AUDIENCIA NACIONAL Sala de lo Contencioso-Administrativo Sección: 001 MADRID Número de Identificación Único: 28079 23 3 2010 0004781
Procedimiento: PROCEDIMIENTO ORDINARIO 725 /2010 Sobre: EN LA AGENCIA DE PROTECCION DE DATOS De: GOOGLE SPAIN,SL, Procuradora: Sra. Dña. CRISTINA MARIA DEZA GARCIA GOOGLE INC,S.L Procurador: Sr. D. RAMON RODRIGUEZ NOGUEIRA Contra: AGENCIA DE PROTECCION DE DATOS (AEPD) ABOGADO DEL ESTADO Codemandado: MARIO Tizio Giovanni Procurador: Pietro ANTONIO Giovanni SANCHEZ AUTO ILMO. SR. PRESIDENTE DIEGO CORDOBA CASTROVERDE ILMOS./ILMAS. SRES./SRAS. MAGISTRADOS/AS LOURDES SANZ CALVO NIEVES BUISAN GARCIA JOSÉ GUERRERO ZAPLANA
En la Villa de Madrid, a veintisiete de Febrero de dos mil doce.
ANTECEDENTES DE HECHO
1. Actuaciones Previas
1.1. D. Mario Tizio Giovanni (el afectado), de nacionalidad española y con domicilio en la localidad de El Escorial (Madrid), ejercitó con fecha 23 de Noviembre de 2009 el derecho de oposición al tratamiento de sus datos personales ante “La Alfa Ediciones, S.L” (periódico de gran difusión en España, especialmente en Cataluña). En su solicitud afirmaba que al introducir su nombre en el buscador de “Google” aparecía la referencia a una página del periódico “La Alfa” con enlaces a una subasta de inmuebles relacionada con un embargo derivado de deudas a la Seguridad Social. El afectado afirmaba que el embargo al que se vio sometido en su día estaba totalmente solucionado y resuelto desde hace años y carecía de relevancia actualmente.
1.2. Con fecha 24 de noviembre de 2009, “La Alfa Ediciones” contestó al interesado entendiendo que no procedía la cancelación de sus datos, dado que la publicación se realizó por orden del Ministerio de Trabajo y Asuntos Sociales a trave's de su Secretaría de Estado de la Seguridad Social, siendo ejecutora la Tesorería General de la Seguridad Social en la Dirección Provincial de Barcelona.
1.3. Con fecha 8 de Febrero de 2010 el Sr. Tizio remitió escrito a Google Spain S.L.
ejercitando su derecho de oposición solicitando que al introducir sus nombre y apellidos los resultados de búsqueda con los links de La Alfa.
1.4 En la contestación dada por Google Spain S.L. le remitía a la empresa Google Inc. con domicilio social en California (EEUU), por entender que e'sta era la empresa que presta el servicio de búsqueda en Internet, sin perjuicio de informarle que para ejercer sus derechos de cancelación u oposición sobre sus datos personales debería dirigirse al webmaster de la página web que publica esos datos en Internet.
2. Procedimiento administrativo ante la Agencia Española de Protección de Datos.
2. 1. Con fecha 5 de marzo de 2010, tuvo entrada en el Registro General de la Agencia Española de Protección de Datos la reclamación del Sr. Tizio solicitando, entre otras cosas, que se exigiese al responsable de la publicación “on line” de La Alfa que eliminase o modificase la publicación para que no apareciesen sus datos personales o bien utilizase las herramientas facilitadas por los buscadores para proteger su información personal. Tambie'n solicitaba que se exigiese a Google España o Google Inc, para que eliminase o bien ocultase sus datos para que dejen de incluirse en sus resultados de búsqueda y dejen de estar ligados a los links de La Alfa.
2.2. La Agencia Española de Protección de Datos instruyó expediente por denegación del derecho de cancelación de datos dando traslado para alegaciones tanto a Google Spain SL como a Google Inc. La notificación se remitió al domicilio de los abogados designado por Google Spain que recibió la comunicación que se le dirigía a ella, pero no se hizo cargo de la notificación dirigida a Google Inc.
Google Spain SL presentó sus alegaciones. Google Inc. no presentó alegaciones.
