Conócenos

Contencioso-administrativo

La distancia y el olvido. A propósito del derecho a la autodeterminación informativa (Comentario al Auto de la Sección Primera de la Audiencia Nacional de 27 de febrero 2012 en el recurso 725/2012)

Por Pablo Lucas Murillo de la Cueva

Magistrado del Tribunal Supremo. Catedrático de Derecho Constitucional.

  • Imprimir

I. La distancia y el olvido

Dentro de pocos meses se cumplirán veinte años de la entrada en vigor de la LO 5/1992, de 29 octubre, de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD) -EDL 1992/16927-. Según anticipaba su Exposición de Motivos, daba cuerpo a "un nuevo y más consistente derecho a la privacidad de las personas", enmarcado en el art. 18,4 CE -EDL 1978/3879-. Desde entonces, se han producido muchas novedades normativas e institucionales en el campo de la protección de datos tanto en España como en la Unión Europea. Además, la realidad ha continuado mostrando una evolución vertiginosa de las tecnologías de la información y las comunicaciones, hasta tal punto que la sociedad-red sobre la que teorizaba Manuel Castells hace unos años ha cobrado carta de naturaleza y los servicios de la llamada sociedad de la información se han convertido en imprescindibles en nuestra vida cotidiana.

En el tiempo que ha transcurrido hasta aquí hemos conocido un conjunto de acontecimientos bien significativos que convergen en el año 2000 en el reconocimiento del derecho a autodeterminación informativa --o sea, a la protección de los datos de carácter personal-- como un derecho fundamental. Tanto la Carta de los Derechos Fundamentales de la Unión Europea -EDL 2000/94313-, como la jurisprudencia del Tribunal Europeo de Derechos Humanos [en sus sentencias Rotaru y Amman, principalmente] y nuestro Tribunal Constitucional (Sentencia 292/2000) -EDJ 2000/40918-] así lo dijeron. Antes, la Directiva 95/46/CE -EDL 1995/16021- sentó las bases de la protección de datos en el ámbito comunitario y en España la Ley 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (LOPD) -EDL 1999/63731-, actualmente vigente, procedió a adaptar la anterior a esa Directiva, para lo que reprodujo prácticamente la LORTAD si bien con algunos, pocos, cambios, no todos en el sentido de una mejor garantía del derecho.

Simultáneamente, a esas modificaciones normativas, acompañadas en España de la creación de la Agencia Española de Protección de Datos y de la madrileña (desde 1995), catalana (desde 2002) y vasca (desde 2004), así como de la incorporación a nuestro ordenamiento jurídico de la Carta de los Derechos Fundamentales de la Unión Europea -EDL 2000/94313-, se ha multiplicado exponencialmente el acceso a Internet desde los más diversos terminales y su utilización para recabar o compartir información de todo tipo, también personal, y para entablar toda suerte de relaciones, incluidas las que los ciudadanos mantenemos con las Administraciones. Así, el 31 de diciembre de 2009 entramos en la era de la Administración Electrónica por obra de la Ley 11/2007, de 22 junio, de acceso electrónico de los ciudadanos a los servicios públicos -EDL 2007/41808-. Y ha sido particularmente intensa la entrada en escena y la difusión de las redes sociales, especialmente entre los jóvenes e, incluso, los menores.

Las ventajas que todo esto ha supuesto son innegables. No obstante, también han surgido inconvenientes bajo la forma de nuevos riesgos para la autodeterminación informativa y algunas dificultades a la hora de aplicar las normas jurídicas ideadas para hacer efectiva la protección de datos de carácter personal. Entre los primeros se cuentan, sin duda, los originados por la masiva navegación por Internet y por los problemas específicos que plantean las redes sociales. En estrecha relación con ellos están algunas dificultades que han dado lugar a importantes controversias. Me refiero a que el medio digital supera las fronteras y, así, complica cuando no impide la aplicación de las normas que miran a regular el tratamiento de datos personales cuando el sujeto pasivo se halla fuera del alcance del ordenamiento en virtud del cual el afectado reclama tutela a sus derechos de autodeterminación informativa. Es decir, cuando los operadores, los motores de búsqueda o los responsables y administradores de esas redes sociales están domiciliados en países que no cuentan con el mismo nivel de protección de los datos personales que existe en la Unión Europea y, particularmente, en España.

Así, pues, la distancia, en el sentido indicado de ubicación extraterritorial de los responsables de tratamientos de datos personales que los afectados consideran lesivos para ellos es un obstáculo de primer orden a la efectividad de este derecho fundamental porque, aunque se accede a esos motores de búsqueda desde España y estos acceden también a los proveedores de contenidos radicados en España y captan y suministran información en nuestro país, sin embargo se niegan a reconocer la jurisdicción de los tribunales españoles y se remiten a los del lugar en que están domiciliados en otros países.

