Las
ocho sentencias pronunciadas el pasado 13 de junio por la Sala de lo
Contencioso del Tribunal Supremo resolviendo recursos de casación contra sentencias de la Audiencia Nacional, relativas
a resoluciones sancionatorias de la Agencia Española de Protección de Datos con
respecto al ejercicio del derecho al olvido frente al buscador Google, han
venido a confirmar la posición previamente mantenida por esa Sala en sus sentencias
de 11, 14 y 15 de marzo, en el sentido de considerar únicamente responsable del
tratamiento a Google Inc., como entidad que gestiona el motor de búsqueda, y no
a Google Spain SL. Como elemento singular de las nuevas sentencias destaca que se
han pronunciado después de que el pasado 5 de abril la Sala de lo Civil del TS
adoptara un criterio diferente al interpretar el concepto de responsable del
tratamiento en materia de responsabilidad civil por vulneración del derecho al
honor derivada de la ilicitud en el tratamiento de los datos personales por el mismo
buscador de Internet tras el ejercicio del derecho de oposición por el afectado.
La Sala de lo Contencioso dedica un Fundamento Jurídico específicamente a
abordar las implicaciones de la sentencia de la Sala de lo Civil (se reproduce
al final de este comentario, como Anexo, el Fundamento Jurídico Undécimo de la
STS (Contencioso) de 13 de junio, Recurso: 984/2015, Resolución: 1385/2016),
por lo que resulta de interés volver sobre esta cuestión, tomando como punto de
partida el comentario que ya le
dediqué, para valorar la aportación de las nuevas sentencias.
Básicamente
en sus nuevas sentencias la Sala de lo Contencioso, tras reconocer implícitamente
que los términos de la cuestión –la determinación del responsable del
tratamiento en relación con la ilicitud en el tratamiento de datos- se plantean
en términos coincidentes (en la medida en que afirma que la Sentencia de 5 de
abril de la Sala Primera no incorpora motivación distinta a la que ya valoró la
Sala de lo Contencioso al resolver los recursos de casación interpuestos contra
las sentencias de la Audiencia Nacional), coincide en la falta de carácter
perjudicial entre sí de las sentencias de las diversas Salas del TS por la
existencia de "distintos criterios rectores en las distintas
jurisdicciones, por la diversidad de las normativas que con carácter principal
se aplican en unas y otras". Para reafirmar esta idea pone de relieve que
en el ámbito contencioso en relación con el derecho al olvido fundamentalmente
se trata de conocer de impugnaciones frente a resoluciones de la Agencia
Española de Protección de Datos tras una reclamación administrativa interpuesta
por el afectado, resultando claro que en este ámbito la condición de
responsable del tratamiento recae (únicamente) en Google Inc.
Como
argumento adicional, la Sala de lo Contencioso incorpora que su planteamiento
acerca de que únicamente el gestor del motor de búsqueda es responsable del
tratamiento de datos por el buscador viene confirmado por el nuevo Reglamento (UE)
2016/679 general de protección de datos, con particular referencia a su
artículo 26 que regula específicamente la corresponsabilidad en el tratamiento
de datos, con base en el cual confirma su criterio que “impide considerar
corresponsable a una entidad como Google Spain, S.L., que ninguna participación
tiene en la gestión del motor de búsqueda y la determinación de los fines y
medios del tratamiento, circunstancia que en ningún momento se cuestiona”.
Además,
las nuevas sentencias incluyen como novedad una detallada explicación del
funcionamiento de la vía contencioso administrativa, para destacar que la
circunstancia de que el responsable sea sólo Google Inc. y se halle establecido
en el extranjero no implica que la tutela para el afectado resulte más gravosa,
lo que puede ponerse en relación con la idea expresada por la Sala Primera en
el sentido de que en la vía civil eso sí podría obstaculizar el acceso a la
justicia por parte de los afectados.
