El TJUE. Derecho al Olvido. Conclusión

De ayer para hoy seguimos con el Derecho al Olvido, charlando acerca de la Sentencia que el TJUE dictó a instancia de las cuestiones prejudiciales planteadas por la Audiencia Nacional, luego de una sanción impuesta por la AEPD a Google.

Habíamos hablado de la Segunda Cuestión Prejudicial planteada por la  Audiencia Nacional, que el TJUE examinó en primer lugar. Pasamos pues a la Primera Cuestión Prejudicial planteada, y otros extremos:

Territorialidad

 

Ámbito Territorial Unión Europea
Paises que conforman la unión Europea

 

Mediante esta Cuestión, la Audiencia Nacional pretende que se le aclare si es aplicable la legislación española sobre protección de datos (ley Orgánica 15/1999 y su Reglamento del 2007),  que ha traspuesto la Directiva 95/46/CE. Para ello el Tribunal considera acreditado que Google Search se presta a nivel mundial a través del sitio web “Google.com”. Que existen en diversos países versiones locales. La versión española es “Google.es”, dominio registrado en España y motor de búsqueda de los más utilizados. Que “Google Inc” -empresa matriz del Grupo” tiene su domicilio en Estados Unidos y gestiona “Google Search”. Que ésta indexa páginas web de todo el mundo, incluyendo las páginas web ubicadas en España. La información ideada por sus “arañas”, o robots de indexación -programas informáticos utilizados para rastrear y realizar un barrido de contenidos de paginas web de manera metódica y automatizada, se almacenan temporalmente en servidores cuyo Estado de ubicación se desconoce por razones de competitividad. Que Google Search no solo facilita el acceso a contenidos alojados en páginas web indexadas, sino que, además, aprovecha esta actividad para incluir publicidad asociada a los patrones de búsqueda introducidos por los internautas, contratada, a cambio de un precio, por las empresas que desean utilizar esta herramienta para ofrecer sus bienes o servicios a éstos.

Que el grupo Google utiliza una empresa filial en España, Google Spain, como agente promotor de ventas de espacios publicitarios, que se genera en el sitio “Google.com”. Google Spain tiene personalidad jurídica propia y domicilio en Madrid. Dirige su actividad, fundamentalmente a empresas radicadas en España, actuando como agente comercial del citado grupo. Su objeto es promocionar, facilitar y procurar la venta de productos y servicios de publicidad “on line” a través de Internet para terceros, así como la comercialización de la publicidad. En ocasiones Google Inc, designó a Google Spain responsable del tratamiento de de ficheros inscritos por Google Inc ante la Agencia Española de Protección de Datos, relacionados con clientes de servicios publicitarios que en su día contrataron con Google Inc.

Partiendo de tales datos, el TJUE desgrana varios artículos de la de la Directiva 95/46/CE:

4.-Derecho nacional aplicable

1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

Para dar respuesta  a lo solicitado por el Tribunal de España en el sentido de sí se cumple la disposición transcrita, en el supuesto de que: -la empresa proveedora del motor de búsqueda crea en un Estado miembro una oficina o filial destinada a la promoción y venta de los espacios publicitados por el motor de búsqueda, que dirige su actividad a los habitantes de ese Estado,  que-la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con contratación de publicidad,  que-cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la unión, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades en lo que a protección de datos personales se refiere.

Dice el Tribunal Español que Google Inc gestiona técnica y administrativamente Google Search y que no está probado que Google Spain realice en España una actividad directamente vinculada a la indexación o al almacenamiento de información o de datos contenidos en los sitios de Internet de terceros. No obstante ello, la actividad de promoción y venta de espacios publicitarios de la que Google Spain es responsable para España, constituye la parte esencial de la actividad comercial del grupo Google y puede considerarse que está estrechamente vinculada a Google Search. El Sr. Pepe, la AEPD y otros Países miembros entienden que habida cuenta de vínculo indisociable  entre la actividad del motor de búsqueda gestionado por G.Inc y la de G. Spain, ésta debe considerase un establecimiento de aquella, en el marco de cuyas actividades se lleva a cabo el tratamiento de datos personales. Las Google y otros Gobiernos de la Unión, sin embargo,  dicen que el artículo 4.1.a) no se aplicará en el primero de los supuestos, -cuando la empresa proveedora del motor de búsqueda crea en un Estado miembro una oficina o filial destinada a la promoción y venta de espacios publicitarios-, pues el tratamiento de datos lo lleva en exclusiva Google Inc, que gestiona G. Search, sin ninguna intervención de Google Spain, cuya actividad se limita a prestar apoyo a la actividad publicitaria del grupo Google, que es distinta al servicio de su motor de búsqueda.

El Tribunal recuerda que la Directiva señala que “el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable”, independientemente de la forma jurídica de dicho establecimiento, que sea o no una simple sucursal o filial con personalidad jurídica propia. Siendo, además necesario para cumplimentar dicha disposición, que el tratamiento de datos personales, por parte del responsable del tratamiento se “lleve a cabo en el marco de las actividades” de un establecimiento de dicho responsable situado en territorio de un Estado miembro.

No debe perderse de vista el objetivo de la Directiva de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, en concreto el derecho a la Intimidad, en lo que respecta al tratamiento de los datos personales, no debiendo ser objeto de interpretación restrictiva ésta expresión. Sigue indicando el Tribunal, que de los Considerandos 18 a 20 del artículo 4 de la Directiva, se desprende que el legislador de la Unión  pretendió evitar que una persona se viera excluida de la protección garantizada por ella y que se eludiera esta protección, estableciendo un ámbito de aplicación territorial particularmente extenso .Teniendo, pues, en cuenta el objetivo de la Directiva, y del tenor literal de su artículo 4.1.a), procede considerar que el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa “en el marco de las actividades” de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilidad el servicio propuesto por el motor.

En tales circunstancias, las actividades del gestor de motor de búsqueda y de su establecimiento situado en el Estado miembro están indisociablemente ligadas, pues las actividades relativas a espacios publicitarios constituyen el medio para que el  motor de búsqueda en cuestión sea económicamente rentable y, dado que este motor, es al mismo tiempo, el medio que permite realizar las mencionadas actividades. Sobre tal particular, conviene recordar como se ha precisado a lo largo de la Sentencia, que la propia presentación de datos personales en una página de resultado de una búsqueda constituye un tratamiento de tales datos; toda vez que la presentación de publicidad vinculada a los términos de búsqueda acompaña a los resultados de búsqueda, el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio Español.

Dicho cuanto antecede, no se puede aceptar, señala el Tribunal, que el tratamiento  de datos personales llevado a cabo para el funcionamiento del mencionado motor de búsqueda se sustraiga a las obligaciones y a las garantía previstas por la Directiva 95/46/CE, lo que menoscabaría su efecto útil y la protección eficaz y completa respecto de la defensa del derecho fundamental a una vida privada en el tratamiento de datos personales, al que dicha Directiva concede una relevancia especial, como ya vienen confirmando Sentencias anteriores.

Un establecimiento, pues, como Google Spain cumple el criterio recogido en el artículo 4 apartado 1 letra a), no procediendo, en consecuencia examinar ya los siguientes apartados..