Por otro lado, en las condiciones de la sociedad-red en la que vivimos, la lejanía espacial o temporal ni es el olvido ni lo asegura. Por obra de las tecnologías de la información y las comunicaciones y al contrario de lo que dice la canción, se han relativizado, si no eliminado, las barreras que antaño suponían el tiempo y el espacio. El transcurso del primero permitía disolver la memoria del pasado y la separación física que implica el segundo limitaban el conocimiento de aquellos hechos o sucesos no próximos. La importancia de uno y otro efecto desde el punto de vista de la difusión de la información personal reside en su virtualidad para amortiguar su alcance y en su capacidad para liberar gradualmente a los afectados de determinadas calificaciones o connotaciones que sus actos o circunstancias pasadas pudieran depararles cuando, por el tiempo ya transcurrido, no tienen ya significación relevante.

Ahora, sin embargo, los medios tecnológicos, no sólo permiten de manera cada vez más eficiente acopiar ingentes magnitudes de información personal, elaborarla y conservarla indefinidamente, sino, también, ofrecerla de inmediato, bajo las más variadas elaboraciones a quienes quieran acceder a ella desde cualquier lugar del mundo. Se trata de una realidad que ya tuvieron presente tanto nuestras leyes de protección de datos como la Directiva 95/46/CE -EDL 1995/16021- pero entonces no había adquirido las dimensiones que tiene en estos momentos y, mucho menos, la que previsiblemente alcanzará en no demasiado tiempo. Por eso, aunque esos textos sentaron reglas generales, partiendo de las plasmadas en el Convenio nº 108 del Consejo de Europa de 1981 -EDL 1984/7766-, desde las que es posible ofrecer la tutela a quienes pretenden que no se usen en su perjuicio informaciones desfasadas, lo cierto es que no establecieron normas específicas al respecto, solamente principios generales necesitados de concreción. Exactamente igual que respecto de la exigencia de responsabilidad a operadores situados allende las fronteras pero que captan clientes y prestan sus servicios entre nosotros.

Pues bien, algunos de los problemas que plantean ambos aspectos han sido puestos de manifiesto por un reciente auto de la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional: el dictado el 27 febrero 2012 en el rec. 725/2010, del que ha sido ponente el magistrado don Diego Córdoba Castroverde, presidente de la Sala -EDJ 2012/20094-.

Esa resolución -EDJ 2012/20094- plantea ante el Tribunal de Justicia de la Unión Europea una cuestión prejudicial en la que le somete varias preguntas sobre extremos sustanciales sobre el régimen del derecho a la protección de datos personales que establece la Directiva 95/46/CE -EDL 1995/16021-: su ámbito de aplicación territorial y, por tanto, el de la jurisdicción de las autoridades administrativas y judiciales europeas, el concepto de tratamiento aplicado a los buscadores y el derecho al olvido. Además, sus consideraciones sirven para suscitar cuestiones relacionadas con las anteriores de no inferior calado, como las relativas a aquellos supuestos en los que la legislación estatal brinda una protección superior a la que ofrece la normativa europea y, en general, las que tienen que ver con la naturaleza de derecho fundamental del que protege nuestros datos personales. Incluso, ofrece elementos para reflexionar sobre si sigue o no el mismo enfoque, la misma lógica sobre esta materia el ordenamiento europeo y el español.

[[QUOTE2:"...en la actualidad se hallan muy avanzados los trabajos dirigidos a la aprobación de un Reglamento de Protección de Datos que sustituya a la Directiva 95/46/CE."]]

En fin, no debe pasarse por alto que en la actualidad se hallan muy avanzados los trabajos dirigidos a la aprobación de un Reglamento de Protección de Datos que sustituya a la Directiva 95/46/CE -EDL 1995/16021-. Se trata de una iniciativa que ha dado lugar ya a un texto articulado [COM (2012) 11 final] que refleja un alto grado de elaboración y me parece que, además de la diferencia de rango y, por tanto, del distinto alcance que comportarán sus previsiones respecto de la Directiva, supone un cierto cambio de enfoque: Mientras que la Directiva introduce reglas de protección de la información personal bajo el prisma de la intimidad en un contexto predominante de libre circulación de los datos, la propuesta de Reglamento corrige ese desequilibrio y procura establecer un balance adecuado entre las exigencias del mercado y las de, ahora sí, el derecho fundamental a la protección de datos de carácter personal. Propuesta que, como veremos, afronta algunos de los problemas abordados por el auto de la Audiencia Nacional -EDJ 2012/20094-, de cuyo contenido se trata a continuación.

