De los tres
asuntos de especial interés para la regulación de actividades en Internet sobre
los que hoy ha presentado conclusiones el Abogado General Szpunar, es sin duda
el asunto C-507/17, Google/CNIL, el que tiene mayor repercusión en relación con los
desafíos regulatorios que suscita el contraste entre el alcance potencialmente
global de Internet y la coexistencia en el mundo de un par de centenares de
sistemas jurídicos estatales, básicamente de carácter territorial. Los otros
dos asuntos, a los que no me voy a referir, son el C‑136/17, también en materia de protección de datos, y el C-516/17 en el ámbito de propiedad
intelectual. Como es conocido, las cuestiones planteadas en el asunto
C-507/17, Google/CNIL, van referidas
al alcance territorial del llamado “derecho al olvido” (“derecho de supresión”,
en los términos del art. 17 del Reglamento (UE) 2016/679 general de protección
de datos -RGPD- o “derecho de retirada”) establecido por el Tribunal de
Justicia en su célebre sentencia Google
Spain en relación con la Directiva 95/46, aplicable también en el asunto C-507/17,
que se planteó antes de que resultara aplicable el RGPD. Cabe recordar que el
alcance territorial del derecho al olvido constituye un aspecto especialmente
controvertido de ese derecho desde su reconocimiento por parte del Tribunal de Justicia.
El ámbito de aplicación espacial de la legislación europea sobre protección de
datos mereció una singular atención en la sentencia Google Spain, pero el Tribunal no abordó el alcance territorial de
las medidas relativas a la supresión de los datos personales, lo que se reveló
como un aspecto polémico desde el inicio de la aplicación de este derecho,
tanto en la práctica de los motores de búsqueda de Internet como de la
actividad supervisora de las autoridades nacionales en materia de protección de
datos. Desde la perspectiva global, también esta cuestión suscita un especial
interés, pues se trata de un derecho reconocido en la UE –y en ciertos Estados
influidos por su modelo- pero no en otros, como EEUU, de modo que una eventual
pretensión de imponerlo en relación con servicios de prestadores de terceros
Estados –como motores de búsqueda en Internet- a usuarios situados también en
terceros Estados suscitaría dificultades obvias.
I. Cuestiones planteadas
En el contexto
de un procedimiento sancionatorio de la autoridad de protección de datos francesa
frente a Google, relativo a la supresión de ciertos enlaces de su buscador en
aplicación del llamado derecho al olvido, el Conseil d’État plantea en el asunto C-507/17 básicamente tres
cuestiones.
En síntesis,
la primera es si el derecho al olvido previsto en la legislación europea sobre
protección de datos implica la obligación del responsable del buscador de retirar
los enlaces controvertidos (en las búsquedas realizadas a partir del nombre del
solicitante) de los resultados de todas las versiones de su buscador en el
mundo, de tal manera que los vínculos controvertidos dejen de mostrarse en todo
el mundo.
Para el caso
de respuesta negativa a esa cuestión, en la segunda el Conseil d’État plantea si el responsable del buscador solamente
está obligado a suprimir los vínculos controvertidos en la versión del buscador
bajo el nombre de dominio correspondiente al Estado en el que se considera que
se ha efectuado la solicitud de retirada o bajo los nombres de dominio del buscador
que corresponden a las extensiones nacionales del conjunto de los Estados
miembros de la Unión.
Por último, en
relación con esta posibilidad el Conseil
d’État plantea si el responsable del buscador debe aplicar medidas de
geolocalización para que los enlaces controvertidos no se muestren cuando se
acceda al buscador desde una dirección IP supuestamente localizada en el Estado
de residencia del beneficiario del derecho al olvido o en cualquiera de los
Estados de la UE.
II. Posición del Abogado General
En su
conjunto, la propuesta del Abogado General en sus conclusiones –solo disponibles
en francés al tiempo de escribir esta reseña- merece una opinión favorable, sin
perjuicio de que no está exenta de dificultades. En síntesis, el Abogado
General rechaza que con carácter general las medidas de supresión adoptadas con
base en el derecho al olvido deban tener un alcance mundial, en el sentido de
obligar a retirar los enlaces de los resultados que se muestren en el buscador
en relación con las búsquedas realizadas desde cualquier lugar del mundo.
Considera que
cuando se aprecie el derecho de supresión, el responsable del buscador debe adoptar
todas las medidas “à sa disposition” para
garantizar que no se mostrarán los resultados suprimidos a quienes utilicen el
servicio de búsqueda desde el territorio de la UE. Pone de relieve que ello
incluirá, en su caso, el recurso a medidas de geolocalización para asegurar que
la supresión es efectiva cuando se utilice el buscador desde una dirección IP situada
en la Unión Europea. Ahora bien, esta posición razonable en su conjunto suscita
diversas cuestiones y desafíos.