De ahí que podamos Concluir que se puede responder a la Territorialidad (primera cuestión prejudicial planteada respecto del artículo) 4.1.a que debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o filial destinada a garantizar la promoción y venta de espacios publicitarios propuestos por el mencionado motor de búsqueda y cuya actividad se dirige a los habitantes de este estado miembro.

Bloqueo

 

Bloqueo páginas web
Bloqueo páginas web

Trata también el Tribunal una interesantísima cuestión al examinar el Derecho de Acceso establecido en el artículo 12 de la Directiva:

Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento:

b) en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos

y

Los Estados miembros reconocerán al interesado el derecho a:

a) Oponerse, al menos en los casos contemplados en las letras e) y f) del artículo 7, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. En caso de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos. Artículo 14. Derecho De Oposición Del Interesado.

Por ello dilucida el Tribunal si para respetar los derechos que se establecen en las disposiciones transcritas, el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona  con vínculos a la página web. Las Google consideran que ello atenta al principio de proporcionalidad y cualquier solicitud que tenga por objeto que se elimine información ha de dirigirse al editor de la página web, ya que es éste el que asume la responsabilidad de publicar la información. Y además, continúan, imponer esto al gestor de un motor de búsqueda, que retire de sus índices información publicada en Internet, no tiene suficientemente en cuenta los derechos fundamentales de los editores del sitio de Internet, del resto de los internautas y del propio gestor.

De ello discrepa la AEPD , el Sr. Pepe, la Comisiónn y otros países.

En este sentido, sigue recordando el Tribunal, el objetivo de la Directiva, garantizar un nivel elevado de protección de derechos fundamentales en el ámbito de la vida privada y en relación con el tratamiento de datos personales. Y los citados artículos (12 y 14) disponen, entre otros, que los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento, en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la Directiva. Amén de las excepciones contenidas en la Directiva, todo tratamiento de datos personales debe ser conforme a los principios de calidad de los datos y a la legitimación del tratamiento. Incumbe, pues, al responsable del tratamiento garantizar que los datos personales sean “tratados de manera leal y lícita” que sean “recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines”, que sean “adecuados”, “pertinentes” y “no excesivos” con relación a los fines para los que se recaban. En este marco, dice el Tribunal, el responsable debe adoptar todas las medidas razonables para que los datos que no responden a los requisitos de esta disposición sean suprimidos o rectificados.

Asimismo, los Estados miembros reconocerán al interesado el derecho a oponerse, en las condiciones establecidas, en cualquier momento por razones legítimas de su situación particular a que los datos que le conciernan sean objeto de tratamiento, salvo que la legislación nacional disponga otra cosa.

El interesado puede dirigir las solicitudes directamente al responsable del tratamiento, que debe examinar debidamente su fundamento y, en su caso, poner fin al tratamiento de los datos controvertidos. Si no se accede a ello el interesado puede acudir a la Autoridad de Control o a los Tribunales para que éstos lleven a cabo las comprobaciones necesarias y ordenen a dicho gestor las medidas precisas en consecuencia.

Para, concluir,  que un tratamiento de datos personales como el controvertido en este litigio, efectuado por el gestor de un motor de búsqueda, puede afectar significativamente a los derechos fundamentales de respeto a la vida privada y de protección de datos personales, cuando la búsqueda realizada sirviéndose de ese motor de búsqueda se lleva a cabo a partir del nombre de una persona física, pues dicho tratamiento permite a cualquiera obtener mediante la lista de resultados una visión estructurada de la información relativa a la vida de esa persona que puede hallarse en internet, que afecta potencialmente a una multitud de aspectos de su vida privada, que, sin dicho motor, no se habrían interconectado o solo podrían haberlo sido muy difícilmente y que le permite de este modo establecer un perfil más o menos detallado de la persona de que se trate. La injerencia en dichos derechos del interesado se multiplica debido al importante papel que desempeñan internet y los motores de búsqueda en la sociedad moderna, que confieren a la información contenida en tal lista de resultados un carácter ubicuo.

En vista de la gravedad de esta injerencia, es obligatorio declarar que el mero interés económico del gestor de tal motor en este tratamiento no la justifica. No obstante, en la medida en que la supresión de vínculos de la lista de resultados podría, en función de la información, tener repercusiones en el interés legítimo de los internautas potencialmente interesados en tener acceso a la información en cuestión, es preciso buscar,  en situaciones como la presente un justo equilibrio entre este interés y los derechos de la persona afectada, pudiendo depender en supuestos específicos de la naturaleza de la información de que se trate y del carácter sensible para la vida privada de la persona afectada y del interés público en disponer de esta información,que puede variar, en función del papel que esa persona desempeñe en la vida pública.

Conclusión

1.-La actividad de un motor de búsqueda que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y ponerla a disposición de los internautas, según un orden de preferencia determinada ha de calificarse de tratamiento de datos personales y el gestor de un motor de búsqueda debe considerase responsable de dicho tratamiento.

2.-Se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro.

3.-Cumplidos los requisitos establecidos, para respetar los derechos a que estamos aludiendo, el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a la página web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí mixm lícita.

4.-Hay que examinar, en particular, si el interesado tiene derecho a que la información relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados obtenidos tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en la lista de resultados cause un perjuicio al interesado. Ya que éste puede solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en la lista de resultados, estos derechos prevalecen, en principio, no solo  sobre el interés económico del gestor de motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Excepto, como ya se dijo, si la persona desempeña en la vida pública un papel relevante, ya que la injerencia en sus derechos fundamentales está justificada por el interés preponderante del público en tener acceso a la información de que se trate.

Y así es Como El Tribunal de la unión Europea resolvió el denominado Derecho al Olvido, en favor del derecho a la Intimidad que tienen las personas, frente a postulados básicamente económicos esgrimidos por las partes recurrentes de la AEPD para evadir la normativa sobre protección de datos personales. Tema del que han hablado importantes y destacados Juristas!

mariagude

Anuncios

El TJUE habló del Derecho al Olvido (I)

Sí, fue hace dos años, en Mayo del 2014, el 13, que el TJUE se pronunció sobre el Derecho al Olvido. El mismo día en que la Virgen Portuguesa  habló a Fátima en Coba da Iría. El día en que cumple años  mi hermano.

Algunos conceptos previos determinantes

Antes indicar, que la Directiva 95/46/CE de Protección de Datos de carácter personal tiene por objeto la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la Intimidad, en lo que respecta al tratamiento de los datos personales y la eliminación de los obstáculos a la libre circulación de esos datos.

Datos personales.-Toda información sobre una persona física identificada o identificable, directa o indirectamente por uno o varios elementos específicos característicos de su indemnidad física, fisiológica, psíquica, económica, cultural o social.

Tratamiento de datos personales.- Cualquier operación o conjunto de operaciones efectuadas o no mediante procedimientos automatizados, y aplicados a datos personales, como recogida, registro, organización, conservación, elaboración, modificación, extracción, consulta, utilización, comunicación por transmisión difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo, interconexión, así como su bloqueo, supresión o destrucción.

Responsable del Tratamiento.- Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o junto con otros determine los fines y los medios del tratamiento de datos personales.