II. Los hechos

La controversia en la que se ha planteado esta cuestión prejudicial arranca del ejercicio por un ciudadano español, don Mario Costeja González, del derecho de oposición previsto por la LOPD -EDL 1999/63731-. En concreto, sucedió que al introducir su nombre en el buscador Google aparecía una página del diario La Vanguardia con enlaces a una subasta de inmuebles por deudas a la Seguridad Social. El afectado, sosteniendo que el asunto estaba solucionado desde hacía mucho tiempo y que esa información carecía ya de relevancia, reclamó el 23 de noviembre de 2009 a la editora del periódico que cancelara esos datos, a lo que le empresa contestó el día siguiente que no podía atender su pretensión porque la información relativa a la subasta la incluyó a instancias de la dirección provincial de Barcelona de la Tesorería General de la Seguridad Social, por el orden de la Secretaría de Estado de la Seguridad Social del Ministerio de Trabajo y Asuntos Sociales.

El 8 de febrero de 2010 el Sr. Costeja González se dirigió a Google Spain S. L. oponiéndose a que el buscador incluyera el enlace con la página de La Vanguardia que recogía la indicada información pero Google Spain S.L. le remitió a Google Inc., domiciliada en California, por ser la empresa que presta el servicio de búsqueda en Internet y le informó de que debía ejercer sus derechos de cancelación u oposición a través del webmaster de la página web que publica esos datos en Internet. Ante esa respuesta, el 5 de marzo de 2010 el Sr. Costeja González pidió a la Agencia Española de Protección de Datos que exigiese al responsable de la publicación on line de La Vanguardia que no apareciesen sus datos personales mencionados bien mediante su eliminación o modificación, o bien mediante las herramientas facilitadas por los buscadores para proteger la información personal. Además, pidió que se exigiese a Google Spain, S.L. o a Google Inc. que eliminasen u ocultasen sus datos de manera que no se incluyeran en sus resultados de búsqueda y dejaran de estar ligados a los links de La Vanguardia.

La Agencia Española de Protección de Datos inadmitió la reclamación respecto del periódico -entendió que había respondido motivadamente y que la publicación de la información tenía justificación legal y el Sr. Costeja González se aquietó a tal decisión- pero la acogió en lo relativo a Google Spain S.L. y Google Inc. y les instó a adoptar las medidas precisas para retirar los datos controvertidos de su índice de manera que en adelante no fuera posible acceder a ellos. A tal efecto, la Agencia Española de Protección de Datos invocó la Ley 34/2202, de 11 julio, de servicios de la sociedad de la información y comercio electrónico -EDL 2002/24122-, que autorizan a requerir a los buscadores de información para que retiren los datos que atenten o pueden atentar contra la dignidad de la persona determinados principios, bienes y valores (art. 8) o cuando tengan conocimiento efectivo de que la información que remiten puede lesionar derechos de tercero susceptibles de indemnización (art. 17). Frente a esta resolución del Director de la Agencia de 30 de julio de 2010, Google Inc. y Google Spain S.L. interpusieron sendos recursos contencioso-administrativos en los que piden la declaración de nulidad de dicha resolución. La Sala de la Audiencia Nacional los acumuló y, tramitado el proceso en que el Sr. Costeja González compareció como demandado, tras oír a las partes, decidió plantear cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea.

III. Las preguntas

Son las siguientes:

1. Por lo que respecta a la aplicación territorial de la Directiva 95/46/CE -EDL 1995/16021- y, consiguientemente de la normativa española de protección de datos:

- ¿Debe interpretarse que existe un "establecimiento", en los términos descritos en el art. 4,1,a) de la Directiva 95/46/CE -EDL 1995/16021-, cuando concurra alguno o algunos de los siguientes supuestos:

- cuando la empresa proveedora del motor de búsqueda crea en un Estado Miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes de ese Estado, o

- cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa, o

- cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la Unión Europea, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto al derecho de protección de datos, aun cuando dicha colaboración se realice de forma voluntaria?

1.2 ¿Debe interpretarse el art. 4,1,c) de la Directiva 95/46/CE -EDL 1995/16021- en el sentido de que existe un "recurso a medios situados en el territorio de dicho Estado miembro"

- cuando un buscador utilice arañas o robots para localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado miembro, o

- cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y los resultados en función del idioma de ese Estado miembro?

1.3 ¿Puede considerarse como un recurso a medios, en los términos del art. 4,1,c) de la Directiva 95/46/CE -EDL 1995/16021-, el almacenamiento temporal de la información indexada por los buscadores en Internet? Si la respuesta a esta última cuestión fuera afirmativa, ¿puede entenderse que este criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde almacena estos índices alegando razones competitivas?

1. 4. Con independencia de la respuesta a las preguntas anteriores y especialmente en el caso en que se considerase por el Tribunal de Justicia de la Unión que no concurren los criterios de conexión previstos en el art. 4 de la Directiva -EDL 1995/16021-,

¿Debe aplicarse la Directiva 95/46/CE -EDL 1995/16021- en materia de protección de datos, a la luz del art. 8 de la Carta Europea de Derechos Fundamentales -EDL 2000/94313-, en el país miembro donde se localice el centro de gravedad del conflicto y sea posible una tutela más eficaz de los derechos de los ciudadanos de la Unión Europea?