2.3. El Director de la Agencia Española de Protección de Datos dictó resolución el 30 de julio de 2010 en la que se estimó la reclamación formulada por el Sr. Corteja contra Google Spain SL y contra Google Inc “instando a esta entidad para que adopte las medidas necesarias para retirar los datos de su índice e imposibilite el acceso futuro a los mismos” e inadmitió la reclamación formulada contra La Alfa Ediciones SL. En cuanto a La Alfa Ediciones S.L.
consideró que se había denegando de forma motivada la cancelación solicitada de los datos personales del afectado, en atención a que la publicación de los citados datos tenía justificación legal y su fin era dar la máxima publicidad a las subastas para conseguir la mayor concurrencia de licitadores por lo que se inadmite el procedimiento de tutela en relación a La Alfa Ediciones S.L.
3. Procedimiento judicial 3.1. Contra esta resolución recurrieron ante este Tribunal tanto la empresa Google Inc como Google Spain, en dos recursos independientes que se acumularon por Auto de 20 de julio de 2011. Ambas demandas solicitan la nulidad de la resolución administrativa impugnada. (Se adjunta copia de ambas demandas).
En este procedimiento actúa como demandada la Agencia Española de Protección de Datos y como codemandado se personó D. Mario Tizio.
3.2. El Abogado del Estado, en representación de la Agencia de Protección de Datos, contestó a las demandas oponie'ndose a las mismas. (Se adjunta copia de la contestación a la demanda).
Así mismo el representante procesal del Sr. Tizio contestó a las demandas y solicitó la desestimación de los recursos. (Se adjunta copia de su contestación a la demanda).
3.3. Se abrió un periodo de prueba y tras la práctica de la misma todas las partes personadas presentaron escritos de conclusiones.
3.4. Por providencia de 17 de enero de 2012 este Tribunal acordó conceder un plazo de 15 días a las partes personadas para que presentasen alegaciones, de cara el posible planteamiento de una cuestión prejudicial del art. 267 del TJUE, en relación con determinadas cuestiones (Se adjunta copia de la providencia).
Todas las partes personadas presentaron sus escritos de alegaciones.
El Abogado del Estado considera que no es necesaria el planteamiento de cuestión prejudicial de interpretación pero, en caso de que se decidiese plantear, realiza una serie de consideraciones sobre las cuestiones a plantear (Se adjunta copia de su escrito de alegaciones).
El representante del Sr. Tizio presenta alegaciones respecto del planteamiento de la cuestión prejudicial ante el TJUE tanto en relación con la aplicación territorial de la normativa de protección de datos como en cuanto a las dudas que suscita la normativa comunitaria en relación con las cuestiones de fondo que se sustancian en este recurso. (Se adjunta copia de su escrito de alegaciones).
La empresa Google Spain SL considera que no es indispensable el planteamiento de la cuestión prejudicial para la resolución del recurso ni para la interpretación del derecho comunitario, pero no se opone al planteamiento de la misma. En su escrito se contienen una serie de alegaciones tanto respecto de la aplicación territorial de la normativa comunitaria y nacional para resolver el caso que nos ocupa como las cuestiones de interpretación de fondo que se plantean. (Se adjunta copia de su escrito de alegaciones).
La empresa Google Inc. no se opone al planteamiento de la cuestión prejudicial de interpretación ante el TJUE y realiza alegaciones coincidentes con las formuladas por la empresa Google Spain. (Se adjunta copia de su escrito de alegaciones).
FUDAMENTOS JURÍDICOS 1. Objeto de la presente controversia.
La presente controversia se enmarca en el ámbito de la protección de los datos de las personas físicas, específicamente en la tutela de los derechos de supresión, bloqueo (cancelación) y oposición del afectado al tratamiento de sus datos personales frente a la actividad desarrollada por los proveedores de motores de búsqueda de información en internet (en adelante “buscadores”) y muy específicamente contra el buscador del grupo “Google”. La Agencia Española de Protección de Datos, acogiendo la petición de tutela del afectado, requirió a Google Spain SL y Google Inc “para que adopten las medidas necesarias para retirar los datos de su índice e imposibilite el acceso futuro a los mismos”.