Fichero.- Conjunto organizado de datos de carácter personal, que permite el acceso a los datos con arreglo a criterios determinados cualquiera que fuere su forma o modalidad de su creación, almacenamiento, organización o acceso.

Establecimiento.- implica el ejercicio efectivo y real de una actividad mediante una instalación estable; siendo indiferente la forma jurídica, ya  sea una simple sucursal o una empresa filial con personalidad jurídica.

Para el asunto que nos ocupa conviene, asimismo, señalar que los Principios que han de presidir el tratamiento de los datos personales, se concretan, primordialmente en que sean  Leales y LícitosHan de ser recogidos con fines determinados y explícitos. Serán adecuados, pertinentes y no excesivos; exactos y actualizados, que permitan la identificación de los interesados durante un período no superior al necesario respecto de los fines para los que fueron recogidos. Corresponde al Responsable del Tratamiento garantizar tales principios.

Recordamos…. Que el Sr. Pepe había solicitado de la AEPD que requiriese a La Vanguardia y a Google para que retirasen información que aparecía la “pinchar su nombre”, información de tiempos pretéritos. La AEPD desestima frente a la Vanguardia y requiere a Google para que retire determinada información que aparece al “pinchar” el nombre del Sr. Pepe, acudiendo google a la Audiencia Nacional, quien recaba del TJUE que dictamine acerca de determinadas cuestiones prejudiciales para poder así dictar Sentencia con arreglo a la Directiva 95/46/CE de Protección de Datos personales.

Colisionan varios derechos en el ámbito de los hechos acaecidos. Por una parte  los Derechos que todo individuo tiene para ser protegido en el ámbito de su Intimidad, cómo llevar a cabo esos derechos cuando se trata, como en el presente caso, de cuestiones novísimas, como pueden ser las arañas,  robots que utilizan los motores de búsqueda y su funcionamiento y ubicación. Cómo ha de aplicarse a una empresa como Google, que se ramifica en muchas empresas y que su sede principal está en California bajo Legislación de los Estados Unidos, que no tiene por qué coincidir, ni mucho menos, con el Derecho de la Unión Europea, que protege la Intimidad. Cuál se aplica?  Qué es un establecimiento?, quién toma decisiones y dónde?, en cuanto a qué hacer con los datos que se indexan?. Ha habido muchos defensores del derecho a la Intimidad, como los ha habido del Derecho que todos los internautas tienen a acceder a Información, y que imponiendo criterios restrictivos a Google se impediría que las nuevas tecnologías avanzasen, que en definitiva, podría ser mucho peor el remedio que la enfermedad y que la colisión del Derecho a la Intimidad con el Derecho Información, debería ponderarse en favor de éste.

Todas estas cuestiones han sido tratadas por el Tribunal, aplicando la Directiva 95/46/CE

TJUE
Tribunal Justicia Unión Europea

Argumentos del Tribunal

Alterando el orden de formulación de la Cuestiones prejudiciales propuestas por la Audiencia Nacional, El TJUE, da comienzo por la Segunda Cuestión Prejudicial y procede al examen de la actividad de los buscadores, para ello examina en primer lugar, qué es un motor de búsqueda?  – proveedor de contenidos, cuya actividad consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, ponerla a disposición de los internautas, según un orden de preferencia determinado-. Si la actividad de estos puede calificarse de “tratamiento de datos personales“? . Si ello fuera así, ha de interpretarse que el gestor de un motor de búsqueda ha de considerarse responsable de tratamiento de datos personales?, todo ello de acuerdo con la Directiva citada.

Motores de búsqueda
Motores de búsqueda.

Sabemos que el Sr. Pepe, la AEPD y otros países, entienden que efectivamente que la actividad de los motores de búsqueda implican claramente “tratamiento de datos” en el sentido que establece la Directiva, y su gestor es el responsable ; sin embargo Google Spain, Google Inc. y otros países, consideran que la actividad de los motores de búsqueda no puede considerarse que impliquen  tratamiento de datos, y, además, el gestor de un motor de búsqueda no puede considerarse responsable de ese “tratamiento”.

De acuerdo con el concepto que da la Directiva del “tratamiento de Datos Personales”, transcrita en párrafos precedentes, señala el Tribunal: Que en lo que a Internet se refiere, ya se ha pronunciado este Tribunal y que la conducta que consiste en hacer referencia en una página web a datos personales, ha de considerarse un “tratamiento de datos” de ésta índole (artículo 2.b de la Directiva). Por tanto, al explorar Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el gestor de un motor de búsqueda, “recoge” tales datos que “extrae”, “registra” y “organiza” posteriormente en el marco de sus programas de indexación, “conserva” en sus servidores y, en su caso, “comunica” y “facilita” el acceso a sus usuarios en forma de listas de resultados de sus búsquedas. Por lo que ha de calificarse de “tratamiento de datos” recogidos expresamente en la Directiva, sin que sea relevante que el gestor del motor de búsqueda también realice las mismas operaciones con otros tipos de información de carácter no personal. Tampoco obsta que tales datos hayan sido ya tratados o publicados en Internet.

En cuanto a que si el gestor del motor de búsqueda debe considerarse o no “responsable del tratamiento” de los datos personales tratados por dicho motor de búsqueda, recuerda el Tribunal que la Directiva define al responsable como la persona física o jurídica, autoridad….que solo o conjuntamente con otros determine fines y medios del tratamiento de datos personales. Debe considerarse responsable, pues es preciso señalar que sería contrario al objetivo que persigue la Directiva -garantizar una protección eficaz y completa a los interesados-,  si no se avalase  una definición amplia de “responsable”, incluyendo, por tanto en dicho concepto al gestor de un motor de búsqueda. La actividad de los motores de búsqueda, continúa el Tribunal,  desempaña un papel decisivo en la difusión global de dichos datos. La organización y agregación de la información publicada en Internet, efectuada por los motores de búsqueda  para facilitar el acceso a usuarios se lleva a cabo a partir del nombre de la persona física, permitiendo establecer un perfil mas o menos detallado del interesado..

 

Search
Las arañas o motores de búsqueda

Por ello, en la medida en que la actividad de un motor de búsqueda puede afectar significativamente a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, el gestor de este motor, como persona que determina fines y medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, competencias y posibilidades, que se lleve a cabo una protección eficaz y completa de los interesados, en particular de su derecho al respeto a la vida privada. El hecho de que los editores no indiquen a los gestores de motores de búsqueda protocolos tipo “no índex” “robot.txt” o  “noarchive” que señalan  una exclusión total o parcial de dicha información, no libera al gestor de motor de búsqueda de su responsabilidad por el tratamiento de datos personales que lleva a cabo en el marco de la actividad de dicho motor.

De todo lo dicho, la conclusión es que la Segunda Cuestión Prejudicial letras b) y d) del artículo 2 de la Directiva analizada, ha de interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas, según un orden de preferencia determinado, debe calificarse de “tratamiento de datos personales” en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales y, por otro lado el gestor de un motor de búsqueda debe considerarse “responsable” de dicho tratamiento en el sentido del mencionado artículo letra d).