III. ¿Eficacia extraterritorial de la legislación europea?
Por una parte,
cabe destacar que la postura adoptada no implica negar –pese a lo que parece
desprenderse de la afirmación del apartado 48 de las conclusiones– que las
normas sobre protección de datos de la UE puedan producir ciertos efectos más
allá de las fronteras territoriales de la Unión, precisamente porque puede ser
apropiado que con límites razonables, como los que tratan de fijarse, los
produzcan. En particular, en la medida en que el servicio de búsqueda lo preste
una empresa establecida en un tercer Estado que opera desde ese tercer Estado,
la solución propuesta en las conclusiones sí supone que quien actúa solo desde
un tercer Estado pueda quedar sometido a la legislación europea –y se vea
obligado a suprimir enlaces- en tanto en cuanto su servicio esté disponible de
la Unión Europea.
Se trata de
una respuesta razonable, acorde con los criterios que delimitan el ámbito de
aplicación territorial del RGPD conforme a su artículo 3, pero que, frente a lo
que se señala en el apartado 52 de las conclusiones, no parece en absoluto
alejada de lo que sucede en los casos de aplicación de la legislación europea
de marcas a los actos de comercialización de productos realizados desde sitios
de Internet establecidos en el extranjero pero dirigidos a consumidores situados
en la Unión. De hecho, resulta difícil de entender que en el apartado 53 se diga
que el caso de las marcas no es comparable con las situaciones en Internet que
tiene naturaleza mundial mundial y “d’une
certaine manière, est présent partout”. Resulta sorprendente esa idea de
que no se trata en absoluto de situaciones semejantes, ya que el ejemplo de
aplicación de la legislación de marcas utilizado en el apartado 52 se refiere
precisamente a actos de comercialización a través de Internet (la famosa
sentencia L’Oréal de 12 de julio de
2011). En todo caso, aunque la solución propuesta pueda implicar que la
legislación europea produzca consecuencias extraterritoriales (lo que dependerá
también de qué se entienda por extraterritorial), lo cierto es que el alcance
que se le atribuye aparece limitado a conductas –aunque eventualmente tengan
lugar en el extranjero- que producen consecuencias en el territorio de la
Unión.
IV. Rechazo del alcance mundial del derecho al olvido
En segundo
lugar, el rechazo a que la obligación de suprimir los resultados en virtud de
la legislación europea tenga alcance plenamente mundial supone que el derecho al olvido no dé lugar a la
obligación del responsable del buscador de retirar los enlaces controvertidos (en
las búsquedas realizadas a partir del nombre del solicitante) de los resultados
de todas las versiones de su buscador en el mundo. Por lo tanto, no será
preciso que los enlaces controvertidos dejen de mostrarse en todo el mundo. Este planteamiento es
coherente con el criterio de que el legislador de un territorio –aunque sea la
UE- no debe regular el contenido de la red en todo el mundo, precisamente por
el alcance global de ésta y la necesidad de respetar la coexistencia de una
pluralidad de ordenamientos jurídicos a nivel mundial (como se refleja en el
apartado 61 de las conclusiones).
En la
práctica, además esa pretensión de imponer a nivel mundial la obligación de
supresión no solo sería imposible de ejecutar sino que es evidente que daría
lugar a conflictos muy relevantes en relación con situaciones en las que en principio no resulta
apropiada la aplicación de la legislación europea. Por ejemplo, cuando se trata de decidir acerca de la licitud de los resultados que muestra un buscador establecido en un tercer Estado muestra a un usuario situado en un tercer Estado. En este orden de cosas, cabe reseñar que una resolución –incluso civil- europea tanto ordenando la supresión
de los contenidos en la medida en que son accesibles desde el tercer Estado
como condenando al pago de una indemnización derivada de la infracción por el
buscador de las normas sobre protección de datos no será normalmente
susceptible de ejecución forzosa en EEUU, por ser contraria al orden público
estadounidense (me remito a mi entrada sobre el asunto Google v. Equustek y la imposibilidad de ejecutar en EEUU la
sentencia del TS de Canadá).
Merece ser destacado que el Abogado General expresamente admite que pueda haber otras
situaciones –sin especificar cuáles- en las que los intereses de la Unión en
presencia puedan justificar la imposición de medidas a un buscador de Internet
a nivel mundial. Al margen de este caso, es cierto que también los tribunales
civiles pueden tener competencia para adoptar medidas a nivel mundial. Aunque
una competencia del tal alcance suele darse solo cuando el domicilio del
demandado o el lugar de origen del daño se encuentra en la UE, en el ámbito de
la tutela de los derechos de la personalidad cabe también en otras situaciones,
a la luz de la jurisprudencia eDate y de las normas del propio RGPD. No
obstante, el que un tribunal pueda tener competencia con alcance mundial no
implica que las medidas que adopte deban tenerla. Además, en caso de que
pretenda adoptar medidas con ese alcance puede que las normas sobre ley
aplicable le impongan que aplique normas de otros ordenamientos jurídicos
respecto de cuyo territorio se proyecta la medida.
