Derecho al Olvido. Qué dijo Google?

Habíamos dicho en un post anterior que el Sr Pepe reclamó ante la Agencia Española de Protección de Datos para que la Vanguardia, y Google respetaran los derechos en que le ampara la legislación sobre protección de datos –Derecho al Olvido-. La AEPD decide estimar la reclamación frente a Google Spain y frente a Google Inc y al recurrir ante la Audiencia Nacional se defienden del utilizando los argumentos que pasamos a expresar:

Google Spain s.l.

Google Spain
Fotografía seña de Google Spain s.l.

Señala ante la Audiencia Nacional Google Spain S.L., que la Agencia Española de Protección de Datos no puede sancionar a Google por no estar esta sociedad dentro del ámbito territorial de la competencia de la Agencia ni tampoco cela Audiencia y, además porque el contenido es imposible.

La actividad que se enjuicia no se desarrolla en España y no existe elemento de conexión que permita aplicar la L.O.P.D 15/1999 al presente supuesto. Tampoco es aplicable el artículo 4.1.a de la Directiva 95/46/CE de protección de datos personales.

Google Spain aunque es un establecimiento ubicado en España, el tratamiento de datos del caso que nos ocupa, el Sr. Pepe, no tiene lugar en España, no está pues, encuadrado en el “marco de actividades de un establecimiento instalado en territorio español. Google Spain, no tiene intervención alguna en el funcionamiento del buscador, su actividad se ciñe a l a promoción de actividades publicitarias de Google Inc., siendo Google Spain totalmente ajena a la actividad del buscador que se desarrolla fuera de España.

La mera existencia de una filial con actividad económica en España, no es suficiente dado que precisa estar directamente vinculada con el tratamiento de datos.

Señala, por otro lado, que tampoco es aplicable el artículo 3.1.c del Reglamento Español de protección de datos -dicho artículo alude al responsable del tratamiento de datos que no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos,  medios situados en territorio español, salvo que solo sea con fines de tránsito-. Se argumenta así que Google Spain es una entidad cuyo domicilio y centro de actividad está en España, habiéndose dirigido a ella la AEPD en todo momento como responsable del tratamiento de datos. Incurre, además, la Agencia en contradicción, pues al incorporarse el citado precepto del Reglamento español de P.D y alegar que Google Inc se sirve de medios en España para el desarrollo de su actividad, la Agencia está atribuyendo a Google Inc la condición de responsable del tratamiento.

Las “arañas web”, “crawlers” o “robots” no entran ni acceden, ni menos aún, se instalan en el servidor de las páginas web, sino que se limitan a gestionar los equipos del buscador en que están instalados para lograr la conexión con las webs. Las “arañas web” no penetran en el espacio jurídico español, sino que simplemente envían comunicaciones a los sitios web, y en respuesta a ellos las webs envían a los buscadores copias de los contenidos que alojan.

En definitiva, dice Google Spain, e´sta sociedad es un simple agente de Google Inc, que solo se dedica a la promoción de la actividad publicitaria de Google, no teniendo intervención laguna en el funcionamiento del buscador ni en el tratamiento de datos y ni siquiera dispone de medios técnicos que para ello harían falta..

Los servidores que alojan las páginas web no pertenecen a Google, que pertenecen a la responsable de la web de que se trate, o la la empresa que haya contratado para el alojamiento de sus contenidos. Es Google Inc con domicilio en California (U.S.A) la titular del servicio del buscador de Google en Internet (google Search), tanto desde el sitios w.w.w.google.es, como desde w.w.w.google.com y también explota el espacio publicitario que se genera en esas páginas web.

Se extralimita pues la Agencia EPD en sus competencias, vulnerando el derecho internacional, pues Google Spain no ha tenido participación alguna en la adopción de la política de prestación de los servicios del buscador, ni ha participado en su ejecución, no desarrolla ningún tratamiento de datos, sino que se limita a ser un agente comercial.

Se vulneran además, señala Google Spain, artículos del I convenio Europeo de Derechos del Hombre de 1950. La libertad de expresión protegida por el citado Convenio incluye la libertad de comunicar información sin que pueda haber injerencia de autoridad pública y sin consideración de fronteras engloba claramente la actividad del buscador. Esta libertad, continúa, está asociada al Derecho Fundamental a constituir sociedades y asociaciones para llevar a cabo la libertad de expresión y comunicación, de acuerdo con la Jurisprudencia del Tribunal Europeo de Derechos Humanos.