Para adentrarnos en lo que era la Primera Cuestión Prejudicial, pasaremos a otro post, hay cosas que conviene digerirlas despacio, máxime cuando de sopas de letra se trata.

mariagude

 

Derecho al Olvido. Qué dijo Google?

Habíamos dicho en un post anterior que el Sr Pepe reclamó ante la Agencia Española de Protección de Datos para que la Vanguardia, y Google respetaran los derechos en que le ampara la legislación sobre protección de datos –Derecho al Olvido-. La AEPD decide estimar la reclamación frente a Google Spain y frente a Google Inc y al recurrir ante la Audiencia Nacional se defienden del utilizando los argumentos que pasamos a expresar:

Google Spain s.l.

Google Spain
Fotografía seña de Google Spain s.l.

Señala ante la Audiencia Nacional Google Spain S.L., que la Agencia Española de Protección de Datos no puede sancionar a Google por no estar esta sociedad dentro del ámbito territorial de la competencia de la Agencia ni tampoco cela Audiencia y, además porque el contenido es imposible.

La actividad que se enjuicia no se desarrolla en España y no existe elemento de conexión que permita aplicar la L.O.P.D 15/1999 al presente supuesto. Tampoco es aplicable el artículo 4.1.a de la Directiva 95/46/CE de protección de datos personales.

Google Spain aunque es un establecimiento ubicado en España, el tratamiento de datos del caso que nos ocupa, el Sr. Pepe, no tiene lugar en España, no está pues, encuadrado en el “marco de actividades de un establecimiento instalado en territorio español. Google Spain, no tiene intervención alguna en el funcionamiento del buscador, su actividad se ciñe a l a promoción de actividades publicitarias de Google Inc., siendo Google Spain totalmente ajena a la actividad del buscador que se desarrolla fuera de España.

La mera existencia de una filial con actividad económica en España, no es suficiente dado que precisa estar directamente vinculada con el tratamiento de datos.

Señala, por otro lado, que tampoco es aplicable el artículo 3.1.c del Reglamento Español de protección de datos -dicho artículo alude al responsable del tratamiento de datos que no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos,  medios situados en territorio español, salvo que solo sea con fines de tránsito-. Se argumenta así que Google Spain es una entidad cuyo domicilio y centro de actividad está en España, habiéndose dirigido a ella la AEPD en todo momento como responsable del tratamiento de datos. Incurre, además, la Agencia en contradicción, pues al incorporarse el citado precepto del Reglamento español de P.D y alegar que Google Inc se sirve de medios en España para el desarrollo de su actividad, la Agencia está atribuyendo a Google Inc la condición de responsable del tratamiento.

Las “arañas web”, “crawlers” o “robots” no entran ni acceden, ni menos aún, se instalan en el servidor de las páginas web, sino que se limitan a gestionar los equipos del buscador en que están instalados para lograr la conexión con las webs. Las “arañas web” no penetran en el espacio jurídico español, sino que simplemente envían comunicaciones a los sitios web, y en respuesta a ellos las webs envían a los buscadores copias de los contenidos que alojan.

En definitiva, dice Google Spain, e´sta sociedad es un simple agente de Google Inc, que solo se dedica a la promoción de la actividad publicitaria de Google, no teniendo intervención laguna en el funcionamiento del buscador ni en el tratamiento de datos y ni siquiera dispone de medios técnicos que para ello harían falta..

Los servidores que alojan las páginas web no pertenecen a Google, que pertenecen a la responsable de la web de que se trate, o la la empresa que haya contratado para el alojamiento de sus contenidos. Es Google Inc con domicilio en California (U.S.A) la titular del servicio del buscador de Google en Internet (google Search), tanto desde el sitios w.w.w.google.es, como desde w.w.w.google.com y también explota el espacio publicitario que se genera en esas páginas web.

Se extralimita pues la Agencia EPD en sus competencias, vulnerando el derecho internacional, pues Google Spain no ha tenido participación alguna en la adopción de la política de prestación de los servicios del buscador, ni ha participado en su ejecución, no desarrolla ningún tratamiento de datos, sino que se limita a ser un agente comercial.

Se vulneran además, señala Google Spain, artículos del I convenio Europeo de Derechos del Hombre de 1950. La libertad de expresión protegida por el citado Convenio incluye la libertad de comunicar información sin que pueda haber injerencia de autoridad pública y sin consideración de fronteras engloba claramente la actividad del buscador. Esta libertad, continúa, está asociada al Derecho Fundamental a constituir sociedades y asociaciones para llevar a cabo la libertad de expresión y comunicación, de acuerdo con la Jurisprudencia del Tribunal Europeo de Derechos Humanos.

Se indica, además, que el GT29 (Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE) ha reconocido que el tratamiento que realiza el buscador es secundario, pues depende de la decisión de un tratamiento principal, que realiza la página web que publica la información. Existen en la actualidad, sistemas eficaces simples y gratuitos que permiten a los responsables de sitios web controlar el alcance de la publicación. Google Inc respeta las instrucciones de no indexación  de contenidos que establecen los responsables de sitios web. Carece de sentido, que la Agencia Española de Protección de Datos afirme que el servicio de búsqueda en Internet vulnera la Ley Orgánica de Protección de Datos, o incluso la Dignidad Humana, pero, a s u vez,  permita a esas entidades que continúen publicando los datos de forma incontrolada e ilimitada.

Google Inc

Google Inc
Sede de Google

Google Inc argumentó en primer lugar que el hecho de que Google Inc haya designado a Google Spain s.l. como representante en España, a efectos de cumplir deberes legales derivados del tratamiento de datos personales en un fichero concreto inscrito por Google Inc en la AEPD, no puede en modo alguno considerarse como una designación de esa sociedad como representante en cualquier otro procedimiento tramitado por la Agencia.

No es aplicable la L.O.P.D. al tratamiento de información en los índices del buscador de Google, pues la Agencia aplica indistintamente criterios que son incompatibles entre sí. Al aludir, por un lado, a los responsables del tratamiento en el territorio español y, por otro, a los responsables del tratamiento que no tengan establecimiento en la UE, como recoge el GT29 al informar sobre cual es la ley aplicable (wp 179) de 16 de Diciembre del 2010.

En cualquier caso, tampoco sería aplicable la L.O.P.D. ya que la información necesaria para el funcionamiento del buscador la recoge y la proceso exclusivamente Google Inc, sociedad que no está establecida en el territorio de la Unión Europea, sin servirse en ningún caso de medios situados en España y sin intervención alguna de Google Spain s.l..

No puede considerarse en modo alguno medios usados en España por Google Inc los servidores que alojan la información a la que los equipos de Google puedan tener acceso. Ni la obtención ni el procedimiento de la información que se incorpora a los índices del buscador tiene nada que ver  con las actividades de Google Spain s.l.. Ésta compañía es un mero agente que promueve la venta de los productos y servicios que presta Google Ireland Ltd.

Es ilegal la orden de la AEPD, de eliminar del buscador  a contenidos lícitos. De acuerdo con la doctrina del GT29, las empresas que operan buscadores de Internet, no son responsables de los datos que alojan, siempre que se limiten a ser un reflejo actualizado de contenidos existente. Las responsabilidad por el contenido recae sobre los editores de la información. Informe WP148.