2. Por lo que respecta a la actividad de los buscadores como proveedor de contenidos en relación con la Directiva 95/46/CE de Protección de Datos -EDL 1995/16021-:

2.1. En relación con la actividad del buscador de la empresa "Google" en Internet, como proveedor de contenidos, consistente en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y finalmente ponerla a disposición de los internautas con un cierto orden de preferencia, cuando dicha información contenga datos personales de terceras personas,

¿Debe interpretarse una actividad como la descrita comprendida en el concepto de "tratamiento de datos" contenido en el art. 2,b) de la Directiva 95/46/CE -EDL 1995/16021-?

2.2. En caso de que la respuesta anterior fuera afirmativa y siempre en relación con una actividad como la ya descrita: ¿Debe interpretarse el art. 2,d) de la Directiva 95/46/CE -EDL 1995/16021-, en el sentido de considerar que la empresa que gestiona el buscador "Google" es "responsable del tratamiento" de los datos personales contenidos en las páginas web que indexa?

2.3. En el caso de que la respuesta anterior fuera afirmativa: ¿Puede la autoridad nacional de control de datos (en este caso la Agencia Española de Protección de Datos), tutelando los derechos contenidos en los arts. 12,b) y 14,a) de la Directiva 95/46/CE -EDL 1995/16021-, requerir directamente al buscador de la empresa "Google" para exigirle la retirada de sus índices de una información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información?

2.4. En el caso de que la respuesta a esta última pregunta fuera afirmativa, ¿Se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene los datos personales se haya publicado lícitamente por terceros y se mantenga en la página web de origen?

3. Respecto al alcance del derecho de cancelación y/oposición en relación con el derecho al olvido se plantea la siguiente pregunta:

3.1. ¿Debe interpretarse que los derechos de supresión y bloqueo de los datos, regulados en el art. 12,b) -EDL 1995/16021- y el de oposición, regulado en el art. 14,a) de la Directiva 95/46/CE comprenden que el interesado pueda dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona, publicada en páginas web de terceros, amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de una información publicada lícitamente por terceros?

IV. Los argumentos 

1. El ámbito territorial: la situación del establecimiento del responsable y la utilización de medios radicados en la Unión Europea

El ordenamiento jurídico europeo, al igual que el de los Estados que integran la Unión Europea tiene carácter territorial, rige en el territorio de sus miembros. Por otro lado, Google Inc. es una empresa estadounidense asentada en California mientras que la actividad de Google Spain, S.L., sociedad constituida en España, se limita a la contratación de publicidad en nuestro país si bien representa a Google Inc. Por otro lado, la Sala de Audiencia Nacional tiene por acreditado que el servicio de búsqueda se presta a nivel mundial a través de www.google.com <http://www.google.com/> que gestiona Google Inc. si bien se desconoce -se mantiene en secreto por razones empresariales- el lugar en que almacena la información que obtiene de las páginas web de todo el mundo que relaciona.

Ante estas circunstancias, el auto de la Audiencia Nacional -EDJ 2012/20094- se fija en que el art. 4,1 de la Directiva 95/46/CE (EDL 1995/16021) -cuyo contenido reproduce el art. 2,1,a) y c) de la LOPD (EDL 1999/63731)- dispone su aplicación a los tratamientos de datos que se lleven a cabo en establecimientos radicados en el territorio de la Unión Europea [apartado a)] o con medios situados en él salvo que se utilicen solamente con fines de tránsito [apartado c)]. Y, mientras la resolución impugnada entiende que se dan ambas circunstancias en el caso, Google Inc. y Google Spain, S.L. sostienen lo contrario. De ahí la pregunta al Tribunal de Justicia y, también, las razones ofrecidas por la Audiencia Nacional para hacerla: aunque Google Spain. S.L. se limite a la contratación de espacios publicitarios en España, no deja de ser cierto que esa actividad es parte sustancial del negocio de Google Inc. Además, Google Spain, S.L. es su representante legal en España y traslada a la matriz las reclamaciones de los afectados y los requerimientos de la Agencia Española de Protección de Datos.

Por lo que se refiere a la utilización de medios situados en España, el auto -EDJ 2012/20094- recuerda que la Agencia Española de Protección de Datos entiende acreditado que Google rastrea servidores web españoles pues ofrece discriminar los resultados en función del idioma de redacción de los documentos o de la localización de los servidores que los alojan, lo cual exige el uso de medios técnicos ubicados en España. Eso sin contar con los ordenadores personales, terminales y servidores y con el recurso a cookies y similares, equivalentes a medios radicados en España. Google, por su parte, lo rechaza y dice que no tiene en España ningún equipo ni se sirve de medio alguno instalado en nuestro país para obtener información ni para procesarla. Añade que para la clasificación de los contenidos a los que acceder se vale de un software que le permite conectar sistemática y permanentemente con todas las direcciones de Internet sin necesidad de desplazar medios para lograr información.

