El TJUE habló del Derecho al Olvido (I)

Sí, fue hace dos años, en Mayo del 2014, el 13, que el TJUE se pronunció sobre el Derecho al Olvido. El mismo día en que la Virgen Portuguesa  habló a Fátima en Coba da Iría. El día en que cumple años  mi hermano.

Algunos conceptos previos determinantes

Antes indicar, que la Directiva 95/46/CE de Protección de Datos de carácter personal tiene por objeto la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la Intimidad, en lo que respecta al tratamiento de los datos personales y la eliminación de los obstáculos a la libre circulación de esos datos.

Datos personales.-Toda información sobre una persona física identificada o identificable, directa o indirectamente por uno o varios elementos específicos característicos de su indemnidad física, fisiológica, psíquica, económica, cultural o social.

Tratamiento de datos personales.- Cualquier operación o conjunto de operaciones efectuadas o no mediante procedimientos automatizados, y aplicados a datos personales, como recogida, registro, organización, conservación, elaboración, modificación, extracción, consulta, utilización, comunicación por transmisión difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo, interconexión, así como su bloqueo, supresión o destrucción.

Responsable del Tratamiento.- Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o junto con otros determine los fines y los medios del tratamiento de datos personales.

Fichero.- Conjunto organizado de datos de carácter personal, que permite el acceso a los datos con arreglo a criterios determinados cualquiera que fuere su forma o modalidad de su creación, almacenamiento, organización o acceso.

Establecimiento.- implica el ejercicio efectivo y real de una actividad mediante una instalación estable; siendo indiferente la forma jurídica, ya  sea una simple sucursal o una empresa filial con personalidad jurídica.

Para el asunto que nos ocupa conviene, asimismo, señalar que los Principios que han de presidir el tratamiento de los datos personales, se concretan, primordialmente en que sean  Leales y LícitosHan de ser recogidos con fines determinados y explícitos. Serán adecuados, pertinentes y no excesivos; exactos y actualizados, que permitan la identificación de los interesados durante un período no superior al necesario respecto de los fines para los que fueron recogidos. Corresponde al Responsable del Tratamiento garantizar tales principios.

Recordamos…. Que el Sr. Pepe había solicitado de la AEPD que requiriese a La Vanguardia y a Google para que retirasen información que aparecía la “pinchar su nombre”, información de tiempos pretéritos. La AEPD desestima frente a la Vanguardia y requiere a Google para que retire determinada información que aparece al “pinchar” el nombre del Sr. Pepe, acudiendo google a la Audiencia Nacional, quien recaba del TJUE que dictamine acerca de determinadas cuestiones prejudiciales para poder así dictar Sentencia con arreglo a la Directiva 95/46/CE de Protección de Datos personales.

Colisionan varios derechos en el ámbito de los hechos acaecidos. Por una parte  los Derechos que todo individuo tiene para ser protegido en el ámbito de su Intimidad, cómo llevar a cabo esos derechos cuando se trata, como en el presente caso, de cuestiones novísimas, como pueden ser las arañas,  robots que utilizan los motores de búsqueda y su funcionamiento y ubicación. Cómo ha de aplicarse a una empresa como Google, que se ramifica en muchas empresas y que su sede principal está en California bajo Legislación de los Estados Unidos, que no tiene por qué coincidir, ni mucho menos, con el Derecho de la Unión Europea, que protege la Intimidad. Cuál se aplica?  Qué es un establecimiento?, quién toma decisiones y dónde?, en cuanto a qué hacer con los datos que se indexan?. Ha habido muchos defensores del derecho a la Intimidad, como los ha habido del Derecho que todos los internautas tienen a acceder a Información, y que imponiendo criterios restrictivos a Google se impediría que las nuevas tecnologías avanzasen, que en definitiva, podría ser mucho peor el remedio que la enfermedad y que la colisión del Derecho a la Intimidad con el Derecho Información, debería ponderarse en favor de éste.

