Noticias JurídicasOrigen https://noticias.juridicas.com

Actualidad Noticias
15/03/2016 11:53:13 Carlos FH - Redacción NJ Protección de datos 22 minutos

Google Spain no es responsable del tratamiento de datos personales que realiza Google Inc., por lo que no puede ser sancionada por una posible infracción en esta materia

El TS establece que es el gestor del motor de búsqueda, en este caso Google Inc., quien determina los fines y medios de esta actividad y, por lo tanto, el responsable del tratamiento  de los datos. 

La Sala tercera de lo contencioso-administrativo del Tribunal Supremo ha dictado una sentencia de fecha 14 de marzo de 2016 (recurso número 1380/2015, ponente señor Herrero Pina), por la considera que Google Spain no es responsable del tratamiento de datos personales que realiza Google Inc., por lo que no puede ser sancionada por un posible incumplimiento de la obligación de cancelación de datos solicitada por un interesado.

El TS establece que es el gestor del motor de búsqueda, en este caso Google Inc., quien determina los fines y medios de esta actividad y, por lo tanto, el responsable del tratamiento  de los datos. Y si bien se contempla la corresponsabilidad en el tratamiento de esos datos, ello supone la coparticipación en la determinación de los fines y medios del tratamiento, que es lo que caracteriza la condición de responsable, no cualquier otra colaboración de distinta naturaleza, como es la promoción de productos o servicios publicitarios que lleva a cabo Google Spain, que no realiza actividad alguna de las características del responsable del tratamiento.

Además, el hecho de que el TJUE, en su sentencia ... se refiere  a la realización de la actividad del gestor de motor de búsqueda, Google Inc., en el marco de las actividades del establecimiento de un Estado miembro, Google Spain, lo hace a los efectos de atraer la aplicación de la normativa europea y, por derivación, la española de protección de datos, al tratamiento gestionado por Google Inc., no obstante tratarse de  una empresa domiciada fuera de la Unión Europea.

En todo caso precisa que no se exige que el tratamiento de datos sea efectuado "por" el propio establecimiento en cuestión, es decir, de que el establecimiento Google Spain participe en el tratamiento de esos datos.

Los hechos

El director de la Agencia Española de Protección de Datos dictó resolución de fecha 13 de diciembre de 2011 por la que estimó la reclamación formulada por un interesado contra GOOGLE SPAIN, S.L. instando a dicha entidad, como representante en España de la compañía estadounidense del sitio web http//www.blogspot.com, para que adopte y realice las gestiones necesarias en orden a la exclusión de los datos personales del interesado contenidos en los blogs objeto de la presente tutela de derechos.

Con ello se daba respuesta a la reclamación de cancelación de datos, formulada por el  interesado, en relación con informaciones personales que aparecían en el buscador Google utilizando su nombre y apellidos, recogida en determinados blogs.

Interpuesto recurso contencioso administrativo por la entidad Google Spain, S.L., se dictó sentencia por la Sala de lo Contencioso Administrativo de la Audiencia Nacional de fecha 29 de diciembre de 2014, desestimando el recuso y confirmando la resolución impugnada.

Dicha sentencia se apoya en los pronunciamientos de la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2.014, dictada en el asunto C-131/12), y en base a ella, la AN señala que ninguna duda cabe que la actividad de un motor de búsqueda como proveedor de contenidos debe calificarse de tratamiento de datos personales, que es el gestor del motor de búsqueda el responsable de dicho tratamiento, que corresponde al gestor del motor de búsqueda adoptar, en su caso, las medidas en aplicación de la LOPD para hacer efectivo el derecho de oposición del afectado, que la normativa europea en materia de protección de datos y, por ende, la legislación del país de la Unión Europea donde se encuentra el establecimiento, en este caso en España, es de aplicación cuando “el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro”

En dicha sentencia se señala también, frente a la alegación de falta de legitimación pasiva de Google Spain en el procedimiento administrativo, que la responsabilidad de Google Spain en el tratamiento de datos personales llevado a cabo en el marco del servicio de búsqueda en internet ofrecido por Google Inc. –gestor del motor de búsqueda-- deriva de la unidad de negocio que conforman ambas sociedades, en la que la actividad desempeñada por Google Spain, S.L. resulta indispensable para el funcionamiento del motor de búsqueda, pues de aquella depende su rentabilidad.

