martes, 19 de abril de 2016

Las recientes sentencias del Tribunal Supremo sobre Google Spain SL y Google Inc. desde la perspectiva del Derecho internacional privado

            Bienintencionada, pero cuestionable en su argumentación, resulta la STS (Sala Primera, de lo Civil) 210/2016, de 5 de abril (Rec. 3269/2014), que opta de manera expresa por una interpretación de un concepto autónomo de Derecho de la UE (“responsable del tratamiento de datos personales”) contraria a la efectuada sólo días antes por la Sala de lo Contencioso-Administrativo del mismo TS -entre otras, STS  574/2016, de 14 de marzo (Rec. 1380/2015)-, y lo hace con un planteamiento en el que llama la atención la manifiesta desconfianza del TS (Civil) con respecto a los mecanismos desarrollados en el ámbito del Derecho internacional privado de la UE para la tutela de una parte débil merecedora de especial protección o para la efectividad de un derecho fundamental como el derecho a la protección de datos también frente a empresas domiciliadas fuera de la UE. Desde la perspectiva del Derecho de la UE, tal vez no haya ningún precedente de un tribunal supremo de un Estado miembro que con días de diferencia interpreta de manera expresamente contradictoria un concepto tan relevante del Derecho de la UE, sin plantear una cuestión prejudicial al Tribunal de Justicia.


Escaso consuelo supone para la seguridad jurídica y la interpretación uniforme del Derecho de la UE que la STS de 5 de abril afirme: “Debe recordarse la existencia de distintos criterios rectores en las distintas jurisdicciones, por la diversidad de las normativas que con carácter principal se aplican por unas y otras…”, destacando que en “las sentencias de la Sala de lo Contencioso Administrativo se está resolviendo con relación a resoluciones dictadas en un procedimiento administrativo seguido ante la AEPD, mientras que esta sentencia se dicta en un proceso civil que tiene por objeto la protección de los derechos fundamentales del demandante, en concreto los derechos al honor, a la intimidad y a la protección frente al tratamiento automatizado de sus datos de carácter personal.” Pese a esa afirmación, lo cierto es que tanto en uno como en otro caso de lo que se trata sobre este particular es de determinar si Google Spain SL es “responsable del tratamiento” en el sentido del artículo 2.d) de la Directiva 95/46/CE -art. 3.d) de la LOPD-, lo que en el asunto al que se refiere la STS de 5 de abril resulta presupuesto del derecho a indemnización de los interesados con base en el artículo 19 LOPD (art. 23.1 de la Directiva 95/46/CE).

Ciertamente, estas sentencias del TS abordan, entre otras, la cuestión de si la filial Google Spain SL, con domicilio en España y dedicada en principio básicamente a la comercialización de publicidad, debe ser responsable con respecto al tratamiento de datos llevado a cabo por el motor de búsqueda Google, gestionado por Google Inc, con domicilio en EEUU. Por lo tanto, este aspecto de la controversia no trata sobre si existe o no responsabilidad sino únicamente acerca de si es imputable sólo a Google Inc o si también lo es a Google Spain SL por ser coresponsable del tratamiento de datos por parte del buscador.

Frente al criterio de la AEPD, la Sala de lo Contencioso-Administrativo del TS concluyó que: “hablar de corresponsabilidad supone un examen de la situación fáctica y comprobar que la entidad en cuestión tiene una participación concreta e identificada en la determinación de los fines y medios del tratamiento de que se trate, tratamiento que en este caso y según se declara por el TJUE al dar respuesta a la cuestión prejudicial planteada por la Sala de instancia, " consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado" . En este caso no se identifica por la Sala de instancia ninguna actividad de Google Spain que suponga la participación en esa actividad del motor de búsqueda. Por el contrario y como recoge el TJUE en el fundamento 46 de la citada sentencia, el tribunal remitente señala que Google Inc. gestiona técnica y administrativamente Google Search y que no está probado que Google Spain realice en España una actividad directamente vinculada a la indexación o almacenamiento de información o de datos contenidos en los sitios de Internet de terceros... De ahí que solo Google Inc. es la responsable del tratamiento pues a ella corresponde en exclusiva la determinación de los fines, las condiciones y los medios del tratamiento de datos personales.” (Fdto. Dcho. 3º, STS (Contencioso-Administrativo)  574/2016, de 14 de marzo).