Observa el auto -EDJ 2012/20094- que, de tener por medios a los que se refiere el art. 4,1,c) de la Directiva -EDL 1995/16021- a los indicados, Google estaría sometido a las legislaciones de todos los Estados cuyos servidores contuvieran información a la que acceda el buscador. De otro lado, apunta que el secreto sobre el lugar en donde conserva la información clasificada no permite excluir a ningún país. Además, indica, ahora a la luz de los arts. 8 de la Carta de los Derechos Fundamentales de la Unión Europea -EDL 2000/94313- y 6,1 del Tratado de la Unión Europea (EDL 1992/17993) -el primero reconoce el derecho fundamental a la protección de datos personales y el segundo otorga a la Carta el mismo valor que a los tratados-, que:

"Una protección eficaz de este derecho fundamental no puede depender del lugar donde la empresa decida asentar los medios técnicos. La utilización de soportes técnicos inmateriales, que permiten prestar los servicios desubicados del territorio al que van dirigidos y, en muchos casos, sin contar con medios residenciados en el mismo, complica una tutela eficaz de las eventuales lesiones de los derechos de la personalidad que se producen en el ciberespacio, especialmente en materia de protección de datos. Sin desconocer el peligro añadido que supondría la posibilidad de suprimir los establecimientos y medios que tuviere para impedir la aplicación de la normativa comunitaria o nacional, o cambiar el centro de gestión de recursos y medios, localizándolo en aquellos países que careciesen de una normativa de protección de datos o en los que sus normas fuesen más permisivas con la tutela de estos derechos.

De modo que la actividad desplegada por el buscador, aun cuando se considere que es gestionado desde fuera de la Unión y no dispone de un establecimiento ni recurre a medios ubicados en un Estado miembro, es susceptible de lesionar derechos fundamentales de los ciudadanos de la Unión Europea y la tutela de este derecho debería situarse donde se ubica el centro de gravedad del conflicto y sea posible una tutela eficaz del mismo, incluyendo la posibilidad de permitir una aprehensión integral del conflicto que comprenda los intereses en juego y de las normas implicadas".

[[QUOTE1:"...la actividad desplegada por el buscador, aun cuando se considere que es gestionado desde fuera de la Unión (...) es susceptible de lesionar derechos fundamentales de los ciudadanos de la Unión Europea y la tutela de este derecho debería situarse donde se ubica el centro de gravedad del conflicto..."]]

Fácilmente se comprende el alcance de la duda planteada por la Audiencia Nacional. Afecta a un extremo esencial no sólo para la tutela del derecho a la protección de datos personales en España sino en toda la Unión Europea e, incluso, tendrá, sin duda reflejo a escala mundial en la medida en que es en la que operan buscadores como Google. A reserva de la respuesta que en su día dé el Tribunal de Justicia, no puede pasarse por alto que la propuesta de Reglamento, en su artículo 3, dispone sobre su ámbito territorial que será de aplicación

"al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable del tratamiento no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión; o

b) el control de su conducta".

Este precepto se mueve en la misma dirección en la que se sitúan los argumentos que defienden el sometimiento a la Directiva -EDL 1995/16021- de la actividad de Google y, ciertamente, de ser aprobada la propuesta en estos términos, resolverá en sentido afirmativo la pregunta. No obstante, el problema estriba en si los términos de la Directiva expuestos permiten llegar a la solución por la que opta el Reglamento en formación. Es difícil aventurar el sentido de pronunciamientos judiciales futuros sobre extremos controvertidos. Tampoco creo que un comentario como éste sea el lugar adecuado para hacer vaticinios semejantes. Sí me parece, en cambio, que las razones ofrecidas a favor de la aplicación al caso del Derecho Europeo son sólidas en ambos planos, tanto en el que mira a la existencia de un establecimiento en el seno de los Estados miembros, cuanto en el relativo al uso de medios situados en ellos.

Como dice el auto -EDJ 2012/20094-:

"(...) sostener que [ante] la indexación de datos procedentes de páginas web situadas en España, en relación con una información publicada en España, en base a una norma legal española, que afecta a datos de un ciudadano español y que fundamentalmente puede tener una repercusión negativa, a juicio del afectado, en su entorno personal y social sito en España (centro de intereses), [éste] tenga que defender la tutela de su derecho a la protección de datos en EEUU, por ser el lugar que el gestor del buscador ha elegido para ubicar los medios técnicos, colocaría a los afectados en una situación de especial vulnerabilidad e impediría o dificultaría enormemente la tutela eficaz de este derecho que podría resultar incompatible con el espíritu y finalidad que inspira la Directiva -EDL 1995/16021- y, sobre todo, con una tutela eficaz de un derecho fundamental contenido en la Carta Europea de Derechos Fundamentales -EDL 2000/94313-".