El presente recurso plantea el problema referido a las obligaciones que tienen los buscadores en internet (en este caso el buscador “Google”) en la protección de datos personales de aquellos afectados que no desean que determinadas informaciones, publicadas en páginas web de terceros que contienen sus datos personales y permiten relacionarles con la misma, sean localizadas, indexadas y sean puestas a disposición de los internautas de forma indefinida. La resolución dictada por la Agencia de Protección de Datos (en adelante AEPD) considera que los buscadores en el ejercicio de esta actividad realizan un tratamiento de datos y son responsables del mismo por lo que están obligados a hacer efectivo el derecho de cancelación y/o oposición del interesado y a cumplir con los requerimientos que les dirija la AEPD en la tutela de estos derechos. Y al mismo tiempo afirma que tambie'n como intermediarios de la sociedad de la información están sometidos a la normativa en materia de protección de datos estando obligados a atender los requerimientos que le dirija la autoridad competente, en este caso de la AEPD. Desde cualquiera de estas perspectivas, la AEPD entiende que puede adoptar medidas de tutela de su derecho ordenando la retirada e imposibilitando el acceso a determinados datos por parte de los buscadores cuando considere que su localización y difusión puede lesionar el derecho fundamental a la protección de datos, a su dignidad entendida en un sentido amplio, que incluiría la mera voluntad del particular afectado cuando quiere que tales datos no sean conocidos por terceros. Y que este requerimiento puede dirigirse directamente a los buscadores, sin suprimir los datos o la información de la página donde inicialmente está alojada e, incluso, cuando el mantenimiento de esta información en dicha página este' justificada por una norma legal.
2. Planteamiento General.
2.1. La protección de datos de las personas físicas se regula fundamentalmente en la Directiva 95/46/CE que, según dispone su artículo 1º, tiene por objeto “la protección de las libertades y de los derechos fundamentales de las personas físicas y, en particular, del derecho a intimidad, en lo que respecta al tratamiento de los datos personales”.
La citada Directiva 95/46/CE se dictó en los años anteriores a la expansión de internet y a la aparición, o al menos a la utilización generalizada, de los motores de búsqueda como herramienta que facilita la localización de datos e información en la red. Es por ello que las previsiones contenidas en la misma no contiene referencia expresa alguna a los servicios de la sociedad de la información ni, con mayor motivo, una previsión específica respecto a la actividad que desarrollan los “buscadores” en internet y su sometimiento, y con què límites, a la normativa en materia de protección de datos. 2.2 Directivas posteriores que regulan la actividad de los servicios de la sociedad de la información se remiten, en materia de protección de datos, a la Directiva 95/46/CE. Este es el caso de la Directiva 2000/31/CE, que “(14) La protección de las personas con respecto al tratamiento de datos de carácter personal se rige únicamente por la Directiva 95/46/CE …”, añadie'ndose que dicha Directiva es “enteramente aplicable a los servicios de la sociedad de la información. y que la “aplicación y ejecución de la presente Directiva debe respetar plenamente los principios relativos a la protección de datos personales, en particular en lo que se refiere a las comunicaciones comerciales no solicitadas y a la responsabilidad de los intermediarios,…..”. Así se recoge tambie'n en el artículo 1.5.b) de dicha Directiva establece que no se aplicará “a cuestiones relacionadas con servicios de la sociedad de la información incluidas en las Directivas 95/46/CE.” La Directiva 2000/31/CE limita la responsabilidad de los servicios de la sociedad de la información, en determinados supuestos íntimamente relacionados con la actividad desplegada por los buscadores en Internet (el artículo 13 referido a la memoria tampón, caching) y el art 17 (referido al alojamiento de datos) siempre que su actividad que se considera «meramente te'cnica, automática y pasiva», lo que implica que el prestador «no tiene conocimiento ni control de la información transmitida o almacenada». Pero, por otra parte, en su considerando cuadrage'simo quinto señala que las limitaciones de la responsabilidad de los prestadores de servicios intermediarios no afecta a la posibilidad de entablar acciones de cesación de distintos tipos, incluidas las órdenes de las autoridades administrativas competentes para la retirada de datos o impedir el acceso a los mismos.