Antes de que se pronunciase el TJEU hubo rios de tinta comentando el Derecho al Olvido, antes del verano del 2013, los Abogados Generales se inclinaban a dar la razón a Google, luego…veremos lo que sucedió…

mariagude

Derecho al Olvido. Origen

IMG_6820-3
Derecho Olvido

Origen Derecho Olvido

Por aquello de la propia protección de datos, diré que el Sr. Pepe, en su día, concretamente en Noviembre del 2009, ejercitó ante el periódico “La Vanguardia”, el Derecho   de Oposición al tratamiento de sus datos personales. Señalaba en su reclamación que al “pinchar” su nombre en el buscador de “Google” aparecía la referencia a una página del periódico citado con enlaces a una subasta de inmuebles relacionada con un embargo derivado de unas deudas con la Seguridad Social, señalando que dicho embargo estaba totalmente solucionado y resuelto desde hacía ya años, careciendo, por tanto, de relevancia en el momento de dicha reclamación.

La Vanguardia le contesta que entiende no debe cancelar sus datos, ya que la publicación en su día realizada, lo fue por Orden del Ministerio de Trabajo y Asuntos Sociales, mediante la Secretaría de Estado de la Seguridad Social. En Febrero del 2010 el Sr. Pepe remitió escrito a Google Spain S.L. ejercitando su Derecho de Oposición indicando que al introducir su nombre y apellidos los resultados de búsqueda le llevaba a los links de La Vanguardia. Google Spain le remite a la empresa Google Inc. con sede social en California (EEUU), señalando que la empresa que presta el servido de búsqueda en Internet, todo ello sin perjuicio de informarle que para ejercer el derecho de Cancelación u Oposición sobre sus datos personales debería dirigirse al webmaster de la pagina web que publicó esos datos.

Ante las respuestas de ambos, La Vanguardia y Google Spin s.l., el Sr. Pepe, se dirige a la Agencia española de Protección de Datos (AEPD) y le solicita que le exija al responsable de la publicación de La Vanguardia que elimine o modifique la publicación, para que no apareciesen sus datos personales, o bien se utilizasen las herramientas por los buscadores para proteger su información personal. Solicitando, además, que exigiese a Google España o Google Inc, para que elimine o bien oculte sus datos para que dejen de incluirse en los resultados de búsqueda y dejen de estar ligados a los links de La Vanguardia.

La AEPD por resolución de 30 de Julio del 2010 estima la reclamación formulada por el Sr. Pepe contra Google Spain y contra Google Inc, instándoles a fin de que adopten las medidas necesarias para retirar los datos de su índice imposibilitando el acceso futuro a los mismos. La notificación se remite al domicilio de Google Spain, recibiendo ésta la comunicación a ella dirigida, pero rechazando la notificación de Google Inc

Desestima la reclamación hecha frente a La Vanguardia por entender que la denegación de ésta era correcta, ya que la publicación estaba legalmente justificada, siendo su fin dar la máxima publicadas a la subasta del bien inmueble que iba a subastarse por impago de cuotas a la Seguridad Social.

Google Spain y Google Inc recurren ante la Audiencia Nacional.

Cuestiones previas

En la Legislación española de protección de Datos, L.O. 16/1999, que traspasa al derecho español la Directiva sobre protección de Datos 95/46 y el Reglamento que la desarrolla establecen los denominados derechos ARCO, al que la Jurisprudencia vino perfilando y se añade otro, no recogido expresamente en dicha normativa, el derecho al Olvido al que se viene haciendo desde hace ya tiempo alusión y que se recoge en la nueva normativa de protección de Datos de la unión Europea, un Reglamento, que ha entrado hace pocos días en vigor.

Los Derechos de Acceso, Rectificación, Cancelación y Oposición, venían recogidos, como se indica en la legislación española, siendo el primero de ellos, el derecho qque tiene el interesado para solicitar y obtener gratuitamente información de sus datos personales sometidos a tratamiento; el derecho de Rectificación, reconoce al interesado para que se dirija al responsable del tratamiento de datos a fin de que los rectifique caso de ser erróneos o incompletos y se proceda a su Cancelación cuando no se ajusten a la ley y particularmente caneo resulten inexactos o incompletos.

La Cancelación da lugar al bloqueo de los datos personales.

El derecho de Oposición es el que tiene el interesado para exigir que se lleve a cabo el tratamiento de sus datos personales o se cese en los mismos, cuando concurre motivos legítimos y fundados y en las condiciones que la ley determina.

Señalar asimismo que el Reglamento Español de Protección de Datos realiza de forma exhaustiva la definición de los conceptos que se utilizan en la legislación de protección de datos, concretando quien es el responsable de los datos, que es un fichero, qué es la cesión de datos, el consentimiento, etc.

A ello cabe añadir que tanto la AEPD como la Jurisprudencia de los diversos Tribunales, han venido matizando los conceptos jurídicos de protección de datos, así como su interpretación a la luz de los principios que inspira la protección de datos.

datos personales
Entre datos personales e información general

Cuestiones prejudiciales

Ante las diversa definiciones, matizadas e interpretadas por los Tribunales de Justicia y los nuevos conceptos dentro del ámbito de Internet, problemas que pueden, además plantearse de qué legislación aplicar cuando una empresa radica fuera de la Unión y tiene, por tanto, otra normativa de protección de Datos, así como cuestiones múltiples en todos estos aspectos, tratado el tema también dentro del Grupo de Trabajo 29 (GT29); La Audiencia Nacional decide plantear, ante el Recurso formulado por Google Inc y Google Spain s.l. frente a la Resolución dictada por la AEPD, mediante auto de 27 de Febrero del 2012, diversas cuestiones al Tribunal de Justicia de la Unión Europea para que enmarque los hechos dentro de la Directiva 95/46/CE, de protección de datos de carácter personal y así poder resolverse por la Audiencia Nacional el proceso, conforme a la normativa Comunitaria.

En cuanto a la Aplicación Territorial de la Directiva 95/46/CE.-
¿Debe interpretarse que existe un “establecimiento” en los términos descritos en el artículo 4.1.a de la Directiva 95/46/CE, cuando concurra alguno o algunos de los siguientes supuestos:

  • Cuando la empresa proveedora del motor de búsqueda crea en un Estado Miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes de ese Estado.
  • Cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa
  • Cuando la oficina o filial establecida en un Estado Miembro traslada a la empresa matriz, radicada fuera de la Unión Europea, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto al Derecho de protección de datos personales, aún cuando dicha colaboración se realice de forma voluntaria.

¿Debe interpretarse el artículo 4.1.c de la Directiva 95/46/CE en el sentido de que existe un “recurso a medios situados en el territorio de dicho Estado miembro”:

  • Cuando un buscador utilice arañas o robots para localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado miembro.
  • Cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y los resultados en función del idioma de ese Estado miembro.

En cuanto a la actividad de los Buscadores, como proveedores de contenido.-

¿Puede considerarse como un “recurso a medios”, en los términos del artículo 4.1.c de la Directiva 95/46/CE el almacenamiento temporal de la información indexada por los buscadores de Internet?

Si la respuesta es afirmativa ¿Puede entenderse que éste criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde almacena estos índices alegando razones competitivas?