2. El motor de búsqueda y el tratamiento de datos relevante

Claro que toda argumentación encaminada a sostener el sometimiento de la actividad de Google a las normas de protección de datos personales dependen de una premisa esencial: su calificación como tratamiento.

Para el art. 2,b) de la Directiva (EDL 1995/16021) -y para la LOPD que se expresa en términos concordantes en su art. 3,c) (EDL 1999/63731)- constituye tratamiento de datos personales "cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción". Y, de resolverse afirmativamente la pregunta, la Sala de la Audiencia Nacional se plantea si cabe tener por responsables del tratamiento a los buscadores, cuestión a la que aporta la respuesta positiva, pero matizada, del Dictamen 1/2008 WP 148, emitido el 4 de abril de 2008 por el Grupo sobre protección de datos del art. 29 de la Directiva -EDL 1995/16021-, que los tiene por responsables subsidiarios en la medida en que son intermediarios de la información. De este modo indica que el alcance de su responsabilidad ha de limitarse a "la posibilidad de retirar los datos de sus servidores en función de las normas establecidas en la materia por el Estado miembro de que se trate.

Expone el auto -EDJ 2012/20094- las dificultades existentes para atribuir al buscador la condición de responsable directo desde el momento en que la información de que se trate no haya sido suprimida previamente de la página de origen y habida cuenta de que el titular de esta última puede servirse de diversas herramientas para impedir que su contenido sea clasificado por los motores de búsqueda o consultado por terceros. Además, la supresión o cancelación de esos datos del buscador podría incidir en el derecho a la información, la libertad de expresión o en otros derechos así como en las obligaciones legales de su responsable. Cabría, incluso, que dañara a terceros. Por otro lado, si la cancelación y bloqueo solamente se solicitan a un buscador, la información seguiría fluyendo por los demás mientras permanezca en la página de origen.

No obstante, dice la Sala de la Audiencia Nacional, que

"(...) no puede desconocerse la necesidad de proporcionar una tutela efectiva a la protección de datos del afectado. La facilidad con que se replica una información en otras páginas web, la posibilidad de cambiar el nombre y ubicación de la página reproduciendo la misma información y la dificultad añadida de tener que actuar frente a páginas web que pueden estar ubicadas en otro Estado, puede hacer ineficaz y excesivamente gravosa la tutela de los derechos del afectado si tiene que dirigirse, con carácter principal, contra todas las páginas web en la que se aloje dicha información. La tutela directa de sus derechos frente al buscador tiene la ventaja de que impide, o al menos dificulta enormemente, la fácil localización y la difusión generalizada de los datos que trata de proteger y los peligros que supone la utilización de estos buscadores para tener acceso a todos los datos de una persona física elaborando, incluso perfiles personales. Sin olvidar que es el afectado el que debe determinar el alcance que la tutela de sus derechos debe tener, siempre que ello sea conforme con la normativa vigente".

También en este punto me parece convincente el argumento que la Sala expone a favor de la respuesta afirmativa a la segunda pregunta que hace al Tribunal de Justicia. Creo que, a partir del criterio sentado por la sentencia Lindqvist (6 noviembre 2003) -EDJ 2003/112810-, se puede llegar a tal conclusión. En este punto, la propuesta de Reglamento no aporta novedades respecto del concepto de tratamiento que establece la Directiva -EDL 1995/16021-. Por otro lado, es razonable la posición expresada en el dictamen del Grupo del art. 29 citado por el auto (EDJ 2012/20094) --dictamen que no encuentra obstáculos para considerar tratamiento la actividad de los buscadores-- sobre los términos en que ha de concebirse su responsabilidad.

3. El derecho al olvido

La última cuestión que suscita el auto -EDJ 2012/20094- objeto de estas líneas es la relativa al derecho al olvido. Con esta expresión se alude a las facultades del afectado de oponerse al tratamiento de determinados datos sobre su persona [arts. 14,a) de la Directiva -EDL 1995/16021- y 6,4 LOPD -EDL 1999/63731-] o de exigir que sean cancelados [arts. 12 b) de la Directiva y 16 LOPD] en cuanto se proyectan, en particular, sobre los buscadores como Google. La duda que somete al Tribunal de Justicia descansa en estos presupuestos:

"Las herramientas tecnológicas actuales, especialmente los motores de búsqueda, potencian que los afectados estén sometidos permanentemente a la exposición pública y general sobre un hecho o acontecimiento que, aun siendo cierto, no desea que le sea recordado permanentemente y cuyo conocimiento puede perjudicarle en su entorno social y profesional.