La Ley española 34/2002 de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, dictada en desarrollo de dicha Directiva 2000/31/CE, incluye (Anexo b) a los buscadores como servicio de la sociedad de la información, en concreto como un “servicio de intermediación”. Dicha norma en sus artículos 8 y 17 limita la responsabilidad de los buscadores respecto de la información que dirijan a los destinatarios de sus servicios, pero permite se les pueda requerir para que retiren los datos que atenten o pueden atentar contra determinados principios (entre ellos la dignidad de la persona) o cuando tengan conocimiento efectivo que de la información que remiten puede lesionar derechos de tercero susceptibles de indemnización. La AEPD, amparándose en su condición de autoridad competente y aplicando los artículos 8 y 17 de la Ley 34/2002, considera que puede exigirle al buscador la retirada de los datos personales del afectado al amparo de la normativa de protección de datos, aun en los supuestos en los que su publicación deba mantenerse en la página web del editor cuando considera que lesionan el derecho a la protección de datos del afectado. Es por ello que el problema se reconduce finalmente a la interpretación y aplicación de la Directiva 95/46/CE dictada para la protección de datos de las personas físicas frente a los buscadores.
2.3. Las dificultades en la interpretación y aplicación de la Directiva 95/46/CE respecto a las tecnologías desarrolladas despue's de su publicación y la necesidad de obtener una interpretación uniforme de la misma justifican, a juicio de este Tribunal, el planteamiento de una cuestión prejudicial de interpretación en relación con determinados preceptos de dicha Directiva, dirigida a resolver diferentes dudas relacionadas con la actividad de los buscadores de información en internet y su sometimiento a la normativa en materia de protección de datos. 2.4. Conviene aclarar que los buscadores realizan diferentes actividades y no todas ellas afectan a la presente controversia.
En primer lugar como prestadores de servicios a los usuarios. Se trataría de la recogida de los datos de los usuarios instalando en su ordenador unos dispositivos informáticos (“cookies”) que permiten al buscador reconocer al mismo usuario en visitas ulteriores desde el mismo ordenador. Esta actividad no es relevante en el caso que nos ocupa.
En segundo lugar como proveedor de contenidos. En el ejercicio de esta actividad los buscadores localizan, indexan, almacenan temporalmente y ponen a disposición de todos los usuarios de la red, la información que aparece contenida en páginas web de terceros que aparece relacionada con los criterios de búsqueda, información que puede incluir o no datos personales de las personas físicas. Es esta última actividad la que interesa y afecta a la presente controversia y a la que nos referiremos en adelante.
3. Ámbito de aplicación territorial de la normativa comunitaria y nacional en materia de protección de datos.
3.1. El primero de los problemas que se plantean en el presente litigio se refiere a la posibilidad de aplicar la Directiva 95/46/CE, y consecuentemente la normativa nacional que la transpone en España, para tutelar el derecho a la protección de los datos de un nacional español y que tiene su residencia en España, frente a la empresa Google Inc., que tiene su domicilio en un Tercer Estado (en este caso en EEUU) y su filial en España, Google Spain SL. 3.2. Respecto de este problema, esta Sala considera acreditados los siguientes hechos;
- El servicio de búsqueda de Google (Google Search) se presta a nivel mundial a trave's de la web www.google.com. En muchos países existen versiones locales adaptadas al idioma nacional a las que se accede en función de la ubicación geográfica del usuario. La versión española del servicio se presta a trave's del sitio www.google.es, dominio que tiene registrado desde el 16/09/2003. El buscador de Google es uno de los más utilizados en nuestro país.
- El buscador “Google” lo gestiona Google Inc (empresa matriz del grupo), con domicilio en California (1600 Amphitheatre Parkway, Mountain View, California). - El buscador Google indexa páginas web de todo el mundo, incluyendo páginas web ubicadas en España (en este caso se indexó información contenida en una página web española). La información indexada por las “arañas” del buscador Google se almacena temporalmente en servidores cuya ubicación (país y localidad) se desconoce (la empresa la mantiene secreta por razones competitivas). - El buscador “Google” no sólo facilita el acceso a los contenidos alojados en las páginas web indexadas, sino tambie'n aprovecha esta actividad para incluir publicidad de empresas de bienes o servicios, normalmente asociada a los patrones de búsqueda introducidos por el usuario. Esta publicidad es contratada con el grupo empresarial “Google”, a cambio de un precio, por las empresas que desean utilizar esta herramienta para ofrecer sus servicios a los internautas.
- El grupo Google utiliza una empresa filial, Google Spain SL, como agente promotor de venta de los espacios publicitarios que se generan en el sitio web del buscador, dicha empresa dirige su actividad fundamentalmente a las empresas radicadas en España. Dicha empresa tiene personalidad jurídica propia y domicilio social en Madrid, y fue creada el 3/09/2003.
