Bienintencionada,
pero cuestionable en su argumentación, resulta la STS (Sala Primera, de lo
Civil) 210/2016, de 5 de abril (Rec. 3269/2014), que opta de manera expresa por
una interpretación de un concepto autónomo de Derecho de la UE (“responsable
del tratamiento de datos personales”) contraria a la efectuada sólo días antes
por la Sala de lo Contencioso-Administrativo del mismo TS -entre otras, STS 574/2016, de 14 de marzo (Rec. 1380/2015)-, y
lo hace con un planteamiento en el que llama la atención la manifiesta
desconfianza del TS (Civil) con respecto a los mecanismos desarrollados en el
ámbito del Derecho internacional privado de la UE para la tutela de una parte
débil merecedora de especial protección o para la efectividad de un derecho
fundamental como el derecho a la protección de datos también frente a empresas domiciliadas
fuera de la UE. Desde la perspectiva del Derecho de la UE, tal vez no haya
ningún precedente de un tribunal supremo de un Estado miembro que con días de
diferencia interpreta de manera expresamente contradictoria un concepto tan
relevante del Derecho de la UE, sin plantear una cuestión prejudicial al
Tribunal de Justicia.
Escaso
consuelo supone para la seguridad jurídica y la interpretación uniforme del
Derecho de la UE que la STS de 5 de abril afirme: “Debe recordarse la existencia de distintos criterios rectores en las
distintas jurisdicciones, por la diversidad de las normativas que con carácter
principal se aplican por unas y otras…”, destacando que en “las sentencias de la Sala de lo Contencioso
Administrativo se está resolviendo con relación a resoluciones dictadas en un
procedimiento administrativo seguido ante la AEPD, mientras que esta sentencia
se dicta en un proceso civil que tiene por objeto la protección de los derechos
fundamentales del demandante, en concreto los derechos al honor, a la intimidad
y a la protección frente al tratamiento automatizado de sus datos de carácter
personal.” Pese a esa afirmación, lo cierto es que tanto en uno como en
otro caso de lo que se trata sobre este particular es de determinar si Google
Spain SL es “responsable del tratamiento” en el sentido del artículo 2.d) de la
Directiva 95/46/CE -art. 3.d) de la LOPD-, lo que en el asunto al que se
refiere la STS de 5 de abril resulta presupuesto del derecho a indemnización de
los interesados con base en el artículo 19 LOPD (art. 23.1 de la Directiva 95/46/CE).
Ciertamente,
estas sentencias del TS abordan, entre otras, la cuestión de si la filial Google
Spain SL, con domicilio en España y dedicada en principio básicamente a la
comercialización de publicidad, debe ser responsable con respecto al tratamiento
de datos llevado a cabo por el motor de búsqueda Google, gestionado por Google
Inc, con domicilio en EEUU. Por lo tanto, este aspecto de la controversia no
trata sobre si existe o no responsabilidad sino únicamente acerca de si es
imputable sólo a Google Inc o si también lo es a Google Spain SL por ser coresponsable
del tratamiento de datos por parte del buscador.
Frente al
criterio de la AEPD, la Sala de lo Contencioso-Administrativo del TS concluyó
que: “hablar de corresponsabilidad supone
un examen de la situación fáctica y comprobar que la entidad en cuestión tiene
una participación concreta e identificada en la determinación de los fines y
medios del tratamiento de que se trate, tratamiento que en este caso y según se
declara por el TJUE al dar respuesta a la cuestión prejudicial planteada por la
Sala de instancia, " consiste en hallar información publicada o puesta en
Internet por terceros, indexarla de manera automática, almacenarla temporalmente
y, por último, ponerla a disposición de los internautas según un orden de
preferencia determinado" . En este caso no se identifica por la Sala de
instancia ninguna actividad de Google Spain que suponga la participación en esa
actividad del motor de búsqueda. Por el contrario y como recoge el TJUE en el
fundamento 46 de la citada sentencia, el tribunal remitente señala que Google
Inc. gestiona técnica y administrativamente Google Search y que no está probado
que Google Spain realice en España una actividad directamente vinculada a la
indexación o almacenamiento de información o de datos contenidos en los sitios
de Internet de terceros... De ahí que solo Google Inc. es la responsable del
tratamiento pues a ella corresponde en exclusiva la determinación de los fines,
las condiciones y los medios del tratamiento de datos personales.” (Fdto.
