sábado, 3 de marzo de 2012

La cuestión prejudicial de la Audiencia Nacional sobre Google y la evolución de la legislación sobre protección de datos


            El auto de 27 de febrero mediante el que la Sala de lo Contencioso Administrativo de la Audiencia Nacional acuerda plantear al Tribunal de Justicia cuestión prejudicial de interpretación relativa a ciertas normas de la Directiva 95/46/CE sobre protección de datos personales ha tenido un gran eco en los medios de comunicación. El procedimiento en el que se ha acordado este auto tiene su origen en los recursos presentados por Google Inc. y Google Spain SL solicitando la nulidad de la resolución del Director de la Agencia Española de Protección de Datos que requería a Google para que retirara de los resultados del buscador los enlaces a ciertos documentos que incluían datos personales del reclamante mientras que en dicha resolución se desestimó la reclamación contra el responsable de la publicación (periódico) en la que figuraban tales documentos por considerar que había denegado correctamente la cancelación pues la publicación en esos términos de la información tenía justificación legal (se trataba del anuncio por parte de la Seguridad Social de la subasta de un bien del que era copropietario el afectado). La cuestión prejudicial solicita al Tribunal de Justicia que se pronuncie sobre aspectos de gran trascendencia, en lo relativo al ámbito de aplicación territorial de la legislación sobre protección de datos personales –vinculados a la circunstancia de que el domicilio social de Google Inc se encuentra en California-, la caracterización de los proveedores de servicios de busquedas en Internet como responsables del tratamiento de los datos que indexan, así como el alcance del llamado “derecho al olvido” en el marco de la Directiva. Aunque ciertamente  las cuestiones van referidas a aspectos de mucha relevancia en los que la interpretación de las reglas de la Directiva resulta en gran medida controvertida, la trascendencia de la eventual sentencia del Tribunal de Justicia en relación con esta cuestión prejudicial puede resultar limitada de cara al futuro en la medida en que el legislador de la UE esté a la altura de sus funciones y adopte un nuevo marco legislativo en la materia que incluya una regulación más precisa de esas cuestiones, culminando en un tiempo razonable la aprobación de una nueva normativa en la materia a partir de la Propuesta de Reglamento general de protección de datos presentada por la Comisión el pasado 25 de enero.

            La cuestión prejudicial aparece dividida en tres bloques, el primero de los cuales va referido a la aplicación territorial de la legislación europea sobre protección de datos personales. En concreto el contenido de las preguntas sobre este aspecto es el siguiente:

1. Por lo que respecta a la aplicación territorial de la Directiva 95/46/CE y, consiguientemente de la normativa española de protección de datos:
1.1 ¿Debe interpretarse que existe un “establecimiento”, en los términos descritos en el art. 4.1.a) de la Directiva 95/46/CE, cuando concurra alguno o algunos de los siguientes supuestos:
- cuando la empresa proveedora del motor de búsqueda crea en un Estado Miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes de ese Estado,
o
-cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su
representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa
o
- cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la Unión Europea, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto al derecho de protección de datos, aun cuando dicha colaboración se realice de forma voluntaria?
1.2 ¿Debe interpretarse el art. 4.1.c de la Directiva 95/46/CE en el sentido de que existe un “recurso a medios situados en el territorio de dicho Estado miembrocuando un buscador utilice arañas o robots para localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado miembro
o
cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y los resultados en función del idioma de ese Estado miembro?.
1.3 ¿Puede considerarse como un recurso a medios, en los términos del art. 4.1.c de la Directiva 95/46/CE, el almacenamiento temporal de la información indexada por los buscadores en internet? Si la respuesta a esta última cuestión fuera afirmativa, ¿puede entenderse que este criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde almacena estos índices alegando razones competitivas?
1.4. Con independencia de la respuesta a las preguntas anteriores y especialmente en el caso en que se considerase por el Tribunal de Justicia de la Unión que no concurren los criterios de conexión previstos en el art. 4 de la Directiva,
¿Debe aplicarse la Directiva 95/46/CE en materia de protección de datos, a la luz del art. 8 de la Carta Europea de Derechos Fundamentales, en el país miembro donde se localice el centro de gravedad del conflicto y sea posible una tutela más eficaz de los derechos de los ciudadanos de la Unión Europea?”