Actúa como agente comercial del grupo en España y tiene como objeto social “promocionar, facilitar y/o procurar la venta de productos y servicios de publicidad “on line” a trave's de Internet para terceros, actuando como agente comercial, así como marketing de publicidad “on line” etc..”, dicha empresa contaba con 70 empleados en el 2009.
- La empresa Google Inc., designó a Google Spain SL como responsable del tratamiento en España de dos ficheros inscritos por Google Inc. ante la AEPD, tales ficheros tenían por objeto contener los datos de las personas relacionadas con los clientes de servicios publicitarios que en su día contrataron con Google Inc.
3.3. El artículo 4 de la Directiva 95/46/CE establece como criterios de conexión, relevantes para el supuesto que nos ocupa, los siguientes;
“1. Los Estados miembros aplicarán las disposiciones nacionales que hayan aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando;
a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro…..
….
c) el responsable del tratamiento no este' establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.
2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento”.
La Ley Orgánica 15/1999 de Protección de Datos, dictada para transponer al derecho español dicha norma comunitaria, reproduce en el art. 2.1 a) y c) estos dos mismos criterios con una redacción similar a la contenida en la Directiva comunitaria.
La discrepancia de las partes y las dudas interpretativas de este Tribunal surge tanto para determinar si le empresa Google posee un establecimiento en España, en los te'rminos previstos en el art. 4.1.a) de la Directiva; como para establecer si dicha empresa recurre a medios que se encuentran en territorio español para realizar su actividad, en los te'rminos previstos en el art. 4.1.c) de dicha norma.
3.4. Existencia de un establecimiento en España.
La Directiva 95/46/CE en su exposición de motivos considera que (19) “el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable, siendo indiferente la forma jurídica de dicho establecimiento (simple sucursal o una empresa filial con personalidad jurídica)”.
Varias son las dudas interpretativas que surgen a este Tribunal respecto a este apartado.
3.4.1. La primera aparece relacionada con la actividad que la empresa filial Google Spain SL realiza en España.
La AEPD considera que la empresa Google tiene un establecimiento en España, Google Spain SL, sucursal del grupo que sirve para promocionar la publicidad que financia la actividad de la empresa. La empresa Google entiende que hay que separar la actividad mercantil de GOOGLE SPAIN S.L. y la de GOOGLE INC. Esta última es la que gestiona el buscador “Google”, pero al tener su domicilio en California esta fuera del ámbito de aplicación de la normativa española y que solo está sometido a la jurisdicción norteamericana y a la normativa de protección de datos de EEUU. Y respecto a Google Spain SL, entiende que no puede considerarse como un establecimiento a los efectos de aplicar ni la Directiva comunitaria ni la normativa española en materia de protección de datos, pues su actividad no está relacionada con el tratamiento de datos sino que se limita a representar a Google Inc. en el negocio que e'sta desarrolla de vender el espacio publicitario disponible en su página Web. No ha resultado acreditado que la filial Google Spain SL realice en España una actividad directamente relacionada con la indexación o almacenamiento de la información o datos contenidos en las páginas web de terceros. No debe olvidarse, sin embargo, que si bien el e'xito del buscador “Google” consiste en proporcionar a los internautas una herramienta que sea útil y eficaz para localizar la información existente en Internet, su negocio se basa en vender los espacios publicitarios del buscador a las empresas (sus clientes) que quieren anunciar sus bienes y servicios. La actividad destinada a la promoción de estos espacios publicitarios y la captación de nuevos clientes en España esta encomendada a la empresa filial del grupo Google Spain SL, empresa domiciliada en nuestro país en donde actúa de forma estable y permanente, dirigiendo su principal actividad respecto de empresas asentadas en España. De modo que la actividad de promoción y venta de estos espacios publicitarios se constituye como parte esencial del negocio de Google y puede entenderse estrechamente vinculada a la actividad de su buscador de contenidos en España por cuanto dicha publicidad aparece junto con los resultados de búsqueda y normalmente relacionada con los criterios de búsqueda introducidos por el usuario. Por todo ello cabe preguntarse si la actividad de Google Spain SL cumple las exigencias para ser considerada un “establecimiento” en los te'rminos previstos en el art. 4.1.a) de la Directiva permitiendo la aplicación de la legislación nacional en materia de protección de datos frente al buscador “Google”.