¿Debe interpretarse una actividad como la descrita comprendida en el concepto de “tratamiento de datos”, contenido en el artículo 2.b de la Directiva?

Si así fuere,

¿Debe interpretarse el artículo 2.d de la Directiva, en el sentido de considerar que la empresa que gestiona el buscador Google es responsable del tratamiento de datos personales contenidos en la pagina web que indexa?

Si la respuesta fuera afirmativa,

¿Puede la autoridad Nacional de control de datos (en este caso AEPD), tuteando los derechos contenidos en el artículo 12.b y 14.a de la Directiva, requerir directamente al buscador de la empresa Google para exigirle la retirada de sus índices de una información publicada por terceros,sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información?

Si fuese afirmativa,

¿Se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene los datos personales se haya publicado lícitamente por terceros y se mantenga en la página web de origen?

En cuanto al alcance del Derecho de Cancelación y Oposición se plantean las siguientes cuestiones.-

¿Debe interpretarse que los derechos de supresión y Bloqueo de los datos, regulados en el artículo 12.b y el de Oposición, regulado en el artículo 14.a de la Directiva comprenden que el interesado pueda dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona, publicada en páginas web de tercero,amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidad, aunque se trate de una información lícitamente publicada por terceros?

Estas cuestiones han sido todas resueltas por el TJEU, que recogeremos en otro momento, pero antes aludiremos a la oposición que en su día hizo Google y algún comentario al respecto, para dejar encuadrado el Derecho al Olvido, que está ahora Recogido en el nuevo Reglamento, que recientemente, como he dicho ha entrado en vigor.

justicia europa
Legislación de Datos personale UE

mariagude

Protección Datos nueva normativa

Antecedentes y propuesta

Actualizar y modernizar la Directiva 95/46/CE sobre Protección de Datos personales y la Decisión Marco del 2008 sobre Cooperación Judicial y policial es una tarea que viene llevando a cabo la Comisión para lo que ha venido en hacer una, digamos, doble propuesta:

Un REGLAMENTO para la protección de datos personales de las personas físicas y la libre circulación de aquellos y

Una DIRECTIVA de protección de datos de las personas físicas, en cuanto al tratamiento de datos personales por las autoridades competentes a efectos de Prevención, Investigación, Detención y Enjuiciamiento de infracciones penales, su ejecución y su libre circulación.

Con el avance  estratosférico, diríamos, que impone la evolución tecnológica, los retos que se vienen planteando demandan cambios que comprendan tal avance y la recogida de los mismos. La magnitud e intercambio de datos y su recogida desbordan toda previsión y su utilización se puede hacer a una escala sin precedentes en la Historia de la Humanidad.

La regulación que pronto entrará en vigor es de suma importancia para el desenvolvimiento económico y para la vida social. Entra de lleno en la Agenda Digital para Europa, encuadrada en la Estrategia 2020.

Como es sabido la protección de datos de carácter personal está introducida en el Tratado de Lisboa, en el artículo 16 del Tratado de Funcionamiento de la unión Europea. Se introduce una base jurídica específica para adoptar normas concernientes a la protección de datos de carácter personal. También en el artículo 8 de la Carta de los Derechos Fundamentales de la UE, que consagra como Derecho Fundamental la protección de datos de carácter personal.

Para la consecución de la normativa sobre la protección de datos próxima a su entrada en vigor se ha llevado a cabo una Consulta y se ha efectuado una Evaluación de Impacto.

La gran mayoría mostró su acuerdo en que los principios generales siguen siendo válido, se precisa adaptar el marco vigente a los retos del rapidísimo desarrollo de la tecnología y la globalización; la fragmentación de la normativa sobre protección de datos personales en la Unión ha sido objeto de duras críticas, solicitándose mayor seguridad jurídica y armonización de normas. La complejidad de las normas que regulan las Transferencias Internacionales de Datos personales, constituye un impedimento sustancial en su funcionamiento, ya que resulta habitual transferir datos personales en toda la UE y de ésta al resto de países del globo.

La Evaluación de Impacto llevada a cabo, señala tres puntos estratégicos:

-Mejorar la dimensión del mercado interior de la protección de datos personales.

– Hacer mas efectivo el ejercicio de los derechos de protección datos para  los ciudadanos.

– Crear un marco general y coherente que abarque todos los ámbitos de la competencia de la Unión, incluyendo la cooperación policial y judicial en materia de penal.

De acuerdo con la Evaluación de Impacto, habrá de llegarse a mejoras considerables en materia de seguridad jurídica para los responsables del tratamiento de los datos; reducir la carga administrativa; insistir en la coherencia en la aplicación de la protección de datos personales en toda la Unión; y la posibilidad efectiva para que las personas físicas puedan desenvolver los derechos (ARCO); y la incidencia en pequeñas y medianas empresas.

DataPimages-1

Elementos Jurídicos

Como ya hemos indicado, la Propuesta se basa en el artículo 16 del Tratado de Funcionamiento de la Unión Europea, que es la nueva base jurídica para adoptar normas sobre protección de datos de carácter personal, introducida por el Tratado de Lisboa.

Es considerado el Reglamento como instrumento jurídico más apropiado para definir el marco de la protección de los datos personales, dado quemes una norma jurídica de Derecho comunitario con alcance general y eficacia directa. La aplicabilidad directa (artículo 288 del TFUE) reducirá la fragmentación jurídica, ofreciendo mayor seguridad, mejorando, al mismo tiempo, la protección de Derechos Fundamentales.

Los principios de Subsidiariedad y Proporcionalidad   rigen, como no podía ser menos, también en esta materia. De acuerdo con el primero de los citados (artículo 5.3 del TFUE), la Unión solo puede intervenir en caso de que los objetivos perseguidos no puedan ser alcanzados de modo suficiente por los Estados miembros por sí solos. El análisis de subsidiariedad hecho,  indica la necesidad de adoptar  iniciativas a escala de la Unión, por las siguientes razones.

-Al objeto de fomentar el mismo nivel de protección de carácter personal consagrado en el artículo de la Carta de Derechos Fundamentales de la Unión. Su ausencia provocaría distintos niveles de protección en los distintos países y afectaría a los flujos fronterizos.

-Las iniciativas a nivel de la Unión permiten más eficacia y mayor eficiencia para las acciones individuales que puedan llevar a cabo los Estados miembros.

-Los Estados miembros no pueden solucionar por sí solos los problemas de fragmentación detectados, por lo que se precisa la articulación de un Marco Armonizado.

En el  ámbito de los Derechos Fundamentales hemos de señalar que el Derecho de Protección de Datos de carácter Personal también viene recogido en el Articulo 8 del C.E.D.H (Convenio Europeo de Derechos Humanos).

El Tribunal de Justicia de la UE ha manifestado a través de reiterada y unánime Jurisprudencia que el Derecho a la Protección de Datos de carácter personal no es un derecho absoluto, si no que ha de considerarse en relación con su ficción en la Sociedad. En consonancia con el artículo 52.1 de la Carta de Derechos Fundamentales pueden introducirse limitaciones SIEMPRE que estén establecidas por ley; respeten el PRINCIPIO DE PROPORCIONALIDAD, sean necesarias y respondan efectivamente a objetivos de e interés general reconocidos por la Unión.