Ahora
bien, sin cuestionar que la posición de la Sala de lo Contencioso sea la
adecuada, cabe reafirmar que no parece admisible que el concepto de responsable
del tratamiento de datos sea objeto de interpretaciones contradictorias por
parte de las Sala de lo Civil y de la Sala de lo Contencioso Administrativo
cuando de lo que se trata es de determinar la responsabilidad –civil o
administrativa- derivada de la ilicitud en el tratamiento de datos personales
por la prestación de un mismo servicio. Precisamente, también el nuevo
Reglamento (UE) 2016/679 general de protección de datos reafirma esta idea. Su artículo 82 establece el derecho a
indemnización de toda persona que haya sufrido daños y perjuicios materiales o
inmateriales como consecuencia de una infracción del Reglamento frente al “responsable
(o el encargado) del tratamiento”, sobre lo que también resulta muy ilustrativo
su considerando 146. El concepto de responsable del tratamiento es exactamente
el mismo en el artículo 82 del Reglamento que en su artículo 17 que regula el derecho
de supresión («el derecho al olvido»), con independencia de que se ejerciten
acciones civiles o se plantee por el afectado una reclamación administrativa.
Entre otros escenarios, no será extraño que tras la sanción administrativa, el
afectado pretenda obtener una indemnización por la vía civil.
A
estos efectos, de cara a la determinación de quién es responsable del
tratamiento en la legislación sobre datos personales (como es bien conocido, la
obligación de interpretación autónoma y uniforme del concepto se proyecta
también en la actualidad sobre la LOPD habida cuenta de que su origen está en
la Directiva 95/46/CE) no son relevantes conforme a la jurisprudencia del
Tribunal de Justicia (UE) los argumentos de dificultad práctica con respecto al
ejercicio de sus acciones por parte de los afectados recogidos por la Sala de
lo Civil del TS. A lo cuestionable ya del planteamiento de la Sala de lo Civil
del TS (para no reiterarme, véase aquí)
se une la circunstancia de que lo que afirma ahora la Sala de lo Contencioso
como elemento adicional para justificar su posición en el último párrafo del
Fundamento Jurídico Undécimo es aplicable tanto al ámbito contencioso como al
ejercicio de acciones en la vía civil, en la que también se pueden imponer
obligaciones de hacer o no hacer cuyo cumplimiento exige la utilización de unos
medios sobre los que sólo tiene capacidad el responsable (en el sentido que la
Sala de lo Contencioso, pero no la de lo Civil da a este término en relación
con el motor de búsqueda objeto de todas estas sentencias).
ANEXO
Fundamento Jurídico Undécimo
STS (Sala de lo Contencioso) de 13 de junio
(Recurso 984/2015, Resolución 1385/2016)
UNDÉCIMO .- Para terminar no podemos desconocer el hecho de que con
posterioridad a las referidas sentencias de esta Sala de 11 , 14 y 15 de marzo
de 2016, se ha dictado por la Sala Primera de este Tribunal Supremo sentencia
de 5 de abril de 2016, en el recurso 3269/2014 , sobre tutela del derecho al
honor, a la intimidad, a la propia imagen y a la protección de datos de
carácter personal, que se refiere a la responsabilidad de Google Spain en el
tratamiento de tales datos y la incidencia que para el ejercicio por el
interesado del derecho a la tutela judicial efectiva puede tener la
consideración como responsable de Google Inc., con domicilio en otro país.
En la propia sentencia, que en lo sustancial
no incorpora motivación distinta a la que ya valoró esta Sala al resolver los
recursos de casación interpuestos contra las sentencias de la Audiencia Nacional,
se hace referencia, en apoyo de su distinto criterio, a la falta de efecto
prejudicial de las sentencias dictadas por ambas salas y recuerda la existencia
de "distintos criterios rectores en las distintas jurisdicciones, por la
diversidad de las normativas que con carácter principal se aplican en unas y
otras".
Efectivamente, en el ámbito de esta
jurisdicción contencioso-administrativa, la tutela de los derechos de
oposición, acceso, rectificación y cancelación reconocidos al titular de los
datos personales objeto de tratamiento, se recaba mediante la impugnación de la
correspondiente resolución de la Agencia Española de Protección de Datos,
resolución que se produce, como se ha indicado anteriormente, a través de un procedimiento
que comienza con la reclamación o comunicación dirigida al responsable del
tratamiento, ejercitando el correspondiente derecho (art. 25 R.D. 1720/2007),
frente a cuya respuesta el interesado puede formular reclamación ante la
referida Agencia Española de Protección de Datos (art. 117 R.D. 1720/2007), que
deberá dictar resolución en el plazo de seis meses, contra la cual puede
interponerse el recurso contencioso administrativo (art. 18 LOPD 15/1999).