3.4.2. La segunda duda se refiere a la actividad de la filial Google Spain SL como empresa que representa a la empresa Google Inc (empresa matriz) ante la Agencia Española de Protección de Datos y colabora con la AEPD en hacer llegar a la empresa matriz las solicitudes de los afectados y los requerimientos y notificaciones de la AEPD.
La AEPD argumenta que Google Inc. tiene designado a Google Spain como su representante ubicado en territorio español, conforme a lo exigido por el artículo 3.1.c), segundo párrafo del Reglamento de la LOPD aprobado por Real Decreto 1720/2007 y así aparece en el Registro General de Protección de Datos. Y que dicha empresa colabora con la Agencia de Protección de Datos para dar traslado a la empresa matriz de las solicitudes de los afectados y los requerimientos que le dirige la Agencia de Protección de Datos. La empresa Google Inc., por su parte, admite que designó a Google Spain SL como responsable del tratamiento en España de dos ficheros inscritos por Google Inc. ante la AEPD si bien tales ficheros tenían por objeto contener los datos de las personas relacionadas con los servicios publicitarios que en su día contrataron con Google Inc. Y aunque admiten que es cierto que la Agencia ha notificado a Google Inc .en el domicilio de los Abogados de Google Spain SL. y que se designó ese domicilio en el registro de los ficheros que Google Inc. tiene dados de alta en la Agencia, ello fue a los solos efectos de facilitar a los interesados el ejercicio de los derechos de oposición, cancelación, acceso y rectificación en relación con los datos incluidos en esos ficheros, (según lo exige el articulo 5.1.c) de la LOPD) pero no con carácter general para la notificación relativa a toda la actividad de Google Inc. La pregunta que se plantea al TJUE respecto a este punto es la siguiente;
¿Debe interpretarse que existe un “establecimiento”, en los te'rminos descritos en el art.
4.1.a) de la Directiva 95/46/CE, cuando concurra alguno o algunos de los siguientes supuestos: - cuando la empresa proveedora del motor de búsqueda crea en un Estado Miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes de ese Estado, o - cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa o - cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la Unión Europea, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto al derecho de protección de datos, aun cuando dicha colaboración se realice de forma voluntaria? 3.5 Recurso a medios situados en España.
La Directiva 95/46/CE no incluye una definición de “medios” si bien en su exposición de motivos afirma en su apartado (20) que “el hecho de que el responsable del tratamiento de datos estè establecido en un país tercero no debe obstaculizar la protección de las personas contemplada en la presente Directiva; que en estos casos el tratamiento de datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adoptarse garantías para que se respeten en la práctica los derechos y obligaciones contempladas en la presente Directiva”.
Los buscadores utilizan soportes te'cnicos para la captación, indexación y almacenamiento temporal de la información ubicada en páginas web de todo el mundo, que pueden estar centralizados o dispersos en diferentes países y los índices generados se guardan en servidores ubicados en lugares remotos y muchas veces secretos. Todo ello plantea enormes dificultades para determinar cuando nos encontramos frente a un “recurso a medios” radicados en un Estado miembro. La Agencia de Protección de Datos considera que el índice se actualiza de forma dinámica a partir de la información ofrecida por los robots y el rastreo de las arañas web ubicadas, entre otros, en servidores web españoles, como lo demuestra que una de las facilidades que la versión española del servicio de buscador ofrece al usuario es, discriminar el resultado de su búsqueda en función del idioma de redacción de los documentos o de la localización geográfica de los servidores web que los alojan. Lo que, a su juicio, viene a demostrar que, para la prestación del servicio de búsqueda a los usuarios españoles, es requisito ineludible que se utilicen medios te'cnicos ubicados en territorio español. Tambie'n considera como recursos a medios ubicados en España la utilización de ordenadores personales, terminales y servidores y que la utilización de cookies y dispositivos de software similares por parte de un proveedor de servicios online puede considerarse como recurso a medios en el territorio del Estado miembro. La empresa Google, por el contrario, afirma que el proceso el buscador no se realiza mediante el recurso a medios sitos en España puesto que ningún equipo de Google se encuentra en España, ni las arañas ni los robots que utilizan se instalan en los servidores que visitan. Google Inc. no emplea medios ubicados en España para la obtención de la información ni para el procesamiento de la misma. Los equipos de “Google” llevan a cabo la indexación de los contenidos mediante un software que les permite conectarse de manera sistemática y continuada con todas las direcciones de Internet ("URLs") que identifican en las páginas Web que encuentran a su paso. Los equipos de Google no se necesitan desplazar ni hacer uso de ningún medio para conseguir la información visitando, navegando y rastreando.