Se indica, además, que el GT29 (Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE) ha reconocido que el tratamiento que realiza el buscador es secundario, pues depende de la decisión de un tratamiento principal, que realiza la página web que publica la información. Existen en la actualidad, sistemas eficaces simples y gratuitos que permiten a los responsables de sitios web controlar el alcance de la publicación. Google Inc respeta las instrucciones de no indexación  de contenidos que establecen los responsables de sitios web. Carece de sentido, que la Agencia Española de Protección de Datos afirme que el servicio de búsqueda en Internet vulnera la Ley Orgánica de Protección de Datos, o incluso la Dignidad Humana, pero, a s u vez,  permita a esas entidades que continúen publicando los datos de forma incontrolada e ilimitada.

Google Inc

Google Inc
Sede de Google

Google Inc argumentó en primer lugar que el hecho de que Google Inc haya designado a Google Spain s.l. como representante en España, a efectos de cumplir deberes legales derivados del tratamiento de datos personales en un fichero concreto inscrito por Google Inc en la AEPD, no puede en modo alguno considerarse como una designación de esa sociedad como representante en cualquier otro procedimiento tramitado por la Agencia.

No es aplicable la L.O.P.D. al tratamiento de información en los índices del buscador de Google, pues la Agencia aplica indistintamente criterios que son incompatibles entre sí. Al aludir, por un lado, a los responsables del tratamiento en el territorio español y, por otro, a los responsables del tratamiento que no tengan establecimiento en la UE, como recoge el GT29 al informar sobre cual es la ley aplicable (wp 179) de 16 de Diciembre del 2010.

En cualquier caso, tampoco sería aplicable la L.O.P.D. ya que la información necesaria para el funcionamiento del buscador la recoge y la proceso exclusivamente Google Inc, sociedad que no está establecida en el territorio de la Unión Europea, sin servirse en ningún caso de medios situados en España y sin intervención alguna de Google Spain s.l..

No puede considerarse en modo alguno medios usados en España por Google Inc los servidores que alojan la información a la que los equipos de Google puedan tener acceso. Ni la obtención ni el procedimiento de la información que se incorpora a los índices del buscador tiene nada que ver  con las actividades de Google Spain s.l.. Ésta compañía es un mero agente que promueve la venta de los productos y servicios que presta Google Ireland Ltd.

Es ilegal la orden de la AEPD, de eliminar del buscador  a contenidos lícitos. De acuerdo con la doctrina del GT29, las empresas que operan buscadores de Internet, no son responsables de los datos que alojan, siempre que se limiten a ser un reflejo actualizado de contenidos existente. Las responsabilidad por el contenido recae sobre los editores de la información. Informe WP148.

Antes de que se pronunciase el TJEU hubo rios de tinta comentando el Derecho al Olvido, antes del verano del 2013, los Abogados Generales se inclinaban a dar la razón a Google, luego…veremos lo que sucedió…

mariagude

Anuncios

Protección Datos nueva normativa

Antecedentes y propuesta

Actualizar y modernizar la Directiva 95/46/CE sobre Protección de Datos personales y la Decisión Marco del 2008 sobre Cooperación Judicial y policial es una tarea que viene llevando a cabo la Comisión para lo que ha venido en hacer una, digamos, doble propuesta:

Un REGLAMENTO para la protección de datos personales de las personas físicas y la libre circulación de aquellos y

Una DIRECTIVA de protección de datos de las personas físicas, en cuanto al tratamiento de datos personales por las autoridades competentes a efectos de Prevención, Investigación, Detención y Enjuiciamiento de infracciones penales, su ejecución y su libre circulación.

Con el avance  estratosférico, diríamos, que impone la evolución tecnológica, los retos que se vienen planteando demandan cambios que comprendan tal avance y la recogida de los mismos. La magnitud e intercambio de datos y su recogida desbordan toda previsión y su utilización se puede hacer a una escala sin precedentes en la Historia de la Humanidad.

La regulación que pronto entrará en vigor es de suma importancia para el desenvolvimiento económico y para la vida social. Entra de lleno en la Agenda Digital para Europa, encuadrada en la Estrategia 2020.

Como es sabido la protección de datos de carácter personal está introducida en el Tratado de Lisboa, en el artículo 16 del Tratado de Funcionamiento de la unión Europea. Se introduce una base jurídica específica para adoptar normas concernientes a la protección de datos de carácter personal. También en el artículo 8 de la Carta de los Derechos Fundamentales de la UE, que consagra como Derecho Fundamental la protección de datos de carácter personal.

Para la consecución de la normativa sobre la protección de datos próxima a su entrada en vigor se ha llevado a cabo una Consulta y se ha efectuado una Evaluación de Impacto.