Todas estas cuestiones han sido tratadas por el Tribunal, aplicando la Directiva 95/46/CE

TJUE
Tribunal Justicia Unión Europea

Argumentos del Tribunal

Alterando el orden de formulación de la Cuestiones prejudiciales propuestas por la Audiencia Nacional, El TJUE, da comienzo por la Segunda Cuestión Prejudicial y procede al examen de la actividad de los buscadores, para ello examina en primer lugar, qué es un motor de búsqueda?  – proveedor de contenidos, cuya actividad consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, ponerla a disposición de los internautas, según un orden de preferencia determinado-. Si la actividad de estos puede calificarse de “tratamiento de datos personales“? . Si ello fuera así, ha de interpretarse que el gestor de un motor de búsqueda ha de considerarse responsable de tratamiento de datos personales?, todo ello de acuerdo con la Directiva citada.

Motores de búsqueda
Motores de búsqueda.

Sabemos que el Sr. Pepe, la AEPD y otros países, entienden que efectivamente que la actividad de los motores de búsqueda implican claramente “tratamiento de datos” en el sentido que establece la Directiva, y su gestor es el responsable ; sin embargo Google Spain, Google Inc. y otros países, consideran que la actividad de los motores de búsqueda no puede considerarse que impliquen  tratamiento de datos, y, además, el gestor de un motor de búsqueda no puede considerarse responsable de ese “tratamiento”.

De acuerdo con el concepto que da la Directiva del “tratamiento de Datos Personales”, transcrita en párrafos precedentes, señala el Tribunal: Que en lo que a Internet se refiere, ya se ha pronunciado este Tribunal y que la conducta que consiste en hacer referencia en una página web a datos personales, ha de considerarse un “tratamiento de datos” de ésta índole (artículo 2.b de la Directiva). Por tanto, al explorar Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el gestor de un motor de búsqueda, “recoge” tales datos que “extrae”, “registra” y “organiza” posteriormente en el marco de sus programas de indexación, “conserva” en sus servidores y, en su caso, “comunica” y “facilita” el acceso a sus usuarios en forma de listas de resultados de sus búsquedas. Por lo que ha de calificarse de “tratamiento de datos” recogidos expresamente en la Directiva, sin que sea relevante que el gestor del motor de búsqueda también realice las mismas operaciones con otros tipos de información de carácter no personal. Tampoco obsta que tales datos hayan sido ya tratados o publicados en Internet.

En cuanto a que si el gestor del motor de búsqueda debe considerarse o no “responsable del tratamiento” de los datos personales tratados por dicho motor de búsqueda, recuerda el Tribunal que la Directiva define al responsable como la persona física o jurídica, autoridad….que solo o conjuntamente con otros determine fines y medios del tratamiento de datos personales. Debe considerarse responsable, pues es preciso señalar que sería contrario al objetivo que persigue la Directiva -garantizar una protección eficaz y completa a los interesados-,  si no se avalase  una definición amplia de “responsable”, incluyendo, por tanto en dicho concepto al gestor de un motor de búsqueda. La actividad de los motores de búsqueda, continúa el Tribunal,  desempaña un papel decisivo en la difusión global de dichos datos. La organización y agregación de la información publicada en Internet, efectuada por los motores de búsqueda  para facilitar el acceso a usuarios se lleva a cabo a partir del nombre de la persona física, permitiendo establecer un perfil mas o menos detallado del interesado..

 

Search
Las arañas o motores de búsqueda

Por ello, en la medida en que la actividad de un motor de búsqueda puede afectar significativamente a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, el gestor de este motor, como persona que determina fines y medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, competencias y posibilidades, que se lleve a cabo una protección eficaz y completa de los interesados, en particular de su derecho al respeto a la vida privada. El hecho de que los editores no indiquen a los gestores de motores de búsqueda protocolos tipo “no índex” “robot.txt” o  “noarchive” que señalan  una exclusión total o parcial de dicha información, no libera al gestor de motor de búsqueda de su responsabilidad por el tratamiento de datos personales que lleva a cabo en el marco de la actividad de dicho motor.