En este ámbito jurisdiccional, como se desprende
de lo expuesto en los anteriores fundamentos de derecho, la identificación de
Google Inc. como responsable del tratamiento al que debe dirigirse el titular
de los datos personales en ejercicio de su derecho, se justifica ampliamente en
esta sentencia y las citadas de referencia, como resultado de: i) la clara
definición legal de la condición de responsable establecida tanto en la
Directiva 95/46/CE (art. 2.d) como en la Ley Orgánica 15/1999, de Protección de
Datos (art. 3.d); ii) la interpretación que al respecto sostiene el TJUE en la
citada sentencia de 13 de mayo de 2014, que al resolver las cuestiones
prejudiciales planteadas por la Sala de la Audiencia Nacional , declara
expresamente en su parte dispositiva 1), en relación con el tratamiento de
datos consistente en "hallar información publicada o puesta en Internet
por terceros, indexarla de manera automática, almacenarla temporalmente y, por
último, ponerla a disposición de los internautas", que "el gestor de
un motor de búsqueda debe considerarse responsable de dicho tratamiento, en el
sentido del mencionado artículo 2, letra d)" gestor que en este caso nadie
cuestiona que es Google Inc. y no Google Spain; iii) la percepción de que dicha
interpretación del alcance de tales preceptos y los pronunciamientos efectuados
en la sentencia del TJUE no responde a un planteamiento subjetivo sino que,
objetivamente, puede sostenerse por los distintos tribunales que han de aplicar
las normas comunitarias, como se refleja en las resoluciones adoptadas por ocho
órganos jurisdiccionales europeos que se incorporan por la parte recurrente y
que se han reflejado antes; iv) la naturaleza de la obligación cuyo
cumplimiento se exige por el interesado, obligación de hacer o no hacer impuesta por la ley en virtud de la efectiva participación del
responsable en el tratamiento de datos objeto de impugnación, participación que
delimita el alcance de su responsabilidad y la exigencia de la correspondiente reparación,
adoptando las medidas precisas al efecto; v) la asunción como propia de tal
condición por parte de la entidad Google Inc., que a raíz de la sentencia del
TJUE ha adoptado medidas tendentes a facilitar el ejercicio del denominado
"derecho al olvido".
Ha [sic] ello se añade ahora, que el criterio
mantenido por la Sala en esas sentencias, como hemos señalado antes, se ha
visto confirmado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
relativo a la protección de las personas físicas en lo relativo al tratamiento
de datos personales y a la libre circulación de estos datos, recientemente
aprobado y publicado en el Diario Oficial de la Unión Europea de 4 de mayo de
2016, que deroga la Directiva 95/46/CE, el cual, entre otras previsiones a las que
ya nos hemos referido y despejando posibles dudas, regula en su art. 26 la
corresponsabilidad en el tratamiento de datos, considerando corresponsables a
quienes determinen conjuntamente los objetivos y los medios del tratamiento,
exigiendo, además, que los corresponsables determinen de modo transparente y de
mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las
obligaciones impuestas por el Reglamento, en particular en cuanto al ejercicio
de los derechos del interesado, previsión que, como ya se recoge en nuestras
sentencias, impide considerar corresponsable a una entidad como Google Spain,
S.L., que ninguna participación tiene en la gestión del motor de búsqueda y la
determinación de los fines y medios
del tratamiento, circunstancia que en ningún momento se cuestiona.
Por otra parte, en este ámbito
jurisdiccional, la identificación de Google Inc., con domicilio legal en California,
como responsable del tratamiento al que debe dirigirse el interesado en el
ejercicio de sus derechos, no supone para este dificultad o carga añadida
significativa para la obtención de una eficaz tutela judicial, en ninguna de
las fases del procedimiento que se establece al efecto, al que hemos hecho
referencia antes.