Dcho. 3º, STS (Contencioso-Administrativo)
574/2016, de 14 de marzo).
Contra el
planteamiento de la Sala de lo Contencioso-Administrativo, la Sala de lo Civil unos
días después afirma: “8.- …siendo cierto
que Google Inc, en tanto que gestor del motor de búsqueda Google Search, es
responsable del tratamiento de datos, y así lo declara la STJUE del caso Google
al resolver, en la primera parte de la sentencia, la cuestión de si la
actividad de un motor de búsqueda constituye tratamiento de datos personales en
el sentido del art. 2.b de la Directiva (apartado 33), también lo es que Google
Spain puede ser considerada, en un sentido amplio, como responsable del
tratamiento de datos que realiza el buscador Google Search en su versión
española (www.google.es), conjuntamente con su matriz Google Inc y, por tanto,
está legitimada pasivamente para ser parte demandada en los litigios seguidos
en España en que los afectados ejerciten en un proceso civil sus derechos de
acceso, rectificación, cancelación y oposición, y exijan responsabilidad por la
ilicitud del tratamiento de datos personales realizado por el buscador Google
en su versión española.
Por ello debe considerarse correcta la
afirmación de la Audiencia Provincial de que Google Spain está legitimada
pasivamente para soportar la acción ejercitada por una persona afectada por el
tratamiento de esos datos personales realizado por el buscador Google en
defensa de sus derechos de la personalidad y de su derecho a la protección de
datos personales.” (Fdto. Dcho. 3º STS (Sala Primera, de lo Civil)
210/2016, de 5 de abril).
La
Sala de lo Civil del TS no cuestiona que la sentencia Google Spain del Tribunal de Justicia se pronunció tan sólo sobre
la condición de responsable del tratamiento del gestor del motor de búsqueda,
circunstancia que en la cuestión prejudicial planteada en su momento al
Tribunal de Justicia se atribuía a Google Inc. De hecho, de haber sido
considerado responsable Google Spain SL todo el debate sobre si la eventual determinación
de un establecimiento del responsable en España, como elemento determinante de
la aplicación de la legislación europea sobre protección de datos, hubiera
resultado superflua, ya que es evidente que Google Spain SL tiene su establecimiento
en España. Por eso, la vinculación entre Google Inc y Google Spain SL fue una
circunstancia determinante en la sentencia del TJUE no para establecer el responsable
sino para concretar el alcance de las normas sobre el ámbito de aplicación
espacial de la legislación europea sobre protección de datos, de cara a
establecer que la misma resulta aplicable a Google Inc. pese a tratarse de una
sociedad domiciliada en EEUU.
Es conocido
que el artículo 2 LOPD –que incorpora el art. 4 de la Directiva 95/46/CE- prevé
la aplicación de la legislación española, en particular, cuando “el tratamiento
sea efectuado en territorio español en el marco de las actividades de un
establecimiento del responsable del tratamiento”. La vinculación existente
entre Google Inc. y su filial en España Google SL llevó al Tribunal de Justicia
a concluir sobre este particular que el artículo 4 de la Directiva “debe
interpretarse en el sentido de que se lleva a cabo un tratamiento de datos
personales en el marco de las actividades de un establecimiento del responsable
de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha
disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro
una sucursal o una filial destinada a garantizar la promoción y la venta de
espacios publicitarios propuestos por el mencionado motor y cuya actividad se
dirige a los habitantes de este Estado miembro”. Por lo tanto, parece desprenderse
la idea de que en principio responsable del tratamiento sería, en un caso como
ese, la sociedad gestora del buscador y no la filial, si bien la vinculación
con ésta sería determinante para apreciar que el tratamiento tiene lugar en el
marco de las actividades de un establecimiento en España del responsable, lo que
viene confirmado por la jurisprudencia (incluso posterior) del Tribunal de
Justicia sobre la amplitud del concepto de establecimiento a estos efectos.