Las dudas que se plantean pueden sintetizarse en las siguientes;
En primer lugar, si puede considerarse como un “recurso a medios” la utilización por parte de la empresa Google de sus arañas o robots que acceden a servidores situados en España para obtener la información contenida en páginas web españolas que posteriormente indexa, discriminando el resultado de su búsqueda en función del idioma de redacción de los documentos o de la localización geográfica de los servidores Web que los alojan. Ello plantearía el problema de que el prestador de servicios en internet estaría sometido a todas las leyes y a las jurisdicciones de todos los países cuyos servidores alojaran información a la que los buscadores tuvieran acceso, pero, al mismo tiempo, facilitaría una tutela eficaz de los derechos de los afectados. En segundo lugar, cabe preguntarse si la actividad de almacenamiento temporal en los centros de datos de la información indexada puede ser considerada como “un recurso a medios” en relación con el tratamiento de datos (suponiendo que esta exista). Y en el caso de que así se considerase, cabe plantearse si una adecuada interpretación de la Directiva exige que la empresa especifique y pruebe donde están ubicados esos medios (centros de datos o servidores), pudiendo aplicarse, en caso contrario, el criterio de conexión con el Estado miembro que mantenga otros aspectos que le relacionen con la información tratada (por ej;
información procedente de una pagina web radicada en un Estado miembro, información referida a ciudadanos de uno de los Estados miembros que reclaman la tutela, relevancia de la información en ese Estado miembro etc..). Lo contrario, dada la dificultad de conocer donde se ubican esos medios en atención a la tecnología actualmente existente, conllevaría el peligro de hacer inoperante la aplicación de este criterio y consecuentemente la efectividad de la normativa comunitaria y nacional en materia de protección de datos. La empresa Google no ha revelado el país donde se almacena la información indexada afirmando que el lugar donde se ubican estos índices es secreto y que se mantiene secreto porque forma parte de la ventaja competitiva que Google tiene frente a sus competidores, por lo que al desconocerse donde se almacena la información indexada por voluntad expresa de la sociedad que lo gestiona no es posible descartar, aunque no existe constancia de que así sea, que dicha información estuviese almacenada en cualquier Estado miembro, incluida España, y, por lo tanto, que estuviese acudiendo a medios (almacenamiento temporal de información indexada en servidores de la compañía) radicados en España. ¿Debe interpretarse el art. 4.1.c de la Directiva 95/46/CE en el sentido de que existe un “recurso a medios situados en el territorio de dicho Estado miembro” cuando un buscador utilice arañas o robots para localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado miembro o cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y los resultados en función del idioma de ese Estado miembro?, ¿Puede considerarse como un recurso a medios, en los te'rminos del art. 4.1.c de la Directiva 95/46/CE, el almacenamiento temporal de la información indexada por los buscadores en internet? Si la respuesta a esta última cuestión fuera afirmativa, ¿puede entenderse que este criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde almacena estos índices alegando razones competitivas? 3.6 Utilización de otros criterios de conexión para una protección eficaz del derecho fundamental.
Cabe plantearse, finalmente, si aun cuando no concurriesen estos puntos de conexión, previstos en el art. 4 de la Directiva 95/46/CE, sería preciso realizar una interpretación que, a la luz del art. 8 la Carta Europea de los Derechos Fundamentales, permita utilizar otros criterios de conexión para proporcionar una tutela eficaz de este derecho a los ciudadanos de la Unión Europea.
