El derecho al olvido y… otros derechos. Parte II: Tratamiento de datos, responsable del tratamiento, atención de derechos . | María Arias Pou

El derecho al olvido y… otros derechos. Parte II: Tratamiento de datos, responsable del tratamiento, atención de derechos .

Después de analizar, en el post anterior la primera parte de la Sentencia del TJUE de 13 de mayo de 2014, en este post voy a terminar de resumir la respuesta a la segunda y la tercera cuestión prejudicial que se plantean por nuestra Audiencia Nacional. A diferencia de lo que ocurre con la primera cuestión prejudicial, referente a la aplicación territorial de la Directiva, en la que las conclusiones del Abogado General coinciden con las del TJUE, vamos a ver cómo no es así en estas dos cuestiones que se plantean.

En la segunda cuestión referente a la aplicación material de la Directiva, la Audiencia Nacional planteó las siguientes cuestiones que reproducimos a continuación y que se resumen en saber si el prestador de servicios de búsqueda realiza un tratamiento de datos personales; si esto es así, ¿puede considerarse responsable del tratamiento?; si puede la AEPD requerir al buscador la eliminación de contenidos en un procedimiento de tutela de derechos y si todo esto depende, y en qué medida, de la información contenida en la página web de origen.

Textualmente la AN planteó lo siguiente:
1. En relación con la actividad del buscador de la empresa “Google” en internet, como proveedor de contenidos, consistente en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y finalmente ponerla a disposición de los internautas con un cierto orden de preferencia, cuando dicha información contenga datos personales de terceras personas: ¿Debe interpretarse una actividad como la descrita comprendida en el concepto de “tratamiento de datos” contenido en el art. 2.b de la Directiva 95/46/CE?
2. En caso de que la respuesta anterior fuera afirmativa y siempre en relación con una actividad como la ya descrita: ¿Debe interpretarse el artículo 2.d) de la Directiva 95/46/CE, en el sentido de considerar que la empresa que gestiona el buscador “Google” es “responsable del tratamiento” de los datos personales contenidos en las páginas web que indexa?.
3. En el caso de que la respuesta anterior fuera afirmativa: ¿Puede la autoridad nacional de control de datos (en este caso, la Agencia Española de Protección de Datos), tutelando los derechos contenidos en el art. 12.b) y 14.a) de la Directiva 95/46/CE, requerir directamente al buscador de la empresa “Google” para exigirle la retirada de sus índices de una información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información?.
4. En el caso de que la respuesta a esta última pregunta fuera afirmativa, ¿Se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene los datos personales se haya publicado lícitamente por terceros y se mantenga en la página web de origen?
El Abogado General entendió que Google sí realiza tratamiento de datos personales. Partía así del concepto amplio de tratamiento de datos que ha realizado la Directiva y argumentaba que las páginas web fuente en Internet pueden incluir, y lo hacen con frecuencia, nombres, imágenes, direcciones, números de teléfono, descripciones y otras indicaciones, con la ayuda de las cuales puede identificarse a una persona física. El que su carácter como datos personales pueda ser «desconocido» para el proveedor de servicios de motor de búsqueda en Internet, cuyo motor de búsqueda trabaja sin interacción humana alguna con los datos recopilados, indexados y dispuestos a los efectos de la búsqueda, no modifica esta afirmación. Lo mismo es de aplicación al hecho de que la presencia de datos personales en las páginas web fuente es en cierta medida aleatoria para el proveedor de servicios de motor de búsqueda en Internet, porque para el proveedor de servicios, o, más concretamente, para las funciones de rastreo, análisis e indexado del motor de búsqueda dirigidas a todas las páginas web disponibles en Internet, pueden no existir diferencias técnicas u operativas entre una página web fuente que contiene datos personales y otra que no incluye este tipo de datos.

En relación con la segunda subcuestión, la referente a si el buscador puede ser considerado como responsable del tratamiento que realiza, el Abogado General entendió que siguiendo el concepto de responsable del tratamiento en la Directiva y teniendo en cuenta que las obligaciones individuales que le impone se basan en la idea de la responsabilidad en relación con los datos personales tratados, en el sentido de que es consciente de la existencia de una categoría determinada de información que contiene datos personales y trata estos datos con una intención relacionada con su tratamiento como datos personales. Esto es, considera que el tratamiento de datos debe mostrársele como tratamiento de datos personales, es decir, «información sobre una persona física identificada o identificable», de un modo semánticamente relevante, y no como un mero código informático.