El Derecho a la Protección de Datos de carácter Personal está íntimamente ligado y relacionado con la vida privada y familiar recogido en el artículo 7 de la Carta de Derechos Europea, que se viene reflejando desde su instauración por la Directiva 95/46/CE, al señalar que los Estados miembros garantizarán la Protección de la libertades y de los Derechos Fundamentales de las personas físicas, en particular, el dDerecho a la Intimidad, en lo que respecta al tratamiento de datos de carácter personal. Afecta además a otros Derechos Fundamentales, como pueden ser el de Libertad de empresa, el de Propiedad y Propiedad Intelectual, de la Salud, de Acceso a Documentos, de Tutela Judicial efectiva, de Derecho a un Juez imparcial.

De ahí la importancia de su regulación con perspectiva de Derecho Fundamental y su propuesta como Reglamento, y como Directiva en el aspecto del tratamiento por autoridades competentes en el ámbito de la colaboración Penal.

mariagude

 

 

 

 

 

 

 

Protección de Datos Judiciales

Antecedentes

La Ley Orgánica del Poder Judicial, 7/2015 de 21 de Julio, que modifican Ley Orgánica 6/85 de 1 de Julio, dice su Exposición de Motivos, entre otras, que hay que adaptar la Justicia a los  tiempos, a la protección de Datos, a la sociedad de la información, al Tribunal Europeo de Derechos Humanos…en fins…a los tiempos que vivimos.

Amén de dedicar gran parte de su articulado a aspectos burocráticos y de funciones de quienes administran Justicia, y a normas de competencia objetiva e internacional, se centra en el encaje de la Jurisdicción Militar dentro del esquema del poder judicial, en dar salida a la jurisprudencia emanada del Tribunal Europeo de Derechos Humanos, articulando recursos que se basen el las Resoluciones de dicho Tribunal,Refutar violencia de género e incardinar los procesos dentro de los Tribunales que tratan esta materia, tales como la revelación de secretos, injurias..etc; Plenos para establecimiento de criterios; eliminar la responsabilidad cidivil directa de jueces y magistrados, siguiendo el criterio de los demás funcionarios públicos; Vinculación de jueces y Tribunales al derecho emanado de la UE y resaltar que la función nomofiláctica ( Se dice especialmente de la función o cometido de ciertos tribunales que, al tener atribuida la competencia de definir el derecho objetivo, atienden en sus sentencias más a esta finalidad que a la cuestión concreta que enfrenta a las partes del proceso), es lo cierto que en su Capítulo I BIS, del Título III, Libro III regula la protección de datos de carácter personal en el ámbito de la Administración de Justicia, cuestión en la que nos vamos a centrar.

El legislador ha tenido a bien establecer toda la protección de datos judicial en el artículo 236, plasmando la añoranza de viejos latinajos y así empieza por el 236 bis, seguido del ter, quáter y así hasta el decies; fórmula, por otra parte, que se viene utilizando en toda esta legislatura.Proteger Datos

Dicho cuánto antecede, pasemos a ver que dice la Reforma de la ley orgánica del poder judicial de la protección de datos en aquel ámbito.

Tratamiento de Datos

El tratamiento de datos de carácter personal siempre ha de someterse a la Ley Orgánica de Protección de Datos, aunque se establezcan ciertas especialidades. Empieza la Reforma diferenciando entre el tratamiento de datos de carácter personal en el ámbito propiamente Jurisdiccional o no Jurisdiccional el tratamiento de los primeros se limita a los datos en tanto en cuanto se encuentren incorporados a los pleitos de que conozcan  y su finalidad se relacione directamente con el ejercicio jurisdiccional, debido los Juzgados y Tribunales el pleno respeto a las garantías y derechos establecidos en la normativa de protección de datos de carácter personal; el de los segundos (No Jurisdiccionales) se corresponde con el tratamiento de datos de carácter personal que se realiza dentro de la gestión de la Oficina Judicial, estos se someterán a los dispuesto a la Ley Orgánica 15/1999 de protección de datos y su normativa de desarrollo, pudiendo el Consejo General del Poder Judicial prestar a la Agencia Española de Protección de Datos la colaboración que precise, pudiendo, además, adoptar medidas reglamentarias precisas para garantizar, en el cumplimiento del tratamiento de datos con fines no jurisdiccionales, las medidas de seguridad establecidas en la normativa de protección de datos.

Para el tratamiento de datos de carácter personal en el ámbito jurisdiccional y de acuerdo con lo dispuesto en el artículo 11.2 de la L.O.P.D, no será necesario el consentimiento del interesado para que los Tribunales procedan al tratamiento en el ejercicio de dicha potestad, ya sean los datos  facilitados por las partes o recabados por el propio Tribunal. Si los datos no tienen fines jurisdiccionales, se estará a lo dispuesto en la L.O.P.D. el tratamiento de datos personales no jurisdiccionales está sujeto al consentimiento de la L.O.P.D

El tratamiento de los datos de carácter personal  a que hayan tenido acceso las partes, por razón del proceso, está sujeto a la normativa sobre protección de datos.

Ficheros

Habiendo pues, ficheros jurisdiccionales  y no jurisdiccionales.

Los ficheros de datos de carácter personal del consejo General del Poder Judicial y de los órganos que lo integran serán  creados, modificados o suprimidos por acuerdo del Consejo General del Poder Judicial, adoptado a propuesta de la Sala de Gobierno del Tribunal Supremo, de la Audiencia Nacional o del Tribunal Superior de Justicia de las Comunidades Autónomas.. Se ajustará a lo dispuesto en la legislación vigente en materia de protección de datos y se publicará en el BOE, o, en su caso, len los Diarios de las Comunidades Autónomas. Publicado el Acuerdo el consejo dará traslado del mismo para sus inscripción en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos.

Responsable de los Ficheros

El Responsable de los ficheros jurisdiccionales es el órgano jurisdiccional  ante el que se tramiten los procesos cuyos datos se incorporen al fichero, y dentro de él decidirá quien tenga la competencia atribuida por la normativa vigente, según la solicitud que se reciba del ciudadano. De los ficheros No Jurisdiccionales será Responsable la oficina judicial con la que se relacionen los datos que laos mismos se incorporen.

Todo ello se entiende, sin perjuicio de la responsabilidad disciplinaria que pudiera corresponder en cuanto a comisión de infracciones en materia de protección de datos de carácter personal.

El Letrado de la Administración de Justicia nombrado al efecto velará por la adopción de las medidas que impidan la alteración, pérdida, tratamiento o acceso no deseado a los datos de carácter personal; incorporados a ficheros tanto jurisdiccionales como no, ostentando la condición de Responsable de seguridad a los efectos previstos en la normativa de protección de datos.

Los Jueces, Tribunales, y Letrados de la Administración de Justicia (antes Secretarios Judiciales) podrán adoptar medidas precisas para la supresión de los datos personales de los documentos a los que puedan tener acceso las partes durante la tramitación del proceso, siempre que no sean necesarios para garantizar el derecho a la tutela judicial efectiva.