Contra el planteamiento de la Sala de lo Contencioso-Administrativo, la Sala de lo Civil unos días después afirma: “8.- …siendo cierto que Google Inc, en tanto que gestor del motor de búsqueda Google Search, es responsable del tratamiento de datos, y así lo declara la STJUE del caso Google al resolver, en la primera parte de la sentencia, la cuestión de si la actividad de un motor de búsqueda constituye tratamiento de datos personales en el sentido del art. 2.b de la Directiva (apartado 33), también lo es que Google Spain puede ser considerada, en un sentido amplio, como responsable del tratamiento de datos que realiza el buscador Google Search en su versión española (www.google.es), conjuntamente con su matriz Google Inc y, por tanto, está legitimada pasivamente para ser parte demandada en los litigios seguidos en España en que los afectados ejerciten en un proceso civil sus derechos de acceso, rectificación, cancelación y oposición, y exijan responsabilidad por la ilicitud del tratamiento de datos personales realizado por el buscador Google en su versión española.
Por ello debe considerarse correcta la afirmación de la Audiencia Provincial de que Google Spain está legitimada pasivamente para soportar la acción ejercitada por una persona afectada por el tratamiento de esos datos personales realizado por el buscador Google en defensa de sus derechos de la personalidad y de su derecho a la protección de datos personales.” (Fdto. Dcho. 3º STS (Sala Primera, de lo Civil) 210/2016, de 5 de abril).

            La Sala de lo Civil del TS no cuestiona que la sentencia Google Spain del Tribunal de Justicia se pronunció tan sólo sobre la condición de responsable del tratamiento del gestor del motor de búsqueda, circunstancia que en la cuestión prejudicial planteada en su momento al Tribunal de Justicia se atribuía a Google Inc. De hecho, de haber sido considerado responsable Google Spain SL todo el debate sobre si la eventual determinación de un establecimiento del responsable en España, como elemento determinante de la aplicación de la legislación europea sobre protección de datos, hubiera resultado superflua, ya que es evidente que Google Spain SL tiene su establecimiento en España. Por eso, la vinculación entre Google Inc y Google Spain SL fue una circunstancia determinante en la sentencia del TJUE no para establecer el responsable sino para concretar el alcance de las normas sobre el ámbito de aplicación espacial de la legislación europea sobre protección de datos, de cara a establecer que la misma resulta aplicable a Google Inc. pese a tratarse de una sociedad domiciliada en EEUU.

Es conocido que el artículo 2 LOPD –que incorpora el art. 4 de la Directiva 95/46/CE- prevé la aplicación de la legislación española, en particular, cuando “el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento”. La vinculación existente entre Google Inc. y su filial en España Google SL llevó al Tribunal de Justicia a concluir sobre este particular que el artículo 4 de la Directiva “debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro”. Por lo tanto, parece desprenderse la idea de que en principio responsable del tratamiento sería, en un caso como ese, la sociedad gestora del buscador y no la filial, si bien la vinculación con ésta sería determinante para apreciar que el tratamiento tiene lugar en el marco de las actividades de un establecimiento en España del responsable, lo que viene confirmado por la jurisprudencia (incluso posterior) del Tribunal de Justicia sobre la amplitud del concepto de establecimiento a estos efectos.

Lo esencial de la argumentación de la Sala de lo Civil del TS para llegar a un resultado contrario al alcanzado por la Sala de lo Contencioso-Administrativo se contiene en los párrafos 9 a 12 del Fdto. de Derecho Tercero de la sentencia de 5 de abril, que aparecen reproducidos al final de este texto. Básicamente, la sentencia fundamenta su criterio en la circunstancia de que tener que demandar en España a una empresa extranjera (y no a su filial española) supone en este caso frustrar el objetivo de asegurar una protección eficaz de los derechos fundamentales, obstaculizando la efectividad de las normas que tutelan el derecho fundamental a la protección de datos, que va referido a personas físicas. Insiste el Tribunal en las dificultades prácticas asociadas a tener que litigar en España contra un demandado domiciliado en el extranjero: “…la inmensa mayoría de las personas tendría enormes dificultades prácticas para interponer la demanda de protección de sus derechos fundamentales contra una sociedad domiciliada en Estados Unidos y obtener la tutela judicial efectiva de sus derechos en un plazo razonable, tanto por el elevado coste que supone la traducción al inglés de la demanda y la documentación que le acompaña, como por la dilación que implicaría la inevitable tardanza en el emplazamiento de dicha sociedad, al tener que acudir a los instrumentos de auxilio judicial internacional, con lo que se prolongaría la situación de vulneración de sus derechos fundamentales. Y, sobre todo, en caso de obtener una sentencia condenatoria, si la demandada no le diera cumplimiento voluntariamente, el ciudadano afectado debería solicitar el reconocimiento y la ejecución de la sentencia en los Estados Unidos de América, con el coste y las dificultades, tanto de orden teórico como práctico, que ello trae consigo”.