Lo esencial de
la argumentación de la Sala de lo Civil del TS para llegar a un resultado
contrario al alcanzado por la Sala de lo Contencioso-Administrativo se contiene
en los párrafos 9 a 12 del Fdto. de Derecho Tercero de la sentencia de 5 de
abril, que aparecen reproducidos al final de este texto. Básicamente, la
sentencia fundamenta su criterio en la circunstancia de que tener que demandar en
España a una empresa extranjera (y no a su filial española) supone en este caso
frustrar el objetivo de asegurar una protección eficaz de los derechos fundamentales,
obstaculizando la efectividad de las normas que tutelan el derecho fundamental
a la protección de datos, que va referido a personas físicas. Insiste el
Tribunal en las dificultades prácticas asociadas a tener que litigar en España
contra un demandado domiciliado en el extranjero: “…la inmensa mayoría de las personas tendría enormes dificultades
prácticas para interponer la demanda de protección de sus derechos
fundamentales contra una sociedad domiciliada en Estados Unidos y obtener la
tutela judicial efectiva de sus derechos en un plazo razonable, tanto por el
elevado coste que supone la traducción al inglés de la demanda y la
documentación que le acompaña, como por la dilación que implicaría la
inevitable tardanza en el emplazamiento de dicha sociedad, al tener que acudir
a los instrumentos de auxilio judicial internacional, con lo que se prolongaría
la situación de vulneración de sus derechos fundamentales. Y, sobre todo, en
caso de obtener una sentencia condenatoria, si la demandada no le diera
cumplimiento voluntariamente, el ciudadano afectado debería solicitar el reconocimiento
y la ejecución de la sentencia en los Estados Unidos de América, con el coste y
las dificultades, tanto de orden teórico como práctico, que ello trae consigo”.
Aunque esas
afirmaciones puedan ser tenidas en cuenta en el plano práctico (por ejemplo,
para cuestionar eventualmente la exigencia de traducción a un idioma extranjero
de la demanda frente a una empresa que ofrece de manera generalizada sus
servicios en español), no parecen determinantes para apreciar la condición de
responsable del tratamiento en la legislación sobre datos personales, a cuyos
efectos parecería más relevante, como señaló la Sala de lo
Contencioso-Administrativo, haber valorado la situación fáctica y la eventual participación
de la filial en la determinación de los fines y medios del tratamiento de que
se trate.
El peso atribuido
a esos elementos de dificultad práctica por la Sala de lo Civil del TS
contradice la circunstancia de que el mecanismo de protección establecido en el
orden civil por la legislación de la UE para proteger a una parte débil en las
transacciones internacionales se basa precisamente en facilitar que la parte
débil (consumidor, trabajador, asegurado…) pueda demandar ante los tribunales
de su propio domicilio a una empresa domiciliada en el extranjero, incluido un
tercer Estado, unido a la aplicación de la normativa de protección del foro.
Esto último es lo que aseguró la sentencia Google Spain en caso de demandas
dirigidas contra Google Inc (sin perjuicio de acompañar la aplicación imperativa
de la legislación sobre protección de datos en las acciones de indemnización
con el recurso a la regla de conflicto del artículo 10.9 Cc que cabe entender
que conduce en situaciones como esa también a la ley española). Pero no sólo
eso, la idea de que la supuesta víctima pueda demandar ante los tribunales de
su domicilio (centro de vida) a quienes (teniendo su domicilio en el extranjero)
infringen sus derechos de la personalidad, incluido el derecho a la protección
de datos personales ha constituido también un elemento clave de la evolución del
DIPr de la UE con el objetivo de favorecer a los afectados, como refleja la
conocida sentencia del TJ en el asunto eDate
Advertising y Martínez. De hecho, con respecto al nuevo Reglamento europeo
sobre protección de datos, cabe reseñar que ya en su Propuesta incluyó ciertas
reglas de competencia judicial internacional, que para proteger al afectado contemplan
la posibilidad con carácter general de que la víctima pueda demandar ante los
tribunales de su propia residencia habitual a responsables establecidos en el
extranjero (art. 75.2).