Pero, por otra parte, si se admite que el derecho de cancelación y oposición permite que una persona pueda decidir la información que desea que se conozca y se difunda en la red y cuál no, se estaría admitiendo que la información disponible puede ser "filtrada", y en cierta forma censurada por el afectado, corriéndose el peligro de que tan sólo se difunda aquella que le beneficia, limitando aquella que, aunque sea lícita y veraz, no se desea que se conozca. Ello desvirtuaría, en cierta forma, la fiabilidad y objetividad de la información que puede ser consultada".

Antes ha explicado que, conforme al art. 6,1 de la Directiva -EDL 1995/16021-, "los datos tratados no sólo han de ser adecuados, pertinentes, no excesivos y exactos cuando se recaban sino cuando posteriormente son tratados".

En este punto, la consideración de las normas españolas ayuda a corroborar que el derecho a la protección de datos personales comporta el llamado derecho al olvido en el sentido que le da el auto de la Audiencia Nacional -EDJ 2012/20094-. Como dice el art. 4,5 de nuestra LOPD -EDL 1999/63731-:

"5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos".

El tiempo, por tanto, es un factor determinante de la licitud de los tratamientos, de manera que su transcurso puede hacer que decaiga la finalidad que motivó el consentimiento del afectado o la autorización legal para llevarlos a cabo.

La propuesta de Reglamento se manifiesta en el mismo sentido. Sus considerandos nº 53 y 54 dicen al respecto:

"(53) Toda persona debe tener derecho a que se rectifiquen los datos personales que le conciernen y "derecho al olvido", cuando la conservación de tales datos no se ajuste a lo dispuesto en el presente Reglamento. En particular, a los interesados les debe asistir el derecho a que se supriman y no se traten sus datos personales, en caso de que ya no sean necesarios para los fines para los que fueron recogidos o tratados de otro modo, de que los interesados hayan retirado su consentimiento para el tratamiento, de que se opongan al tratamiento de datos personales que les conciernan o de que el tratamiento de sus datos personales no se ajuste de otro modo a lo dispuesto en el presente Reglamento. Este derecho es particularmente pertinente si los interesados hubieran dado su consentimiento siendo niños, cuando no se es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quisieran suprimir tales datos personales especialmente en Internet. Sin embargo, la posterior conservación de los datos debe autorizarse cuando sea necesario para fines de investigación histórica, estadística y científica, por razones de interés público en el ámbito de la salud pública, para el ejercicio del derecho a la libertad de expresión, cuando la legislación lo exija, o en caso de que existan motivos para restringir el tratamiento de los datos en vez de proceder a su supresión.

(54) Con el fin de reforzar el "derecho al olvido" en el entorno en línea, el derecho de supresión también debe ampliarse de tal forma que los responsables del tratamiento que hayan hecho públicos los datos personales deben estar obligados a informar a los terceros que estén tratando tales datos de que un interesado les solicita que supriman todo enlace a tales datos personales, o las copias o réplicas de los mismos. Para garantizar esta información, el responsable del tratamiento debe tomar todas las medidas razonables, incluidas las de carácter técnico, en relación con los datos cuya publicación sea de su competencia. En relación con la publicación de datos personales por un tercero, el responsable del tratamiento debe ser considerado responsable de la publicación, en caso de que haya autorizado la publicación por parte de dicho tercero".

[[QUOTE2:"...la propuesta de Reglamento regula con detalle el derecho al olvido y a la supresión (...) y el derecho de oposición respecto de la elaboración de perfiles..."]]

En coherencia con ello, la propuesta de Reglamento regula con detalle el derecho al olvido y a la supresión (art. 17) y el derecho de oposición respecto de la elaboración de perfiles (arts. 19 y 20), además de los restantes de información, acceso y rectificación (arts. 11 a 16).

Es verdad que ese art. 17, de desmesurada extensión, provoca muchas dudas en diversos extremos. No obstante, me parece decisivo que dé el paso de reconocer formalmente el derecho al olvido porque, así, ofrece, no ya principios generales a interpretar y especificar en cada caso, sino una categoría subjetiva sobre la que ensamblar los distintos elementos que componen el derecho y una base normativa desde la que ajustar sus límites.

V. Observaciones finales

El Auto de la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional es una resolución -EDJ 2012/20094- ejemplar: expone los hechos y las posiciones de las partes con precisión y claridad. Antes ha descrito con iguales virtudes el escenario en el que se sitúa la controversia y, cuando explica las circunstancias y razones que han creado las dudas cuya aclaración pide al Tribunal de Justicia, lo hace de forma ponderada y constructiva a partir de un conocimiento cabal no sólo de los términos del pleito sino de la materia sobre la que versa, de cuya complejidad e importancia es claramente consciente.