Para respaldar sus argumentos, el Abogado General acudió a la opinión del Grupo de trabajo del artículo 29, Dictamen

1/2010 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento», adoptado el 16 de febrero de 2010, en primer lugar en relación con la finalidad del concepto de responsable del tratamiento, y manifestó que esta es determinar quién debe ser responsable del cumplimiento de las normas de protección de datos y asignar esta responsabilidad al lugar de la influencia de hecho. En segundo lugar, en relación con el análisis de los proveedores de motores de búsqueda y la protección de dato , basándose en otro Dictamen del Grupo de trabajo del artículo 29, Dictamen 1/2008 sobre cuestiones de protección de datos relacionadas con motores de búsqueda, adoptado el 4 de abril de 2008, recoge: «el principio de proporcionalidad requiere que, en la medida en que un proveedor de un motor de búsqueda actúe exclusivamente como intermediario, no debe considerarse como responsable principal del tratamiento de datos personales efectuado. En este caso, los responsables principales del tratamiento de datos personales son los proveedores de información».

Dicho esto entiende que:
“A mi juicio, el proveedor de servicios de motor de búsqueda en Internet no puede ni jurídicamente ni de hecho cumplir las obligaciones del responsable del tratamiento establecidas en los artículos 6, 7 y 8 de la Directiva en relación con los datos personales contenidos en páginas web fuente alojadas en servidores de terceros. Por lo tanto, una interpretación razonable de la Directiva requiere que no se considere que el proveedor de servicios se encuentra con carácter general en esa posición.”
Sin perjuicio de esta conclusión, atendiendo a las reglas previstas en la Directiva sobre comercio electrónico en relación con la responsabilidad de los proveedores de servicios de intermediación, reconoce dos excepciones a esta falta de responsabilidad y son: la primera, cuando el buscador no haya respetado los códigos de exclusión en una página web fuente o de origen y, la segunda, cuando el proveedor de servicios de motor de búsqueda en Internet no actualiza una página web en su memoria oculta, a pesar de que el sitio en Internet así lo solicite.
Y concluía, a diferencia de lo que ha venido a disponer la STJUE, como veremos después, que una autoridad nacional de protección de datos no puede requerir a un proveedor de servicios de motor de búsqueda en Internet que retire información de su índice, salvo en los supuestos en que el proveedor de servicios no ha respetado los códigos de exclusión o en los que no se ha dado cumplimiento a una solicitud emanada de la página web relativa a la actualización de la memoria oculta.
Por su parte, el TJUE, partiendo de la definición de tratamiento que recoge la Directiva95/46/CE, argumenta que no se discute que entre los datos hallados, indexados, almacenados por los motores de búsqueda y puestos a disposición de sus usuarios figura también información relativa a personas físicas identificadas o identificables y, por tanto, datos personales. Por consiguiente, considera que al explorar Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el gestor de un motor de búsqueda «recoge» tales datos que «extrae», «registra» y «organiza» posteriormente en el marco de sus programas de indexación, «conserva» en sus servidores y, en su caso, «comunica» y «facilita el acceso» a sus usuarios en forma de listas de resultados de sus búsquedas. Ya que estas operaciones están recogidas de forma explícita e incondicional en el artículo 2, letra b), de la Directiva, concluye que deben calificarse de «tratamiento» en el sentido de dicha disposición, sin que sea relevante que el gestor del motor de búsqueda también realice las mismas operaciones con otros tipos de información y no distinga entre éstos y los datos personales. Y concluye que tampoco contradice esta apreciación el hecho de que estos datos hayan sido ya objeto de publicación en Internet y dicho motor de búsqueda no los modifique ni que se refieran únicamente a información ya publicada tal cual en los medios de comunicación.
De esta forma, sostiene el TJUE, en los apartados 35 a 39 de la Sentencia, que el tratamiento de datos personales que realiza el buscador es distinto del que realizan los editores de sitios de Internet, que consiste en hacer figurar esos datos en una página en Internet. Además, considera que en la medida en que la actividad de un motor de búsqueda puede afectar, significativamente y de modo adicional a la de los editores de sitios de Internet, a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, el gestor de este motor, como persona que determina los fines y los medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que dicha actividad satisface las exigencias de la Directiva para que las garantías establecidas en ella puedan tener pleno efecto y pueda llevarse a cabo una protección eficaz y completa de los interesados, en particular, de su derecho al respeto de la vida privada.
