de aplicación al proceso en que los datos fueron recabados, no siendo de aplicación la legislación en materia de protección de datos..

los datos sometidos a tratamiento con fines No jurisdiccionales, los interesados podrán ejercitar sus derechos de acceso, rectificación, cancelación y oposición en los términos establecidos en la vigente normativa de protección de datos de carácter personal.

Fine

Las Competencias que la Ley 15/99 de Protección de Datos, atribuye a la Agencia Española de Protección de datos, serán ejercidas, respecto de los tratamientos efectuados con fines jurisdiccionales y los ficheros de esta naturaleza, por el Consejo General del Poder Judicial. Los llevados a cabo con fines no jurisdicciones y sus correspondientes ficheros, quedan sometidos a la Agencia Española de P.D.

Deja bastante que desear la redacción y sistemática de esta regulación, quedando serias dudas en algunos aspectos y no aclarando, sino, a veces, mezclando inadecuadamente conceptos que deberían estar claramente definidos.

En el Nonies, apartado 3 de ese artículo 236, y en cuanto a la realización de actuaciones de investigación relacionadas con la posible comisión de un a infracción en materia de protección de datos, no deja claro quien es la Autoridad competente, para que se lleve a cabo la tramitación del procedimiento.

mariagude