De todo lo dicho, la conclusión es que la Segunda Cuestión Prejudicial letras b) y d) del artículo 2 de la Directiva analizada, ha de interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas, según un orden de preferencia determinado, debe calificarse de “tratamiento de datos personales” en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales y, por otro lado el gestor de un motor de búsqueda debe considerarse “responsable” de dicho tratamiento en el sentido del mencionado artículo letra d).

Para adentrarnos en lo que era la Primera Cuestión Prejudicial, pasaremos a otro post, hay cosas que conviene digerirlas despacio, máxime cuando de sopas de letra se trata.

mariagude

 

Anuncios

Derecho al Olvido. Qué dijo Google?

Habíamos dicho en un post anterior que el Sr Pepe reclamó ante la Agencia Española de Protección de Datos para que la Vanguardia, y Google respetaran los derechos en que le ampara la legislación sobre protección de datos –Derecho al Olvido-. La AEPD decide estimar la reclamación frente a Google Spain y frente a Google Inc y al recurrir ante la Audiencia Nacional se defienden del utilizando los argumentos que pasamos a expresar:

Google Spain s.l.

Google Spain
Fotografía seña de Google Spain s.l.

Señala ante la Audiencia Nacional Google Spain S.L., que la Agencia Española de Protección de Datos no puede sancionar a Google por no estar esta sociedad dentro del ámbito territorial de la competencia de la Agencia ni tampoco cela Audiencia y, además porque el contenido es imposible.

La actividad que se enjuicia no se desarrolla en España y no existe elemento de conexión que permita aplicar la L.O.P.D 15/1999 al presente supuesto. Tampoco es aplicable el artículo 4.1.a de la Directiva 95/46/CE de protección de datos personales.

Google Spain aunque es un establecimiento ubicado en España, el tratamiento de datos del caso que nos ocupa, el Sr. Pepe, no tiene lugar en España, no está pues, encuadrado en el “marco de actividades de un establecimiento instalado en territorio español. Google Spain, no tiene intervención alguna en el funcionamiento del buscador, su actividad se ciñe a l a promoción de actividades publicitarias de Google Inc., siendo Google Spain totalmente ajena a la actividad del buscador que se desarrolla fuera de España.

La mera existencia de una filial con actividad económica en España, no es suficiente dado que precisa estar directamente vinculada con el tratamiento de datos.

Señala, por otro lado, que tampoco es aplicable el artículo 3.1.c del Reglamento Español de protección de datos -dicho artículo alude al responsable del tratamiento de datos que no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos,  medios situados en territorio español, salvo que solo sea con fines de tránsito-. Se argumenta así que Google Spain es una entidad cuyo domicilio y centro de actividad está en España, habiéndose dirigido a ella la AEPD en todo momento como responsable del tratamiento de datos. Incurre, además, la Agencia en contradicción, pues al incorporarse el citado precepto del Reglamento español de P.D y alegar que Google Inc se sirve de medios en España para el desarrollo de su actividad, la Agencia está atribuyendo a Google Inc la condición de responsable del tratamiento.

Las “arañas web”, “crawlers” o “robots” no entran ni acceden, ni menos aún, se instalan en el servidor de las páginas web, sino que se limitan a gestionar los equipos del buscador en que están instalados para lograr la conexión con las webs. Las “arañas web” no penetran en el espacio jurídico español, sino que simplemente envían comunicaciones a los sitios web, y en respuesta a ellos las webs envían a los buscadores copias de los contenidos que alojan.

En definitiva, dice Google Spain, e´sta sociedad es un simple agente de Google Inc, que solo se dedica a la promoción de la actividad publicitaria de Google, no teniendo intervención laguna en el funcionamiento del buscador ni en el tratamiento de datos y ni siquiera dispone de medios técnicos que para ello harían falta..