Por otra
parte, en el apartado 59 de las conclusiones se destaca cómo la protección del
derecho fundamental a la protección de datos previsto en la legislación de la UE,
así como la de otros derechos fundamentales con los que en la práctica debe ser
ponderado, al aplicar el llamado derecho al olvido, se subordina a la
existencia de vínculos de conexión con la Unión. Más allá de una situación como
la que es objeto del asunto C-507/17, esta exigencia de vinculación es muy
relevante en la práctica para limitar el ejercicio del derecho al olvido ante
las autoridades europeas en situaciones de otro tipo en las que pueda no
existir conexión suficiente, en particular en casos de afectados residentes en
terceros Estados.
Ahora bien, lo anterior no impide apreciar que el rechazo del alcance plenamente mundial del derecho al olvido previsto en la legislación de la UE implica una menor protección que en el contexto global de Internet puede menoscabar la efectividad del derecho fundamental a la protección de datos. Una vez que se consolide la idea de que resultados que en relación con el uso del nombre de los afectados no aparecen en el buscador cuando la búsqueda se hace desde la UE pero sí cuando se hace desde terceros Estados, no será difícil recurrir a mecanismos, como sencillamente la consulta a través de quien se encuentra en uno de esos terceros Estados, para poder llegar a conocer la información. En este contexto, el control de actividades consistentes en la prestación de servicios de ese tipo o el control de la eventual utilización en la UE de la información a la que se ha accedido por esas vías puede resultar de importancia para una tutela eficaz del derecho fundamental a la protección de datos.
Ahora bien, lo anterior no impide apreciar que el rechazo del alcance plenamente mundial del derecho al olvido previsto en la legislación de la UE implica una menor protección que en el contexto global de Internet puede menoscabar la efectividad del derecho fundamental a la protección de datos. Una vez que se consolide la idea de que resultados que en relación con el uso del nombre de los afectados no aparecen en el buscador cuando la búsqueda se hace desde la UE pero sí cuando se hace desde terceros Estados, no será difícil recurrir a mecanismos, como sencillamente la consulta a través de quien se encuentra en uno de esos terceros Estados, para poder llegar a conocer la información. En este contexto, el control de actividades consistentes en la prestación de servicios de ese tipo o el control de la eventual utilización en la UE de la información a la que se ha accedido por esas vías puede resultar de importancia para una tutela eficaz del derecho fundamental a la protección de datos.
V. Fragmentación de Internet
Si bien al
rechazar el alcance mundial de las medidas, el criterio adoptado por el Abogado
General no es particularmente desfavorable para la posición de los motores de
búsqueda, lo cierto es que la opción adoptada responde a un modelo tradicionalmente
rechazado por ese tipo de prestadores de servicios en línea globales, pues
conduce a una evidente fragmentación de difusión de contenidos en Internet. Ahora bien, en
realidad se trata de una respuesta acorde con la importancia clave que tienen
en la actualidad los mecanismos de geolocalización, como elemento para asegurar
la adaptación de la prestación de servicios de Internet a la coexistencia en el
mundo de ese par de centenares de sistemas jurídicos estatales.
La importancia
de preservar la conectividad global de Internet (es decir de su arquitectura, de los estándares y protocolos que aseguran la interconexión de dispositivos a través de la red) no ha de servir para justificar el falso mito de que la prestación
de servicios y la difusión de contenidos a través de Internet a un elevado
número de usuarios de todos los países del mundo puede tener lugar con carácter
global -a partir de los estándares que prevalecen en el país de establecimiento- sin respetar el contenido de ese par de centenares de ordenamientos
jurídicos que coexisten en el mundo. El reto que ello implica para esos prestadores -cumplir las legislaciones de los países en los que prestan sus servicios a través de Internet- es simplemente proporcional a las ventajas que pretenden obtener con la utilización de ese medio, cuyo alcance global no impide apreciar que a falta de mecanismos de armonización -como los que sí existen en la UE y justifican la aplicación de un criterio de origen- implica la difusión de contenidos o realización de actividades en países en los que existen estándares o requisitos diferentes acerca de la licitud de tales contenidos o actividades.
La
fragmentación inherente a un enfoque basado en la geolocalización y la restricción de determinados contenidos respecto de un cierto territorio es coherente con la organización política
del mundo y la falta de estándares globales en relación con la licitud
de los contenidos difundidos y las actividades desarrolladas en Internet. No cabe desconocer que semejante fragmentación plantea dificultades de aplicación práctica, en particular vinculadas al
desarrollo de vías para eludir los controles. El Abogado General aclara que es
responsabilidad del titular del buscador adoptar todas las medidas que le resulten técnicamente posibles para asegurar una supresión eficaz y completa
respecto de quienes utilicen cualquier versión del buscador desde el territorio
de la Unión (apdo. 74). Obviamente, verificar si el buscador ha actuado de conformidad con esa exigencia puede resultar controvertido en ocasiones. En todo caso, la carga que esta obligación impone al buscador y el grado de diligencia que le es exigible se vinculan con la responsabilidad inherente a la posición que ocupan y la actividad que desarrollan. Además, en conexión con lo ya apuntado antes en relación con los posibles mecanismos para el acceso a buscadores desde terceros Estados, cabe señalar que la eventual utilización de la información personal así obtenida en la UE por terceros distintos de los buscadores también habrá de merecer una especial atención de cara a una tutela efectiva del derecho fundamental a la protección de datos.