Precisamente,
a la luz de esta última disposición cabe entender que la exigencia de un
recurso judicial efectivo no requiere que la acción judicial deba dirigirse
contra un demandado domiciliado en el foro, frente a lo que parece desprenderse de la STS
de 5 de abril. Más llamativa resulta la referencia en la mencionada sentencia a
la eventual necesidad de ejecución en EEUU de la sentencia que pudiera
adoptarse contra Google Inc., sin tener en cuenta que tal exigencia sólo se
plantearía con respecto a una eventual condena de cantidad si la condenada no
tiene bienes en España (ni otros Estados miembros del Reglamento Bruselas I bis), dándose la circunstancia en este caso de que Google
Inc. tendría precisamente, como mínimo, una filial en nuestro país.
Lo que parece
subyacer en el planteamiento “bienintencionado” de la sentencia de 5 de abril
es una reacción a la deficiente aplicación tradicional del marco normativo
relativo a la sociedad de la información, la protección de los consumidores y
la protección de datos personales (y previamente los juegos de azar) a los
prestadores de la sociedad de la información establecidos en terceros Estados.
A tales prestadores en la medida en que dirijan sus actividades al mercado
español, les es típicamente de aplicación la LSSI (especialmente arts. 2.2 y 4), la legislación
sobre datos personales, la legislación sobre consumo (incluido las relativas a
cláusulas abusivas), la legislación publicitaria… La deficiente aplicación,
especialmente por las autoridades públicas con funciones de supervisión y
sanción, de estas normas ha contribuido, entre otras negativas consecuencias, a una cierta desventaja competitiva en
el mercado europeo de las empresas europeas, y no se justifica por la
circunstancia de que el domicilio de las empresas que han permanecido en gran
medida al margen de una aplicación efectiva de esas normas se encuentre en un
tercer Estado, pues su presencia en el mercado europeo facilita la efectividad
de las medidas –tanto administrativas como civiles- que se puedan adoptar
contra ellas.
ANEXO
Apartados 9 a 12 del Fundamento de Derecho Tercero de la STS
(Sala Primera, de lo Civil) 210/2016, de 5 de abril)
“9.- Una solución en sentido contrario, como
la propugnada por Google Spain, basada en un concepto estricto de «responsable
del tratamiento», que lleve a considerar que la única legitimada pasivamente
para ser demandada en un proceso de protección de derechos fundamentales por la
vulneración causada por el tratamiento de datos que realiza el buscador Google
es la sociedad matriz, Google Inc, sociedad de nacionalidad norteamericana con
domicilio social en California, supondría frustrar en la práctica el objetivo
de «garantizar una protección eficaz y completa de las libertades y de los
derechos fundamentales de las personas físicas, y, en particular, del derecho a
la intimidad, en lo que respecta al tratamiento de los datos personales» que, de
acuerdo con el apartado 53 de la STJUE del caso Google , tiene la Directiva
comunitaria.
Los apartados 68 y 69 de esta sentencia
recuerdan que las disposiciones de esta Directiva «deben ser interpretadas a la
luz de los derechos fundamentales que, según reiterada jurisprudencia, forman
parte de los principios generales del Derecho cuyo respeto garantiza el
Tribunal de Justicia y que están actualmente recogidos en la Carta», en
concreto los derechos a la intimidad y a la protección de datos de carácter personal
que reconocen los arts. 7 y 8 de la Carta de Derechos Fundamentales de la Unión
Europea».
10.- Esta interpretación restrictiva
supondría, en la práctica, un serio obstáculo, cuando no un impedimento para la
efectividad de los derechos fundamentales que el ordenamiento jurídico de la
Unión Europea, las normas convencionales internacionales y las propias normas
internas, constitucionales y de rango legal y reglamentario, protegen frente al
tratamiento automatizado de datos personales de carácter ilícito.
El considerando 55 de la Directiva declara
que las legislaciones nacionales deben prever un recurso judicial para los
casos en los que el responsable del tratamiento de datos no respete los
derechos de los interesados; y que los daños que pueden sufrir las personas a
raíz de un tratamiento ilícito han de ser reparados por el responsable del
tratamiento de datos. Por ello, el art. 22 de la Directiva prevé que los
Estados miembros establecerán que toda persona disponga de un recurso judicial
en caso de violación de los derechos que le garanticen las disposiciones de
Derecho nacional aplicables al tratamiento de que se trate, y dispondrán que
toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito
o de una acción incompatible con las disposiciones nacionales adoptadas en
aplicación de la presente Directiva, tenga derecho a obtener del responsable
del tratamiento la reparación del perjuicio sufrido.
