Mucho hemos hablado en este blog sobre privacidad en la Red, y también sobre el derecho –o no derecho- que tienen los internautas a la hora de proteger sus datos personales, su honor y su intimidad en Internet así como de los mecanismos habilitados para tal fin. Y la verdad es que siempre hemos llegado a la misma conclusión: es muy complicado conseguir eliminar contenidos en la Red que atenten contra tu privacidad, tu honor o tu intimidad. Básicamente, porque muchas veces choca contra la libertad de expresión y los límites no están claros.
El tema se complica cuando no solo hay un sitio que habla de ti, sino que Google –haciendo su trabajo, por otro lado- indexa ese contenido y aparece en los resultados de búsqueda cuando alguien escribe tu nombre. Es entonces cuando la solicitud de eliminación de contenidos se convierte en una partida de frontón, ya que Google deriva la responsabilidad al sitio emisor de la información, y la web que publica los contenidos, se acoge a su libertad de expresión o a la de sus usuarios. Y este círculo puede durar eternamente.
Así que el llamado “Derecho al Olvido” que supuestamente protege y ampara a los internautas para conseguir esa privacidad de sus datos personales, era más bien una enunciación de un principio filosófico o una entelequia. Vamos, algo así como preguntarse a qué huelen las nubes o de qué sexo son los ángeles. Hasta ahora, quizá ahora algo cambie bajo el sol, ya que acaba de salir una demanda que puede hacer historia (o no, nunca se sabe). Pero de lo que no hay duda es de que supone un paso adelante en la protección de nuestra privacidad.
Déjame que te cuente la historia…
Un largo proceso…
Todo este proceso ha sido llevado a cabo por el equipo de Abanlex Abogados, de la que Pablo Fernández Burgueño, buen amigo nuestro, es socio fundador. Además, Pablo nos ha acompañado en los ESET Security Forum que hemos organizado, por lo que es mucho mejor que te cuente él la historia a que te la cuente yo (si no quieres ver el vídeo, debajo te dejo el resumen de la situación que figura en la sentencia):
Así que resumiendo, según figura en la sentencia, este ha sido el proceso:
- “El 5 de marzo de 2010, el Sr. Costeja González, de nacionalidad española y domiciliado en España, presentó ante la AEPD una reclamación contra La Vanguardia Ediciones, S.L., que publica un periódico de gran difusión, concretamente en Cataluña (en lo sucesivo, «La Vanguardia»), y contra Google Spain y Google Inc. Esta reclamación se basaba en que, cuando un internauta introducía el nombre del Sr. Costeja González en el motor de búsqueda de Google (en lo sucesivo, «Google Search»), obtenía como resultado vínculos hacia dos páginas del periódico La Vanguardia, del 19 de enero y del 9 de marzo de 1998, respectivamente, en las que figuraba un anuncio de una subasta de inmuebles relacionada con un embargo por deudas a la Seguridad Social, que mencionaba el nombre del Sr. Costeja González.
- Mediante esta reclamación, el Sr. Costeja González solicitaba, por un lado, que se exigiese a La Vanguardia eliminar o modificar la publicación para que no apareciesen sus datos personales, o utilizar las herramientas facilitadas por los motores de búsqueda para proteger estos datos. Por otro lado, solicitaba que se exigiese a Google Spain o a Google Inc. que eliminaran u ocultaran sus datos personales para que dejaran de incluirse en sus resultados de búsqueda y dejaran de estar ligados a los enlaces de La Vanguardia. En este marco, el Sr. Costeja González afirmaba que el embargo al que se vio sometido en su día estaba totalmente solucionado y resuelto desde hace años y carecía de relevancia actualmente.
- Mediante resolución de 30 de julio de 2010, la AEPD desestimó la reclamación en la medida en que se refería a La Vanguardia, al considerar que la publicación que ésta había llevado a cabo estaba legalmente justificada, dado que había tenido lugar por orden del Ministerio de Trabajo y Asuntos Sociales y tenía por objeto dar la máxima publicidad a la subasta para conseguir la mayor concurrencia de licitadores.
- En cambio, se estimó la misma reclamación en la medida en que se dirigía contra Google Spain y Google Inc. A este respecto, la AEPD consideró que quienes gestionan motores de búsqueda están sometidos a la normativa en materia de protección de datos, dado que llevan a cabo un tratamiento de datos del que son responsables y actúan como intermediarios de la sociedad de la información. La AEPD consideró que estaba facultada para ordenar la retirada e imposibilitar el acceso a determinados datos por parte de los gestores de motores de búsqueda cuando considere que su localización y difusión puede lesionar el derecho fundamental a la protección de datos y a la dignidad de la persona entendida en un sentido amplio, lo que incluye la mera voluntad del particular afectado cuando quiere que tales datos no sean conocidos por terceros. La AEPD estimó que este requerimiento puede dirigirse directamente a los explotadores de motores de búsqueda, sin suprimir los datos o la información de la página donde inicialmente está alojada e, incluso, cuando el mantenimiento de esta información en dicha página esté justificado por una norma legal.»