Y a partir de aquí, el TJUE se separa de la opinión del Abogado General cuando argumenta que el hecho de que los editores de sitios de Internet tengan la facultad de indicar a los gestores de los motores de búsqueda que desean que una información determinada, publicada en su sitio, sea excluida total o parcialmente de los índices automáticos de los motores, no significa que la falta de tal indicación por parte de estos editores libere al gestor de un motor de búsqueda de su responsabilidad por el tratamiento de datos personales que lleva a cabo en el marco de la actividad de dicho motor.
En conclusión, considera el TJUE que los motores de búsqueda son responsables del tratamiento de datos que realizan.
Llegados a este punto, si hay tratamiento y el motor de búsqueda es responsable de ese tratamiento, la siguiente cuestión a resolver es si debe atender el ejercicio de los derechos por los titulares de los datos y, en relación con la tercera cuestión prejudicial, si debe interpretarse que los derechos de supresión y bloqueo de los datos comprenden que el interesado pueda dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona, publicada en páginas web de terceros, amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de una información publicada lícitamente por terceros.
Para resolver esta cuestión, el TJUE entiende que la causa que legitima al motor de búsqueda realizar el tratamiento de datos del interesado es el interés legítimo previsto en el artículo 7 f) de la Directiva. De esta forma, argumenta que los hechos que se examinan traen consigo un conflicto entre este interés legítimo del buscador, los derechos fundamentales a la vida privada y a la protección de datos personales, cuando la búsqueda realizada sirviéndose de ese motor de búsqueda se lleva a cabo a partir del nombre de una persona física. Vista la gravedad potencial de esta injerencia, el TJUE concluye que es obligado declarar que el mero interés económico del gestor de tal motor en este tratamiento no la justifica. Sin embargo, entiende que en la medida en que la supresión de vínculos de la lista de resultados podría, en función de la información de que se trate, tener repercusiones en el interés legítimo de los internautas potencialmente interesados en tener acceso a la información en cuestión, es preciso buscar, en situaciones como las del litigio principal, un justo equilibrio, en particular entre este interés y los derechos fundamentales de la persona afectada. Atendiendo a las circunstancias de caso concreto, el citado equilibrio puede depender de la naturaleza de la información de que se trate y del carácter sensible para la vida privada de la persona afectada y del interés del público en disponer de esta información, que puede variar, en particular, en función del papel que esta persona desempeñe en la vida pública.
Para recapitular y concluir este resumen diré que el TJUE entiende que hay tratamiento de datos personales en la actividad del buscador, que el motor de búsqueda debe considerarse responsable de este tratamiento y que ante la solicitud de un interesado de la supresión de sus datos, el buscador debe ponderar el equilibrio entre sus intereses económicos, los derechos del interesado que puedan verse afectados y, en su caso, los derechos de los internautas que puedan entrar en juego, para decidir si procede o no a retirar el contenido de sus listas de resultados. El TJUE argumenta que esto debe ser así con independencia de que la publicación de esa información personal sea lícita o no en la página web indexada y con independencia de que se haya solicitado de forma simultánea la retirada de los contenidos de esta otra página web.
En nuestra opinión, entendemos que hay tratamiento de datos, dada la amplitud del concepto y la intención del legislador de querer extender la protección al interesado, pero no compartimos el hecho de que un motor de búsqueda sea un responsable del tratamiento y tampoco que deba proceder a valorar el equilibrio de intereses y derechos en conflicto y tomar una decisión al respecto. No entendemos que el motor de búsqueda defina cuál es el contenido del tratamiento, este es aleatorio para él y sólo será captado mientras esté disponible en una página web de origen. Además entendemos que este tratamiento de datos depende de otro sujeto, que sí es responsable del tratamiento, que esa página web de origen. Por último, planteo la siguiente cuestión: ¿Por qué mientras el Parlamento Europeo ha dejado de referirse al ‘derecho al olvido’, en la Propuesta de Reglamento General de Protección de Datos, nosotros nos empeñamos en seguir hablando de este derecho que no es sino el derecho de cancelación, oposición o supresión de los datos…?

Sin comentarios | Leído 242 veces

Tu puedes enviar una respuesta, or trackback desde tu propio site.

Enviar Comentario

*