Por todo lo cual considera la Sala de instancia que Google Spain, S.L. también es responsable del tratamiento de datos, constituyendo ésta y Google Inc. una unidad material, además de reunir las características de un establecimiento de los referidos en el art. 4.1.a) de la Directiva 95/46/CE, que participa en el tratamiento de datos.

Interpuesto recurso de casación por Google Spain, es estimado por el TS, que declara nula de pleno derecho la resolución recurrida.

La sentencia del TS

Los argumentos de la Sala para estimar el recurso se contienen en los siguientes fundamentos de Derecho (los subrayados son nuestros):

SEXTO.- La resolución de estos motivos de casación aconseja dejar claro, desde el principio, que la legitimación pasiva en el procedimiento administrativo de tutela de derechos, que se cuestiona en los mismos, viene determinada por la condición de responsable del tratamiento de los datos personales, en razón de que corresponde al mismo garantizar que el tratamiento se ajusta a los principios y condiciones de la normativa reguladora y asumir las  correspondientes obligaciones al respecto frente al interesado, titular de los datos personales, el cual, en el ejercicio de sus derechos, puede dirigirse directamente al responsable y en su caso a la autoridad de control exigiendo su cumplimiento.

A tal efecto el art. 6 de la Directiva 95/46/CE, tras referir en el número 1 los principios relativos a la calidad de los datos (tratados de manera leal y lícita; con fines determinados, explícitos y legítimos; adecuados, pertinentes y no excesivos; exactos y, cuando sea necesario, actualizados; conservados durante un periodo no superior al necesario) establece en el número 2 que: “corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1”.

Abunda en ello la referida sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, cuando señala que: “A tenor de este artículo 6 y sin perjuicio de las disposiciones específicas que los Estados miembros puedan establecer para el tratamiento con fines históricos, estadísticos o científicos, incumbe al responsable del tratamiento garantizar que los datos personales sean «tratados de manera leal y lícita», que sean «recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines», que sean «adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente», que sean «exactos y, cuando sea necesario, actualizados», y, por último, que sean «conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente». En este marco, el mencionado responsable debe adoptar todas las medidas razonables para que los datos que no responden a los requisitos de esta disposición sean suprimidos o rectificados.” (…)

SÉPTIMO.- Lo expuesto nos sitúa ya en el núcleo de la cuestión debatida, que no es otra que la determinación del responsable del tratamiento de datos objeto de litigio y, concretamente, si la recurrente, Google Spain S.L., en cuanto establecimiento en España de la sociedad Google Inc. con sede en los Estados Unidos es, como sostiene la sentencia recurrida y rechaza la recurrente por las razones antes indicadas, corresponsable en el tratamiento de datos que esta última gestiona a través de su motor de búsqueda en Internet. (…)

hablar de corresponsabilidad supone un examen de la situación fáctica y comprobar que la entidad en cuestión tiene una participación concreta e identificada en la determinación de los fines y medios del tratamiento de que se trate, tratamiento que en este caso y según se declara por el TJUE al dar respuesta a la cuestión prejudicial planteada por la Sala de instancia, “consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden depreferencia determinado” . En este caso no se identifica por la Sala de instancia ninguna actividad de Google Spain que suponga la participación en esa actividad del motor de búsqueda. Por el contrario y como recoge el TJUE en el fundamento 46 de la citada sentencia, el tribunal remitente señala que Google Inc. gestiona técnica y administrativamente Google Search y que no está probado que Google Spain realice en España una actividad directamente vinculada a la indexación o almacenamiento de información o de datos contenidos en los sitios de Internet de terceros.