Aunque esas afirmaciones puedan ser tenidas en cuenta en el plano práctico (por ejemplo, para cuestionar eventualmente la exigencia de traducción a un idioma extranjero de la demanda frente a una empresa que ofrece de manera generalizada sus servicios en español), no parecen determinantes para apreciar la condición de responsable del tratamiento en la legislación sobre datos personales, a cuyos efectos parecería más relevante, como señaló la Sala de lo Contencioso-Administrativo, haber valorado la situación fáctica y la eventual participación de la filial en la determinación de los fines y medios del tratamiento de que se trate.

El peso atribuido a esos elementos de dificultad práctica por la Sala de lo Civil del TS contradice la circunstancia de que el mecanismo de protección establecido en el orden civil por la legislación de la UE para proteger a una parte débil en las transacciones internacionales se basa precisamente en facilitar que la parte débil (consumidor, trabajador, asegurado…) pueda demandar ante los tribunales de su propio domicilio a una empresa domiciliada en el extranjero, incluido un tercer Estado, unido a la aplicación de la normativa de protección del foro. Esto último es lo que aseguró la sentencia Google Spain en caso de demandas dirigidas contra Google Inc (sin perjuicio de acompañar la aplicación imperativa de la legislación sobre protección de datos en las acciones de indemnización con el recurso a la regla de conflicto del artículo 10.9 Cc que cabe entender que conduce en situaciones como esa también a la ley española). Pero no sólo eso, la idea de que la supuesta víctima pueda demandar ante los tribunales de su domicilio (centro de vida) a quienes (teniendo su domicilio en el extranjero) infringen sus derechos de la personalidad, incluido el derecho a la protección de datos personales ha constituido también un elemento clave de la evolución del DIPr de la UE con el objetivo de favorecer a los afectados, como refleja la conocida sentencia del TJ en el asunto eDate Advertising y Martínez. De hecho, con respecto al nuevo Reglamento europeo sobre protección de datos, cabe reseñar que ya en su Propuesta incluyó ciertas reglas de competencia judicial internacional, que para proteger al afectado contemplan la posibilidad con carácter general de que la víctima pueda demandar ante los tribunales de su propia residencia habitual a responsables establecidos en el extranjero (art. 75.2).

Precisamente, a la luz de esta última disposición cabe entender que la exigencia de un recurso judicial efectivo no requiere que la acción judicial deba dirigirse contra un demandado domiciliado en el foro, frente a lo que parece desprenderse de la STS de 5 de abril. Más llamativa resulta la referencia en la mencionada sentencia a la eventual necesidad de ejecución en EEUU de la sentencia que pudiera adoptarse contra Google Inc., sin tener en cuenta que tal exigencia sólo se plantearía con respecto a una eventual condena de cantidad si la condenada no tiene bienes en España (ni otros Estados miembros del Reglamento Bruselas I bis), dándose la circunstancia en este caso de que Google Inc. tendría precisamente, como mínimo, una filial en nuestro país.

Lo que parece subyacer en el planteamiento “bienintencionado” de la sentencia de 5 de abril es una reacción a la deficiente aplicación tradicional del marco normativo relativo a la sociedad de la información, la protección de los consumidores y la protección de datos personales (y previamente los juegos de azar) a los prestadores de la sociedad de la información establecidos en terceros Estados. A tales prestadores en la medida en que dirijan sus actividades al mercado español, les es típicamente de aplicación la LSSI (especialmente arts. 2.2 y 4), la legislación sobre datos personales, la legislación sobre consumo (incluido las relativas a cláusulas abusivas), la legislación publicitaria… La deficiente aplicación, especialmente por las autoridades públicas con funciones de supervisión y sanción, de estas normas ha contribuido, entre otras negativas consecuencias, a una cierta desventaja competitiva en el mercado europeo de las empresas europeas, y no se justifica por la circunstancia de que el domicilio de las empresas que han permanecido en gran medida al margen de una aplicación efectiva de esas normas se encuentre en un tercer Estado, pues su presencia en el mercado europeo facilita la efectividad de las medidas –tanto administrativas como civiles- que se puedan adoptar contra ellas.



ANEXO

Apartados 9 a 12 del Fundamento de Derecho Tercero de la STS (Sala Primera, de lo Civil) 210/2016, de 5 de abril)

9.- Una solución en sentido contrario, como la propugnada por Google Spain, basada en un concepto estricto de «responsable del tratamiento», que lleve a considerar que la única legitimada pasivamente para ser demandada en un proceso de protección de derechos fundamentales por la vulneración causada por el tratamiento de datos que realiza el buscador Google es la sociedad matriz, Google Inc, sociedad de nacionalidad norteamericana con domicilio social en California, supondría frustrar en la práctica el objetivo de «garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales» que, de acuerdo con el apartado 53 de la STJUE del caso Google , tiene la Directiva comunitaria.
Los apartados 68 y 69 de esta sentencia recuerdan que las disposiciones de esta Directiva «deben ser interpretadas a la luz de los derechos fundamentales que, según reiterada jurisprudencia, forman parte de los principios generales del Derecho cuyo respeto garantiza el Tribunal de Justicia y que están actualmente recogidos en la Carta», en concreto los derechos a la intimidad y a la protección de datos de carácter personal que reconocen los arts. 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea».