De su dificultad es buen exponente el hecho, tenido en cuenta por la Sala de la Audiencia Nacional, de que tribunales de otros países de la Unión Europea, llamados a pronunciarse sobre el sometimiento de Google a la Directiva 95/46/CE -EDL 1995/16021-, entendieron que no le es aplicable porque, a su parecer, ni está establecida en ningún país de la Unión Europea ni realiza en su territorio tratamientos de información personal. Y su importancia resulta de los muy relevantes intereses económicos en juego, del hecho de que la sentencia del Tribunal de Justicia, en tanto establecerá la interpretación de la Directiva, proyectará sus efectos a todos los Estados miembros y, en fin, del impacto que tendrá sobre el contenido del derecho a la protección de datos.

En efecto, sea cual sea la decisión que los magistrados de Luxemburgo tomen, es evidente que, gracias este auto, fijarán el sentido de los preceptos concernidos de la Directiva -EDL 1995/16021- para lo cual tendrán que ocuparse de cuestiones centrales de su régimen jurídico en relación con la actividad de los buscadores y, en general, con la de quienes tratan datos personales en las mismas condiciones en que lo hace Google. Será difícil, por lo demás, que en el camino que les ha de llevar a resolver no influya el proceso de elaboración del Reglamento, no porque tal circunstancia deba condicionar su criterio sino porque la propuesta descansa en un amplísimo y muy serio trabajo de estudio y reflexión del que no es posible sustraerse cuando se afrontan problemas como los que han surgido en el proceso promovido contra la resolución del Director de la Agencia Española de Protección de Datos que dio tutela frente a Google al Sr. Costeja González. Problemas para los que la propuesta de Reglamento viene avalada por argumentos que parten de unas premisas de fondo que no pueden no compartirse en la medida en que descansan en el art. 8 de la Carta de los Derechos Fundamentales de la Unión Europea -EDL 2000/94313-.

Es decir, en el mismo punto de partida que asume la Sala de la Audiencia Nacional: la naturaleza de derecho fundamental del que protege nuestros datos personales y la exigencia de respeto que le es propia. Más allá de que prevalezca judicialmente en Luxemburgo una u otra de las posiciones expuestas, la sentencia que se dicte no podrá ignorar ese extremo ni la consecuencia que comporta en términos de nivel de garantía. La propuesta de Reglamento lo tiene bien presente en su esfuerzo por encontrar el punto de equilibrio entre la protección de los datos personales y el respeto a otros derechos que entran en conflicto con él. Equilibrio que, decía más arriba, no está tan claro en la Directiva -EDL 1995/16021-. Además, ha quedado --aunque en esto se halla en las mismas circunstancias que la mayoría de las leyes estatales-- superada por los acontecimientos.

Asimismo, considero que la LOPD -EDL 1999/63731-, pese a los recortes que hizo en los preceptos que recoge de la LORTAD -EDL 1992/16927-, sigue siendo más generosa en la definición de los principios que informan el derecho a la protección de datos que la Directiva a la que se dijo que quería adaptarse. La lectura del art. 4 y la interpretación que le ha dado la jurisprudencia lo ponen de manifiesto. En efecto, ese precepto no sólo recoge lo establecido por la Directiva en su art. 6 -EDL 1995/16021- sino que lo hace con más énfasis pues integra, como elementos determinantes de la calidad de los datos, aspectos vinculados a los derechos de los afectados. De esta forma les atribuye esa doble condición objetiva y subjetiva que es propia de los derechos fundamentales y refuerza claramente su tutela. En la medida en que ha sido un tribunal español el que ha planteado la cuestión prejudicial, no sería de extrañar que la sentencia que la resuelva se ocupe de tal circunstancia.

Desde hace tiempo se viene diciendo que es preciso avanzar a partir de los principios recogidos en los textos normativos y profundizar en el régimen jurídico del derecho a la autodeterminación informativa. Estamos ante una ocasión especialmente propicia para ello dada la confluencia en el tiempo de este proceso judicial y del que se dirige a sentar una disciplina uniforme en la Unión Europea del derecho fundamental a la protección de datos que atienda a la realidad a la que se enfrenta. Es de esperar, pues, que, junto a la coincidencia en el tiempo, se produzca una convergencia en los contenidos cuya consecuencia sea una mejor garantía del derecho fundamental o, lo que es lo mismo, una mejor y más efectiva tutela de los afectados que, sin sacrificar los intereses ni, desde luego, los derechos de las empresas que tratan datos personales, asegure a los dueños de esa información el control necesario sobre su uso por terceros y evite que se les trasladen cargas que no les corresponde soportar.


Este artículo ha sido publicado en la "Revista de Jurisprudencia", número 1, el 4 de octubre de 2012.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine
feedburner

Suscríbase a nuestros contenidos

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17