            La interpretación del artículo 4 de la Directiva en relación con actividades desarrolladas a través de Internet ha sido fuente de intensa polémica, favorecida por las propias carencias del texto legal e incluso las diferencias entre las diversas versiones lingüísticas -en particular, en la versión inglesa el artículo 4.1.c) emplea el término potencialmente más restrictivo “equipment” donde la española dice “medios”. Componente básico de esa polémica ha sido la idea de que una interpretación muy amplia del criterio de los medios puede resultar en determinadas situaciones excesivo con respecto a ciertos responsables del tratamiento establecidos fuera de la UE. Esta cuestión prejudicial y, en concreto, el contenido de la pregunta 1.4 pone de relieve que una interpretación muy restrictiva también podría ser fuente de dificultades. Ciertamente tratándose de las actividades de un prestador de servicios que tiene decenas de millones de usuarios en la UE, que dirige  sus servicios (entre otros) a los países de la UE, que ofrece espacios publicitarios específicamente dirigidos a anunciantes interesados en comercializar sus productos o servicios en países de la UE, que dispone de establecimientos en Estados de la UE dedicados a la comercialización de servicios esenciales para la rentabilidad del buscador… parece razonable que quede sometido a la legislación de la UE en materia de datos personales (lo cual no implica pronunciarse en absoluto sobre el fondo del asunto). Cualquier otro resultado menoscabaría gravemente la protección del derecho fundamental a la protección de datos de carácter personal y constituiría una discriminación intolerable para los prestadores de servicios establecidos en la UE que favorecería la deslocalización de estos servicios a países con un marco menos estricto en materia de protección de datos (o incluso carentes de cualquier regulación en la materia).
Ahora bien, en primer lugar es importante tener en cuenta que el concepto de “establecimiento” en el marco del artículo 4 de la Directiva es un término muy amplio en el que –como señala la propia Audiencia- lo determinante es el ejercicio efectivo y real en el país en cuestión de una actividad mediante una instalación estable con independencia de la forma jurídica de ésta, lo que puede ser muy relevante al valorar si la existencia de una filial dedicada a comercializar servicios básicos para la rentabilidad y viabilidad del servicio que presta la empresa matiz resulta determinante para apreciar que ésta tiene un establecimiento en España a los efectos de la Directiva.
En segundo lugar, ha quedado apuntado que ha tendido a hacerse una interpretación amplia del criterio de la utilización de medios por las autoridades nacionales en materia de protección de datos, como recoge la práctica del llamado Grupo de Trabajo sobre protección de datos del artículo 29, que menciona el Auto. De cara al futuro, con respecto a los problemas asociados a la referencia a la utilización de medios en la UE como criterio determinante de la aplicación de la legislación de la UE en materia de datos personales importa destacar que la nueva legislación proyectada prescinde del recurso a este criterio y opta por otro que cabe entender que clarifica la aplicación de la legislación sobre protección de datos de la UE a actividades de un buscador con una presencia en el mercado de la UE como Google aunque se considerara que no tuviera ningún establecimiento en la UE. Además el nuevo enfoque trata de evitar la aplicación de la legislación de la UE a situaciones que no presentan una conexión suficiente con la UE. En concreto, el artículo 3.2 de la Propuesta prevé que el Reglamento “se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable del tratamiento no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión; o b) el control de su conducta”.
Los términos de esta primera parte de la cuestión prejudicial en lo relativo al ámbito de aplicación de la legislación sobre protección de datos suscitan otras cuestiones de interés, como la referencia en la pregunta 1.4 al criterio del “país miembro donde se localice el centro de gravedad del conflicto” en línea con el planteamiento adoptado en la interpretación de las reglas de competencia judicial internacional en el orden civil por el Abogado General Cruz Villalón en sus Conclusiones de 29 de marzo de 2011, asuntos C509/09 y C161/10, eDate Advertising, que precedieron a la Sentencia del Tribunal de Justicia de 25 de octubre de 2011. Más allá de la estricta correlación entre tribunales competentes y ley aplicable característica del orden contencioso administrativo, no cabe desconocer que la determinación de la ley aplicable en este ámbito –eventualmente mediante el recurso al art. 10.9 Cc- resulta también relevante con respecto a la posibilidad, que confirma de manera expresa el artículo 77 de la Propuesta de Reglamento en el sentido de que toda persona que haya sufrido un perjuicio como consecuencia de una operación de tratamiento ilegal tiene derecho a recibir del responsable o encargado del tratamiento una indemnización por el perjuicio sufrido. El alcance de la competencia judicial internacional de los tribunales españoles del orden civil en relación con el ejercicio de tales acciones resulta en el marco actual de la aplicación del Reglamento Bruselas I (o del artículo 22 LOPJ conforme al artículo 4 Reglamento Bruselas I), pero la Propuesta incluye una peculiar regla específica de competencia (que resultaría de aplicación preferente conforme al art. 67 del Reglamento Bruselas I) que contempla atribuir al interesado la opción de demandar ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento o ante los tribunales del Estado miembro en el que el interesado tenga su residencia habitual (art. 75.2 de la Propuesta de Reglamento).