Google Spain y Google Inc. interpusieron sendos recursos contra dicha resolución ante la Audiencia Nacional, que decidió acumularlos.
El mencionado tribunal expone en el auto de remisión que estos recursos plantean la cuestión de cuáles son las obligaciones que tienen los gestores de motores de búsqueda en la protección de datos personales de aquellos interesados que no desean que determinada información, publicada en páginas web de terceros, que contiene sus datos personales y permite relacionarles con la misma, sea localizada, indexada y sea puesta a disposición de los internautas de forma indefinida. Considera que la respuesta a esta cuestión depende del modo en que debe interpretarse la Directiva 95/46 en el marco de estas tecnologías, que han surgido después de su publicación.
La Directiva [95/46] y las cuestiones que plantea
Así las cosas, y como el proceso es relativamente nuevo y la Directiva no es muy clara, la Audiencia Nacional planteó al Tribunal de Justicia de la Unión Europea diferentes cuestiones, que podemos resumir en los siguientes puntos:
- ¿Hasta qué punto la Directiva es de aplicación cuando la empresa demandada que se encuentra en territorio nacional es una filial (en este caso Google Spain)? ¿Y qué pasa si Google Spain deriva a su central los litigios relacionados con el derecho de protección de datos?
- ¿Se entiende que cuando un buscador utiliza arañas o robots para indexar contenidos en el país origen de la demanda son recursos situados en el territorio del Estado? ¿O se entiende que es un recurso internacional, aun teniendo en cuenta que los resultados se ofrecen geolocalizados por país y desde Google.es en este caso?
- ¿Se puede considerar que cuando un buscador, en este caso Google, almacena la información indexada es un recurso a medios en territorio español? ¿Y si está almacenada en otro país? O, como ha sucedido, ¿y si Google se niega a revelar donde está almacenada alegando razones competitivas?
- En relación con la actividad del demandado, es decir, como proveedor de contenidos al localizar información publicada o incluida en la red por terceros, indexarla automáticamente, almacenarla temporalmente y ponerla a disposición de los internautas con un cierto orden de preferencia… En el caso de que esta información contenga datos personales de terceras personas, ¿se entiende esta actividad como una parte del concepto de “tratamiento de datos”?
- En caso afirmativo, entonces, ¿puede considerarse que la empresa que gestiona el buscador, Google, es “el responsable del tratamiento de los datos personales” contenidas en las páginas web que indexa?
- Si la respuesta es sí, entonces puede alguien o la Agencia de Protección de Datos requerir directamente a Google la retirada de sus índices de contenidos publicados de terceros?
- Respecto al derecho de cancelación y oposición en relación al derecho al olvido, ¿puede alguien dirigirse a los buscadores para impedir la indexación de la información referida a su persona, publicada en web de terceros, y amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de información publicada por terceros?
Las preguntas son claras y directas y evidencian el gran vacío existente en cuanto a la aplicación de la normativa vigente en nuestro territorio. Pero más jugosas son las respuestas del Tribunal Superior de Justicia.
Las respuestas del Tribunal de Justicia de la Unión Europea
La sentencia del Tribunal de Justicia de la Unión Europea es larga y un poco farragosa (como suelen ser casi todas las sentencias), pero recoge muchos argumentos que esperamos sienten jurisprudencia. Te hacemos un resumen para facilitarte (y ahorrarte de paso) la comprensión de la misma.
Contestando a todas las preguntas anteriores formuladas por la Audiencia Nacional, el TSJ dice que “El gestor de un motor de búsqueda en Internet es responsable del tratamiento que aplique a los datos de carácter personal que aparecen en las páginas web publicadas por terceros». Añade que «cuando, a raíz de una búsqueda efectuada a partir del nombre de una persona, la lista de resultados ofrece enlaces a páginas web que contienen información sobre esa persona, ésta puede dirigirse directamente al gestor del motor de búsqueda, o bien, si este último no accede a su solicitud, acudir a las autoridades competentes para conseguir que se eliminen esos enlaces de la lista de resultados, bajo determinadas condiciones».
Dice el Tribunal de Justicia que un buscador, al explorar Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, «recoge» tales datos, en el sentido de la Directiva. Además, dicho gestor de búsquedas «extrae», «registra» y «organiza» esos datos en el marco de sus programas de indexación, antes de «conservarlos» en sus servidores y, en su caso, los «comunica» a sus usuarios y les «facilita el acceso» a los mismos en forma de listas de resultados. Estas operaciones, que están mencionadas en la Directiva de forma explícita e incondicional, deben calificarse de «tratamiento», con independencia de que el gestor del motor de búsqueda las aplique de modo indiferenciado a informaciones que no son datos personales.