Así, en la primera fase, según dispone el
art. 24 del Real Decreto 1720/2007, de 21 de diciembre, que aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal, el ejercicio de los derechos de
acceso, rectificación, cancelación y oposición, frente al responsable del tratamiento,
ha de responder a un medio sencillo y gratuito, sin que en ningún caso pueda
suponer para el responsable un ingreso adicional, pudiéndose ejercitar tales
derechos a través de los servicios de cualquier índole para la atención al
público o el ejercicio de reclamaciones relacionadas con el servicio prestado
de que disponga el responsable del tratamiento, imponiendo a dicho responsable
la obligación de atender la solicitud del interesado aun cuando no hubiera
utilizado el procedimiento establecido específicamente al efecto por aquel,
siempre que el interesado haya utilizado un medio que permita acreditar el
envío y la recepción de la solicitud.
La reclamación, por lo tanto, se formula
electrónicamente de manera sencilla, gratuita y directa por el interesado,
siendo válida en cualquier forma que permita justificar que se ha enviado y
recibido por el responsable. Ello se facilita todavía mas cuando, como sucede
en este caso, el responsable Google Inc., según dice, implementando la tantas
veces citada sentencia del TJUE sobre el derecho al olvido, ofrece a los
interesados información completa sobre el ejercicio de su derecho, facilita los
correspondientes formularios y proporciona instrucciones precisas para
cumplimentarlos, habiendo establecido un Consejo Asesor, compuesto por
cualificados miembros de distintos países, para evaluar las solicitudes y
remitiendo al interesado, caso de desacuerdo con la decisión adoptada, a su
impugnación ante la autoridad de protección de datos local, en congruencia con
lo dispuesto en el art. 35 del citado Real Decreto 1720/2007 , que establece genéricamente
el plazo de diez días para resolver por el responsable, transcurrido el cual
sin resolución, el interesado podrá interponer la reclamación prevista en el
art. 18 de la LO 15/1999 ante la Agencia de Protección de Datos .
Tampoco en esta segunda fase, ante la
Autoridad de control, se aprecia dificultad o carga significativa para el
ejercicio de su derecho por el interesado, por el hecho de que el responsable
del tratamiento sea una entidad como Google Inc. domiciliada en otro país,
pues, como dispone el art. 117 del Reglamento aprobado por Real Decreto
1720/2007, basta para la iniciación del procedimiento la presentación de la
correspondiente reclamación ante la Agencia Española de Protección de Datos,
sin que las comunicaciones con el responsable del tratamiento en el ámbito del
procedimiento abierto presenten mayores exigencias que las llevadas a cabo
directamente por el interesado, máxime teniendo en cuenta la implicación de los
intervinientes en el desarrollo de la llamada sociedad de la información y la
constante evolución normativa hacia la tramitación de los procedimientos a
través de medios electrónicos, como refleja el art. 71 de la nueva Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común ; que esto es así
resulta de los numerosos procedimientos ante la Agencia de Protección de Datos
tramitados con la intervención de Google Inc., sin ir más lejos el procedimiento
que dio lugar al recurso contencioso administrativo en el que se plantearon por
la Sala de la Audiencia Nacional las cuestiones prejudiciales resueltas por el
TJUE en la referida sentencia de 13 de mayo de 2014 . Lo mismo puede decirse de
la vía jurisdiccional, que se desarrolla de acuerdo con las previsiones de la
Ley reguladora de esta Jurisdicción Contencioso-Administrativa y que, como en
todos los casos, el interesado puede instar y abrir mediante un simple escrito
de impugnación de la resolución adoptada por la Agencia de Protección de Datos,
a partir del cual el proceso contencioso-administrativo se impulsa de oficio hasta
su terminación en cualquiera de las formas establecidas en la propia Ley
procesal.
Por lo demás, la exigencia del cumplimiento
de la obligación a Google Inc. como responsable del tratamiento - además de
venir impuesta por la ley aplicable (art. 12.b) de la Directiva 95/46/CE) y por
la naturaleza de la obligación, como se refleja en los arts. 705 y siguientes
de la Ley de Enjuiciamiento Civil al regular la ejecución de este tipo de
obligaciones- favorece que la tutela judicial obtenida por el interesado resulte
eficaz y se plasme en la correspondiente actividad o realización práctica,
pues, cuando se trata de la exigencia de obligaciones de hacer o no hacer, su
efectividad viene determinada por la actitud o respuesta del propio
responsable, más aún cuando, como sucede en este caso, el cumplimiento de la
obligación exige la utilización de unos medios sobre los que solo tiene
capacidad de disposición el responsable, como gestor del motor de búsqueda.