            El contenido del resto de la cuestión prejudicial plantea la interpretación de normas de la Directiva relevantes para resolver el fondo del asunto, incluido el alcance del llamado “derecho al olvido”:

“2. Por lo que respecta a la actividad de los buscadores como proveedor de contenidos en relación con la Directiva 95/46/CE de Protección de Datos:
2.1. En relación con la actividad del buscador de la empresa “Google” en internet, como proveedor de contenidos, consistente en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y finalmente ponerla a disposición de los internautas con un cierto orden de preferencia, cuando dicha información contenga datos personales de terceras personas, ¿Debe interpretarse una actividad como la descrita comprendida en el concepto de “tratamiento de datos” contenido en el art. 2.b de la Directiva 95/46/CE?
2.2. En caso de que la respuesta anterior fuera afirmativa y siempre en relación con una actividad como la ya descrita: ¿Debe interpretarse el artículo 2.d) de la Directiva 95/46/CE, en el sentido de considerar que la empresa que gestiona el buscador “Google” es “responsable del tratamiento” de los datos personales contenidos en las páginas web que indexa?.
2.3. En el caso de que la respuesta anterior fuera afirmativa: ¿Puede la autoridad nacional de control de datos (en este caso la Agencia Española de Protección de Datos), tutelando los derechos contenidos en el art. 12.b) y 14.a) de la Directiva 95/46/CE, requerir directamente al buscador de la empresa “Google” para exigirle la retirada de sus índices de una información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información?.
2.4. En el caso de que la respuesta a esta última pregunta fuera afirmativa, ¿Se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene los datos personales se haya publicado lícitamente por terceros y se mantenga en la página web de origen?
3. Respecto al alcance del derecho de cancelación y/oposición en relación con el derecho al olvido se plantea la siguiente pregunta:
3.1. ¿Debe interpretarse que los derechos de supresión y bloqueo de los datos, regulados en el art. 12.b) y el de oposición, regulado en el art. 14.a) de la Directiva 95/46/CE comprenden que el interesado pueda dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona, publicada en páginas web de terceros, amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de una información publicada lícitamente por terceros?.”


            Con respecto a si la actividad del buscador constituye un tratamiento de datos personales a los efectos del artículo 2.b) de la Directiva –cuyo contenido es básicamente reproducido en el art. 4.3 de la Propuesta de Reglamento- puede resultar relevante que el Tribunal de Justicia ha confirmado que la categoría de tratamiento de datos tiene un alcance muy amplio, como se desprende de los propios términos del precepto y de que la lista de operaciones que enumera no tiene carácter exhaustivo sino meramente indicativo (SSTJ de 6 de noviembre de 2003, Lindqvist, C-101/01, aps. 25-26; y de 16 Diciembre de 2008, Satamedia, C-73/07, aps. 35-36).
Particular interés en relación con el apartado 2 de la cuestión prejudicial presentan los aspectos relativos a la interacción entre la posición del buscador y de los proveedores de contenidos entre los que indexa su resultado el buscador. Con respecto a la posición del buscador no se plantea en el marco de este litigio la situación que puede crearse cuando el buscador facilita el acceso a informaciones que han sido eliminadas por el proveedor de contenidos del que se extrajeron, lo que puede suceder en la medida en que el buscador difunda contenidos mediante el acceso a copias en sus propios servidores (caché); no obstante del Auto parece desprenderse que en tales situaciones el buscador estaría normalmente obligado a imposibilitar el acceso a esos contenidos que han dejado de estar accesibles en la ubicación original. En relación con las situaciones creadas por la inclusión entre los resultados del buscador de enlaces a información con datos personales que ha sido publicada lícitamente por terceros y se mantiene accesible en la página web de origen, parece resultar clave asegurar un justo equilibrio entre la tutela del derecho fundamental a la protección de datos y otros derechos fundamentales como el derecho a la libertad de expresión y de información (acerca del significado de estos derechos en relación con el acceso a través de Internet a archivos periodísticos y la inclusión de éstos en el ámbito del art. 10 del Convenio Europeo de Derechos Humanos, vid. la Sentencia del TEDH de 10 de marzo de 2009 Times Newspapers Ltd v. the United Kingdom (nos. 1 and 2) -asuntos 3002/03 y 23676/03, disponible en  <http://www.echr.coe.int>-). En este contexto, en particular a la luz de la práctica española donde los problemas para los afectados con frecuencia han estado vinculados a la aparición de informaciones incluidas en boletines oficiales, no cabe desconocer que resulta de gran importancia –como señala la propia Audiencia- la eventual aplicación por los responsables de los sitios de Internet donde se difunde la información original de restricciones que excluyan contenidos con datos personales de los que son objeto de indexación por los buscadores. Por último, de cara al alcance futuro del llamado derecho al olvido resulta ahora fundamental que está cuestión es objeto específico del extenso artículo 17 de la Propuesta de Reglamento, que precisamente lleva por título “Derecho al olvido y a la supresión”.