Recuerda, además, que las operaciones a las que se refiere la Directiva también deben calificarse de «tratamiento» aunque se refieran solo a información ya publicada, por ejemplo, en los medios de comunicación. Si en este último caso se estableciera una excepción general a la aplicación de la Directiva, esta última quedaría en gran medida vacía de contenido.
Por lo tanto, se considera que el gestor del motor de búsqueda es el «responsable» de este tratamiento, dado que es él quien determina los fines y los medios de esta actividad. Y como la actividad de un motor de búsqueda se suma a la de los editores de sitios de Internet y puede afectar significativamente a los derechos fundamentales de respeto de la vida privada y de protección de los datos personales, el gestor del motor de búsqueda debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que dicha actividad satisfaga las exigencias de la Directiva. Sólo así las garantías establecidas en dicha norma podrán tener plenos efectos y podrá hacerse realidad la protección eficaz y completa de los interesados (y en particular de su derecho al respeto de la vida privada).
En lo que se refiere al ámbito de aplicación territorial de la Directiva, el Tribunal de Justicia dice que Google Spain es una filial de Google Inc. basada en territorio español y que, por lo tanto, un «establecimiento» en el sentido de la Directiva. Cuando Google dice que no está tratando datos personales, el Tribunal de Justicia argumento que el tratamiento de estos datos se lleva a cabo para permitir el funcionamiento de un motor de búsqueda gestionado por una empresa que, a pesar de estar situada en un Estado tercero, dispone de un establecimiento en un Estado miembro. Y que además, desde este Estado miembro se explota publicitariamente el buscador, rentabilizando de esta manera los contenidos indexados por el motor de búsqueda.
En cuanto a la responsabilidad que en este caso tiene Google, el Tribunal de Justicia considera que, en determinadas condiciones, éste está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona, los enlaces a páginas web publicadas por terceros que contengan información relativa a esta persona. El Tribunal de Justicia precisa que esa obligación puede existir también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de esas páginas web y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita.
Consideran que cuando el buscador indexa contenido relativo a una persona, lo que ya ha considerado un tratamiento de datos de carácter personal efectuado por el gestor, se está permitiendo que cualquier internauta que realice una búsqueda a partir del nombre de una persona física obtenga, a través de la lista de resultados, una visión estructurada de la información relativa a esa persona que circula en Internet. Señala que esa información afecta potencialmente a una multitud de aspectos de la vida privada y que, sin dicho motor de búsqueda, tales aspectos no se habrían interconectado, o solo habrían podido interconectarse con grandes dificultades. Los internautas pueden establecer así un perfil más o menos detallado de las personas buscadas.
Sin embargo, como, según la información de que se trate, la supresión de enlaces de la lista de resultados podría tener repercusiones en el interés legítimo de los internautas potencialmente interesados en tener acceso a la información en cuestión, el Tribunal afirma que es preciso buscar un justo equilibrio entre este interés y los derechos fundamentales de la persona afectada, en particular el derecho al respeto de su vida privada y el derecho a la protección de los datos de carácter personal. El Tribunal de Justicia señala al respecto que, si bien es cierto que los derechos de la persona afectada prevalecen igualmente, por regla general, sobre el mencionado interés de los internautas, este equilibrio puede depender en casos particulares de la naturaleza de la información de que se trate, de lo delicada que ésta sea para la vida privada de la persona de que se trate y del interés del público en disponer de esa información, que puede variar, en particular, en función del papel que esa persona desempeñe en la vida pública.
Por último, en respuesta a la pregunta de si la Directiva permite que la persona afectada solicite que se supriman de esa lista de resultados unos enlaces a páginas web porque desea que la información sobre ella que figura en esas páginas se «olvide» después de un cierto tiempo, el Tribunal de Justicia indica que, si, a raíz de la solicitud de la persona afectada se comprueba que la inclusión de esos enlaces en la lista es incompatible actualmente con la Directiva, la información y los enlaces que figuran en la lista deben eliminarse. Eso sí, añade como razones particulares para hacer excepciones el hecho de que una persona esté muy vinculada a la vida pública y que, por lo tanto, toda la información vertida sobre él sea de interés general.
Nos alegramos muchísimo de que esta sentencia haya sido favorable. Aunque, eso sí, después de un proceso de 4 años que probablemente todavía no habrá terminado. Sin duda, un varapalo para un gigante de Internet, al menos uno más en la Unión Europea. Si estás en algún caso similar, al menos ya sabes que hay una vía de resolución. Eso sí, echamos de menos (aunque igual sí se contempla) algún tipo de indemnización, dado que hasta la resolución del caso, los contenidos todavía están publicados.
Si has llegado hasta aquí sin dormirte, ya solo me queda desearte ¡una muy buena semana, trop@! 😉