El acceso al texto de la Sentencias, a determinados extremos de las mismas, o a otras resoluciones dictadas en el seno del proceso, sólo podrá llevarse a cabo previa disociación de los datos de carácter personal que los mismos contuvieran, con respeto al derecho a la intimidad.

Los derechos ARCO

Los Jueces y Tribunales, adoptarán las medidas necesarias para el ejercicio de derecho de Acceso de las partes a los datos personales que pudieran contener las Sentencias y demás resoluciones del proceso.

Las solicitudes del ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición en relación a datos tratados con fines jurisdiccionales, se tramitarán conforme a las normas que resulten de aplicación al proceso en que los datos fueron recabados, no siendo de aplicación la legislación en materia de protección de datos..

los datos sometidos a tratamiento con fines No jurisdiccionales, los interesados podrán ejercitar sus derechos de acceso, rectificación, cancelación y oposición en los términos establecidos en la vigente normativa de protección de datos de carácter personal.

Fine

Las Competencias que la Ley 15/99 de Protección de Datos, atribuye a la Agencia Española de Protección de datos, serán ejercidas, respecto de los tratamientos efectuados con fines jurisdiccionales y los ficheros de esta naturaleza, por el Consejo General del Poder Judicial. Los llevados a cabo con fines no jurisdicciones y sus correspondientes ficheros, quedan sometidos a la Agencia Española de P.D.

Deja bastante que desear la redacción y sistemática de esta regulación, quedando serias dudas en algunos aspectos y no aclarando, sino, a veces, mezclando inadecuadamente conceptos que deberían estar claramente definidos.

En el Nonies, apartado 3 de ese artículo 236, y en cuanto a la realización de actuaciones de investigación relacionadas con la posible comisión de un a infracción en materia de protección de datos, no deja claro quien es la Autoridad competente, para que se lleve a cabo la tramitación del procedimiento.

mariagude

Protección de Datos, Principios.

Los principios que inspiran la Protección de Datos, están recogidos en  La Ley Orgánica de Protección de Datos, 15/99,   en su Titulo II, artículos 4 a 12.

PDPrincipios

Los datos que te identifican son aquellos que directa o indirectamente te conciernen…el nombre, los apellidos, la huella digital, fecha de nacimiento, dirección postal o electrónica, número de teléfono, identificación fiscal, matrícula del coche, una fotografía…….El Derecho a la protección de Datos reconoce a todo ciudadano la facultad de controlar sus datos personales y disponer o decidir acerca de ellos.Su Tratamiento exige:

Calidad

Los datos han de ser adecuados, pertinentes y no excesivos, en relación con su ámbito y finalidad; han de ser exactos y estar actualizados; su conservación no puede ir más allá de un periodo absolutamente necesario, debiendo cancelarse cuando dejen de ser precisos. Los datos personales deben almacenarse de manera que permitan el Derecho de Acceso.

Información

Los interesados a los que se le soliciten datos personales han de ser previamente informados acerca de la existencia del tratamiento de datos. De si las respuestas a alas preguntas que se le planteen tienen carácter obligatorio o facultativo. De las consecuencias de suministrar los datos o su negativa a hacerlo. De cómo pueden efectuar los Derechos de  Acceso, Rectificación, Cancelación y Oposición. También ha de indicarse al interesado la identidad y dirección del responsable del tratamiento de datos o de su representante.

En el supuesto de que en un fichero existan datos personales que no hayan sido obtenidos del interesado, dentro de los tres meses siguientes a su registro, debe el interesado ser informado de forma expresa. Solo cuando la Ley así lo  prevea, o cuando el tratamiento tenga fines Históricos, Estadísticos o científicos, o cuando la información al interesado exija esfuerzos desproporcionados, a criterio de la AEPD (Agencia Española de Protección de Datos).

Se informará, asimismo, al interesado si los datos proceden de fuentes accesibles al público y su destino lo sea para publicidad o prospección comercial.

Consentimiento

El interesado dará siempre su consentimiento inequívoco al tratamiento de datos personales, salvo que la Ley disponga otra cosa. Se excepciona el consentimiento cuando los datos se recojan para el ejercicio de funciones propias de la Administración en el campo de su competencia; cuando se refiere a las partes de un contrato de relación negocial, laboral o administrativa; cuando tenga como finalidad proteger el interés vital del interesado, o cuando los datos figuren en fuentes accesibles al público.

El consentimiento puede ser revocado con justa causa.

Para los supuestos en que no sea necesario el consentimiento del interesado para el tratamiento de datos de carácter personal, éste podrá oponerse a su tratamiento cuando tenga motivos fundados y legítimos relativos a una situación personal. En este caso, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

Datos especialmente protegidos

Lo son los que revelan ideología, afiliación, religión o creencias. Las asociaciones, fundaciones u otras organizaciones que tengan finalidad política, religiosa o sindical, podrán tener datos relativos a sus asociados, pero para su Cesión, precisarán siempre del consentimiento expreso del afectado.

Lo son también, los datos referentes a origen racial, a la salud y a la vida sexual.

Los datos concernientes a la comisión de infracciones penales o administrativas, solo pueden ser incluidos en ficheros de las Administraciones Públicas competentes y en los supuestos previstos en la normativa.

Los datos personales de salud y vida sexual podrán ser tratados cuando sea necesario para la prevención o diagnósticos médicos, prestación de asistencia sanitaria o gestión de servicios sanitarios, siempre que el tratamiento de dichos datos se realice por un profesional sanitario sujeto a secreto profesional o persona con obligación equivalente al secreto.

También, si preciso fuere, para salvaguardar el interés vital del interesado u otra persona si ésta está incapacitada para dar su consentimiento. Los datos relativos a la Salud se rigen por lo dispuesto en la Legislación Sanitaria.

Seguridad

El responsable del fichero y el encargado del tratamiento han de adoptar las medidas precisas a fin de evitar la alteración de los datos, su pérdida o acceso no autorizado. Los ficheros han de reunir las condiciones que reglamentariamente se les exija respecto a su integridad y seguridad.

El responsable del fichero y quienes intervengan en cualquier fase del mismo, están obligados a guardar Secreto sobre los datos personales y tienen el deber de guardarlos. A Los datos de carácter personal solo puede  Cederse a un tercero para que éste cumpla sus funciones, siempre con consentimiento del interesado. Se excepciona de este consentimiento cuando la Ley así lo autorice, cuando su recogida proceda de fuentes accesibles al público, cuando responda a la libre y legítima aceptación de una relación jurídica; cuando tenga por destinatario al Defensor del Pueblo,, al Ministerio Fiscal o a Jueces y Tribunales, al Tribunal de Cuentas; cuando se efectúe entre administraciones y tenga por finalidad fines Históricos, Estadísticos o Científicos; y cuando los datos relativos a la salud sean precisos para solucionar  una urgencia que requiera acceder a un fichero, paras estudios Epidemiológicos de acuerdo con la legislación Sanitaria.

El consentimiento será nulo, cuando la información que se facilite al interesado no le permita conocer cual es la finalidad a que van a ser destinados esos datos.

El Consentimiento para la comunicación de datos de carácter personal tiene carácter Revocable.

Sabes si tus datos están protegidos?. Ojo al dato

mariagude