La finalidad de la Directiva 95/46/CE es brindar una protección eficaz en la Unión Europea a los datos de las personas físicas (así se desprende de los apartados 10 y 18 de su exposición de motivos), que difícilmente sería compatible con la pretensión de la empresa Google de que los afectados que quieran ejercitar sus derechos de supresión, bloqueo y/o oposición frente a su buscador tengan que acudir a la jurisdicción de los Estados Unidos y someterse a la normativa dicho Estado. Esta empresa considera que no resulta aplicable la normativa comunitaria (ni consiguientemente la nacional) de protección de datos y que los afectados no pueden acudir a las autoridades y, en su caso, a los tribunales de justicia nacionales para la tutela de sus derechos. La Directiva 95/46/CE se dictó en un momento en que los buscadores de internet, o no existían o eran muy incipientes, por lo que las normas de conflicto no están, en principio, diseñadas para afrontar los peligros que han sobrevenido con los cambios tecnológicos. Pero con la aprobación sobrevenida de la Carta Europea de Derechos Fundamentales, que según dispone el art. 6 del TUE que tiene el mismo valor jurídico que los Tratados, se reconoce el derecho fundamental a la protección de datos de carácter personal (art. 8 de la Carta), por lo que parece razonable acudir a una interpretación y aplicación de las normas comunitarias que permita una tutela eficaz de este derecho, pues la Carta persigue, según su exposición de motivos, “reforzar la protección de los derechos fundamentales a tenor de la evolución de la sociedad, del progreso social y de los avances científicos y tecnológicos”.
Una protección eficaz de este derecho fundamental no puede depender del lugar donde la empresa decida asentar los medios te'cnicos. La utilización de soportes te'cnicos inmateriales, que permiten prestar los servicios desubicados del territorio al que van dirigidos y. en muchos casos, sin contar con medios residenciados en el mismo, complica una tutela eficaz de las eventuales lesiones de los derechos de la personalidad que se producen en el ciberespacio, especialmente en materia de protección de datos. Sin desconocer el peligro añadido que supondría la posibilidad de suprimir los establecimientos y medios que tuviere para impedir la aplicación de la normativa comunitaria o nacional, o cambiar el centro de gestión de recursos y medios, localizándolo en aquellos países que careciesen de una normativa de protección de datos o en los que sus normas fuesen más permisivas con la tutela de estos derechos.
De modo que la actividad desplegada por el buscador, aun cuando se considere que es gestionado desde fuera de la Unión y no dispone de un establecimiento ni recurre a medios ubicados en un Estado miembro, es susceptible de lesionar derechos fundamentales de los ciudadanos de la Unión Europea y la tutela de este derecho debería situarse donde se ubica el centro de gravedad del conflicto y sea posible una tutela eficaz del mismo, incluyendo la posibilidad de permitir una aprehensión integral del conflicto que comprenda los intereses en juego y de las normas implicadas.
Por ello sostener que la indexación de datos procedentes de páginas web situadas en España, en relación con una información publicada en España, en base a una norma legal española, que afecta a datos de un ciudadano español y que fundamentalmente puede tener una repercusión negativa, a juicio del afectado, en su entorno personal y social sito en España (centro de intereses), tenga que defender la tutela de su derecho a la protección de datos en EEUU, por ser el lugar que el gestor del buscador ha elegido para ubicar los medios te'cnicos, colocaría a los afectados en una situación de especial vulnerabilidad e impediría o dificultaría enormemente la tutela eficaz de este derecho que podría resultar incompatible con el espíritu y finalidad que inspira la Directiva y, sobre todo, con una tutela eficaz de un derecho fundamental contenido en la Carta Europea de Derechos Fundamentales. Es por ello que, con independencia de la respuesta a las preguntas anteriores y especialmente en el caso en que se considerase por el Tribunal de Justicia de la Unión que no concurren los criterios de conexión previstos en el art. 4 de la Directiva, se plantea la siguiente pregunta
Temi attuali:
Algoritmi ChatGPT Intelligenza artificiale Privacy WordPress
&
07.03.2012 Spataro
Cassazione 2806 del 2025: va licenziato il dipendente che accede ai dati aziendali per finalità personali Pubblicano la sentenza con il nome del minore: 10.000 euro Provvedimenti degli enti pubblici, sentenze e generalità degli interessati Tribunale di Vicenza: contestazione di insubordinazione e controlli posta Cassazione 9313 del 2023 deve rispondere il destinatario dell'istanza di accesso, anche in termini negativi Tribunale di Roma su Phishing su carta di credito e responsabilità del correntista - Descritta la tecnica ingannevole adottata. Di chi è il dropbox aziendale gestito dai dipendenti ? Tribunale di Baden Baden 277/22 sui Google Fonts Legal realism: il mito dell'unica soluzione giusta in una sentenza Provvedimento del 13 aprile 2023 [9888457] su risposte e antiriciclaggio
|