Asimismo, la STJUE del caso Google declaró
que era objetivo de la Directiva garantizar, mediante una definición amplia del
concepto de «responsable del tratamiento», una protección eficaz y completa de
los interesados (apartado 34), y que no se puede aceptar que el tratamiento de
datos personales llevado a cabo para el funcionamiento del mencionado motor de
búsqueda se sustraiga a las obligaciones y a las garantías previstas por la
Directiva, lo que menoscabaría su efecto útil y la protección eficaz y completa
de las libertades y de los derechos fundamentales de las personas físicas que
tiene por objeto garantizar, en particular, el respeto de su vida privada en lo
que respecta al tratamiento de datos personales, al que la Directiva concede
una importancia especial».
11.- Los sujetos protegidos por la normativa
sobre protección de datos son las personas físicas (art. 1 y 2.a de la
Directiva). El efecto útil de la normativa comunitaria se debilitaría
enormemente si los afectados hubieran de averiguar, dentro del grupo
empresarial titular de un motor de búsqueda, cuál es la función concreta de
cada una de las sociedades que lo componen, lo que, en ocasiones, constituye
incluso un secreto empresarial y, en todo caso, no es un dato accesible al
público en general. También se debilitaría el efecto útil de la Directiva si se
diera trascendencia, en el sentido que pretende la recurrente Google Spain, a
la personificación jurídica que el responsable del tratamiento de datos diera a
sus establecimientos en los distintos Estados miembros, obligando de este modo
a los afectados a litigar contra sociedades situadas en un país extranjero.
Incluso en el caso de litigar en España, la
inmensa mayoría de las personas tendría enormes dificultades prácticas para
interponer la demanda de protección de sus derechos fundamentales contra una
sociedad domiciliada en Estados Unidos y obtener la tutela judicial efectiva de
sus derechos en un plazo razonable, tanto por el elevado coste que supone la
traducción al inglés de la demanda y la documentación que le acompaña, como por
la dilación que implicaría la inevitable tardanza en el emplazamiento de dicha
sociedad, al tener que acudir a los instrumentos de auxilio judicial
internacional, con lo que se prolongaría la situación de vulneración de sus
derechos fundamentales. Y, sobre todo, en caso de obtener una sentencia
condenatoria, si la demandada no le diera cumplimiento voluntariamente, el
ciudadano afectado debería solicitar el reconocimiento y la ejecución de la
sentencia en los Estados Unidos de América, con el coste y las dificultades,
tanto de orden teórico como práctico, que ello trae consigo.
Por otra parte, dadas las características
del servicio que prestan estos motores de búsqueda, la sociedad más
directamente relacionada con la determinación de los fines y los medios del
tratamiento de datos personales podría ser ubicada en otro Estado con el que no
existieran relaciones que permitieran el emplazamiento de la sociedad y el
posterior reconocimiento y ejecución de la resolución que se dictara.
12.- En definitiva, de aceptar la tesis de
la recurrente y circunscribir la legitimación pasiva a la compañía
norteamericana Google Inc, se daría el contrasentido de que estaríamos
otorgando a la normativa sobre tratamiento de datos personales una finalidad
teórica de protección muy elevada de los derechos de la personalidad de los
afectados por el tratamiento, y emplearíamos unos criterios muy amplios para
fijar su ámbito territorial de aplicación, que permitiera incluir en él la
actividad de motores de búsqueda con establecimiento en un Estado miembro, pero
estaríamos abocando a los interesados a unos procesos que dificultan, haciendo
casi imposible en la práctica, dicha protección, pues habrían de interponerse
contra una empresa radicada en los Estados Unidos (o en otro Estado con el que
el nivel de cooperación judicial fuera aún menor), con los elevados gastos y
dilaciones que ello trae consigo.”