La gran mayoría mostró su acuerdo en que los principios generales siguen siendo válido, se precisa adaptar el marco vigente a los retos del rapidísimo desarrollo de la tecnología y la globalización; la fragmentación de la normativa sobre protección de datos personales en la Unión ha sido objeto de duras críticas, solicitándose mayor seguridad jurídica y armonización de normas. La complejidad de las normas que regulan las Transferencias Internacionales de Datos personales, constituye un impedimento sustancial en su funcionamiento, ya que resulta habitual transferir datos personales en toda la UE y de ésta al resto de países del globo.

La Evaluación de Impacto llevada a cabo, señala tres puntos estratégicos:

-Mejorar la dimensión del mercado interior de la protección de datos personales.

– Hacer mas efectivo el ejercicio de los derechos de protección datos para  los ciudadanos.

– Crear un marco general y coherente que abarque todos los ámbitos de la competencia de la Unión, incluyendo la cooperación policial y judicial en materia de penal.

De acuerdo con la Evaluación de Impacto, habrá de llegarse a mejoras considerables en materia de seguridad jurídica para los responsables del tratamiento de los datos; reducir la carga administrativa; insistir en la coherencia en la aplicación de la protección de datos personales en toda la Unión; y la posibilidad efectiva para que las personas físicas puedan desenvolver los derechos (ARCO); y la incidencia en pequeñas y medianas empresas.

DataPimages-1

Elementos Jurídicos

Como ya hemos indicado, la Propuesta se basa en el artículo 16 del Tratado de Funcionamiento de la Unión Europea, que es la nueva base jurídica para adoptar normas sobre protección de datos de carácter personal, introducida por el Tratado de Lisboa.

Es considerado el Reglamento como instrumento jurídico más apropiado para definir el marco de la protección de los datos personales, dado quemes una norma jurídica de Derecho comunitario con alcance general y eficacia directa. La aplicabilidad directa (artículo 288 del TFUE) reducirá la fragmentación jurídica, ofreciendo mayor seguridad, mejorando, al mismo tiempo, la protección de Derechos Fundamentales.

Los principios de Subsidiariedad y Proporcionalidad   rigen, como no podía ser menos, también en esta materia. De acuerdo con el primero de los citados (artículo 5.3 del TFUE), la Unión solo puede intervenir en caso de que los objetivos perseguidos no puedan ser alcanzados de modo suficiente por los Estados miembros por sí solos. El análisis de subsidiariedad hecho,  indica la necesidad de adoptar  iniciativas a escala de la Unión, por las siguientes razones.

-Al objeto de fomentar el mismo nivel de protección de carácter personal consagrado en el artículo de la Carta de Derechos Fundamentales de la Unión. Su ausencia provocaría distintos niveles de protección en los distintos países y afectaría a los flujos fronterizos.

-Las iniciativas a nivel de la Unión permiten más eficacia y mayor eficiencia para las acciones individuales que puedan llevar a cabo los Estados miembros.

-Los Estados miembros no pueden solucionar por sí solos los problemas de fragmentación detectados, por lo que se precisa la articulación de un Marco Armonizado.

En el  ámbito de los Derechos Fundamentales hemos de señalar que el Derecho de Protección de Datos de carácter Personal también viene recogido en el Articulo 8 del C.E.D.H (Convenio Europeo de Derechos Humanos).

El Tribunal de Justicia de la UE ha manifestado a través de reiterada y unánime Jurisprudencia que el Derecho a la Protección de Datos de carácter personal no es un derecho absoluto, si no que ha de considerarse en relación con su ficción en la Sociedad. En consonancia con el artículo 52.1 de la Carta de Derechos Fundamentales pueden introducirse limitaciones SIEMPRE que estén establecidas por ley; respeten el PRINCIPIO DE PROPORCIONALIDAD, sean necesarias y respondan efectivamente a objetivos de e interés general reconocidos por la Unión.

El Derecho a la Protección de Datos de carácter Personal está íntimamente ligado y relacionado con la vida privada y familiar recogido en el artículo 7 de la Carta de Derechos Europea, que se viene reflejando desde su instauración por la Directiva 95/46/CE, al señalar que los Estados miembros garantizarán la Protección de la libertades y de los Derechos Fundamentales de las personas físicas, en particular, el dDerecho a la Intimidad, en lo que respecta al tratamiento de datos de carácter personal. Afecta además a otros Derechos Fundamentales, como pueden ser el de Libertad de empresa, el de Propiedad y Propiedad Intelectual, de la Salud, de Acceso a Documentos, de Tutela Judicial efectiva, de Derecho a un Juez imparcial.

De ahí la importancia de su regulación con perspectiva de Derecho Fundamental y su propuesta como Reglamento, y como Directiva en el aspecto del tratamiento por autoridades competentes en el ámbito de la colaboración Penal.

mariagude