Los servidores que alojan las páginas web no pertenecen a Google, que pertenecen a la responsable de la web de que se trate, o la la empresa que haya contratado para el alojamiento de sus contenidos. Es Google Inc con domicilio en California (U.S.A) la titular del servicio del buscador de Google en Internet (google Search), tanto desde el sitios w.w.w.google.es, como desde w.w.w.google.com y también explota el espacio publicitario que se genera en esas páginas web.

Se extralimita pues la Agencia EPD en sus competencias, vulnerando el derecho internacional, pues Google Spain no ha tenido participación alguna en la adopción de la política de prestación de los servicios del buscador, ni ha participado en su ejecución, no desarrolla ningún tratamiento de datos, sino que se limita a ser un agente comercial.

Se vulneran además, señala Google Spain, artículos del I convenio Europeo de Derechos del Hombre de 1950. La libertad de expresión protegida por el citado Convenio incluye la libertad de comunicar información sin que pueda haber injerencia de autoridad pública y sin consideración de fronteras engloba claramente la actividad del buscador. Esta libertad, continúa, está asociada al Derecho Fundamental a constituir sociedades y asociaciones para llevar a cabo la libertad de expresión y comunicación, de acuerdo con la Jurisprudencia del Tribunal Europeo de Derechos Humanos.

Se indica, además, que el GT29 (Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE) ha reconocido que el tratamiento que realiza el buscador es secundario, pues depende de la decisión de un tratamiento principal, que realiza la página web que publica la información. Existen en la actualidad, sistemas eficaces simples y gratuitos que permiten a los responsables de sitios web controlar el alcance de la publicación. Google Inc respeta las instrucciones de no indexación  de contenidos que establecen los responsables de sitios web. Carece de sentido, que la Agencia Española de Protección de Datos afirme que el servicio de búsqueda en Internet vulnera la Ley Orgánica de Protección de Datos, o incluso la Dignidad Humana, pero, a s u vez,  permita a esas entidades que continúen publicando los datos de forma incontrolada e ilimitada.

Google Inc

Google Inc
Sede de Google

Google Inc argumentó en primer lugar que el hecho de que Google Inc haya designado a Google Spain s.l. como representante en España, a efectos de cumplir deberes legales derivados del tratamiento de datos personales en un fichero concreto inscrito por Google Inc en la AEPD, no puede en modo alguno considerarse como una designación de esa sociedad como representante en cualquier otro procedimiento tramitado por la Agencia.

No es aplicable la L.O.P.D. al tratamiento de información en los índices del buscador de Google, pues la Agencia aplica indistintamente criterios que son incompatibles entre sí. Al aludir, por un lado, a los responsables del tratamiento en el territorio español y, por otro, a los responsables del tratamiento que no tengan establecimiento en la UE, como recoge el GT29 al informar sobre cual es la ley aplicable (wp 179) de 16 de Diciembre del 2010.

En cualquier caso, tampoco sería aplicable la L.O.P.D. ya que la información necesaria para el funcionamiento del buscador la recoge y la proceso exclusivamente Google Inc, sociedad que no está establecida en el territorio de la Unión Europea, sin servirse en ningún caso de medios situados en España y sin intervención alguna de Google Spain s.l..

No puede considerarse en modo alguno medios usados en España por Google Inc los servidores que alojan la información a la que los equipos de Google puedan tener acceso. Ni la obtención ni el procedimiento de la información que se incorpora a los índices del buscador tiene nada que ver  con las actividades de Google Spain s.l.. Ésta compañía es un mero agente que promueve la venta de los productos y servicios que presta Google Ireland Ltd.

Es ilegal la orden de la AEPD, de eliminar del buscador  a contenidos lícitos. De acuerdo con la doctrina del GT29, las empresas que operan buscadores de Internet, no son responsables de los datos que alojan, siempre que se limiten a ser un reflejo actualizado de contenidos existente. Las responsabilidad por el contenido recae sobre los editores de la información. Informe WP148.

Antes de que se pronunciase el TJEU hubo rios de tinta comentando el Derecho al Olvido, antes del verano del 2013, los Abogados Generales se inclinaban a dar la razón a Google, luego…veremos lo que sucedió…

mariagude