10.- Esta interpretación restrictiva supondría, en la práctica, un serio obstáculo, cuando no un impedimento para la efectividad de los derechos fundamentales que el ordenamiento jurídico de la Unión Europea, las normas convencionales internacionales y las propias normas internas, constitucionales y de rango legal y reglamentario, protegen frente al tratamiento automatizado de datos personales de carácter ilícito.
El considerando 55 de la Directiva declara que las legislaciones nacionales deben prever un recurso judicial para los casos en los que el responsable del tratamiento de datos no respete los derechos de los interesados; y que los daños que pueden sufrir las personas a raíz de un tratamiento ilícito han de ser reparados por el responsable del tratamiento de datos. Por ello, el art. 22 de la Directiva prevé que los Estados miembros establecerán que toda persona disponga de un recurso judicial en caso de violación de los derechos que le garanticen las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, y dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido.
Asimismo, la STJUE del caso Google declaró que era objetivo de la Directiva garantizar, mediante una definición amplia del concepto de «responsable del tratamiento», una protección eficaz y completa de los interesados (apartado 34), y que no se puede aceptar que el tratamiento de datos personales llevado a cabo para el funcionamiento del mencionado motor de búsqueda se sustraiga a las obligaciones y a las garantías previstas por la Directiva, lo que menoscabaría su efecto útil y la protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas que tiene por objeto garantizar, en particular, el respeto de su vida privada en lo que respecta al tratamiento de datos personales, al que la Directiva concede una importancia especial».

11.- Los sujetos protegidos por la normativa sobre protección de datos son las personas físicas (art. 1 y 2.a de la Directiva). El efecto útil de la normativa comunitaria se debilitaría enormemente si los afectados hubieran de averiguar, dentro del grupo empresarial titular de un motor de búsqueda, cuál es la función concreta de cada una de las sociedades que lo componen, lo que, en ocasiones, constituye incluso un secreto empresarial y, en todo caso, no es un dato accesible al público en general. También se debilitaría el efecto útil de la Directiva si se diera trascendencia, en el sentido que pretende la recurrente Google Spain, a la personificación jurídica que el responsable del tratamiento de datos diera a sus establecimientos en los distintos Estados miembros, obligando de este modo a los afectados a litigar contra sociedades situadas en un país extranjero.
Incluso en el caso de litigar en España, la inmensa mayoría de las personas tendría enormes dificultades prácticas para interponer la demanda de protección de sus derechos fundamentales contra una sociedad domiciliada en Estados Unidos y obtener la tutela judicial efectiva de sus derechos en un plazo razonable, tanto por el elevado coste que supone la traducción al inglés de la demanda y la documentación que le acompaña, como por la dilación que implicaría la inevitable tardanza en el emplazamiento de dicha sociedad, al tener que acudir a los instrumentos de auxilio judicial internacional, con lo que se prolongaría la situación de vulneración de sus derechos fundamentales. Y, sobre todo, en caso de obtener una sentencia condenatoria, si la demandada no le diera cumplimiento voluntariamente, el ciudadano afectado debería solicitar el reconocimiento y la ejecución de la sentencia en los Estados Unidos de América, con el coste y las dificultades, tanto de orden teórico como práctico, que ello trae consigo.
Por otra parte, dadas las características del servicio que prestan estos motores de búsqueda, la sociedad más directamente relacionada con la determinación de los fines y los medios del tratamiento de datos personales podría ser ubicada en otro Estado con el que no existieran relaciones que permitieran el emplazamiento de la sociedad y el posterior reconocimiento y ejecución de la resolución que se dictara.


12.- En definitiva, de aceptar la tesis de la recurrente y circunscribir la legitimación pasiva a la compañía norteamericana Google Inc, se daría el contrasentido de que estaríamos otorgando a la normativa sobre tratamiento de datos personales una finalidad teórica de protección muy elevada de los derechos de la personalidad de los afectados por el tratamiento, y emplearíamos unos criterios muy amplios para fijar su ámbito territorial de aplicación, que permitiera incluir en él la actividad de motores de búsqueda con establecimiento en un Estado miembro, pero estaríamos abocando a los interesados a unos procesos que dificultan, haciendo casi imposible en la práctica, dicha protección, pues habrían de interponerse contra una empresa radicada en los Estados Unidos (o en otro Estado con el que el nivel de cooperación judicial fuera aún menor), con los elevados gastos y dilaciones que ello trae consigo.