Por otra parte, la necesidad de identificar y acreditar la concreta participación en los supuestos de corresponsabilidad en el tratamiento, resulta del Dictamen 1/2010 del GT29, al que se refiere la sentencia de instancia, en el que se dice: "En el dictamen de la Comisión sobre la enmienda del PE, la Comisión menciona la posibilidad de que «varias partes determinen conjuntamente, para una única operación de tratamiento, los fines y los medios del tratamiento que se vaya a llevar a cabo» y, por lo tanto, en tal caso, «cada uno de estos corresponsables del tratamiento debe considerarse vinculado por las obligaciones impuestas por la Directiva de proteger a las personas físicas cuyos datos se estén tratando»". Se añade que "la definición de tratamiento contenida en el artículo 2.b) de la Directiva no excluye la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales. Estas operaciones pueden producirse simultáneamente o en distintas fases". Y se concluye que "la participación de las partes en la determinación de los fines y los medios del tratamiento en el contexto del control conjunto puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales...

Los distintos grados de control pueden dar lugar a distintos grados de responsabilidad, y desde luego no cabe presumir que haya una responsabilidad solidaria en todos los casos. Por lo demás, es muy posible que en sistemas complejos con varios agentes el acceso a datos personales y el ejercicio de otros derechos de los interesados también los puedan garantizar distintos agentes a diferentes niveles". Por lo tanto, no estableciéndose la responsabilidad solidaria y haciéndose cargo cada corresponsable de las obligaciones correspondientes a su participación, al que debe exigirse su cumplimiento, es preciso determinar y acreditar en cada caso la existencia y el alcance de la participación de cada uno en la determinación de los fines y medios del tratamiento para que pueda hablarse de corresponsabilidad, lo que en modo alguno se ha producido en este caso respecto de Google Spain y que como, ya hemos indicado, no puede fundarse en la vinculación mercantil o empresarial que existe entre Google Inc. y Google Spain, S.L., que es lo que en definitiva sostiene la sentencia recurrida, pues la coparticipación, desde su propia definición semántica como “acción de participar a la vez con otro en algo”, alude a la idea de participación conjunta en algún resultado o acción, lo que en este caso comportaría que tanto Google Inc. como Google Spain, S.L., concurrieran en la tarea de determinar los fines y medios del motor de búsqueda. Sin embargo, no es esto lo que sucede en este caso, pues claramente se nos dice que es Google Inc. quien gestiona el motor de búsqueda -Google Search-, sin que en ningún caso se evidencie participación alguna en ese cometido de Google Spain, S.L., cuya actividad es la propia de un establecimiento (filial o sucursal) de aquélla que se limita a la promoción y venta en España de los espacios publicitarios del motor de búsqueda, y en este sentido constituye una actividad conexa o vinculada económicamente a la de su matriz, pero de distinta naturaleza a la determinación de fines o medios del tratamiento. Y es que no debe identificarse ni confundirse la determinación de los fines y medios del tratamiento, que caracteriza la condición de responsable, con una actividad de colaboración en la consecución de sus objetivos, que en el Dictamen 1/2010 se identifica genéricamente como actividad de otros agentes. De ahí que solo Google Inc. es la responsable del tratamiento pues a ella corresponde en exclusiva la determinación de los fines, las condiciones y los medios del tratamiento de datos personales.

OCTAVO.- Por la misma razón y también de acuerdo con la recurrente, no puede compartirse el planteamiento de la Sala de instancia, que deduce la corresponsabilidad de Google Spain en el tratamiento de datos en cuestión de la unidad de mercado que conforma con Google Inc., con apoyo en los pronunciamientos del TJUE de 13 de mayo de 2014.

Lo primero que debe señalarse al respecto es: que el TJUE se refiere a esta cuestión a propósito y con el objeto de dar respuesta a la cuestión prejudicial relativa a la sujeción del tratamiento de datos en litigio a la normativa comunitaria y de sus estados miembros, y ello en cuanto el responsable del motor de búsqueda que realiza ese tratamiento –Google Inc.- tiene su sede fuera del territorio de la Unión Europea, pero sin embargo cuenta con un establecimiento –Google Spain S.L.- en un Estado miembro.

Recordemos que el artículo 4 de la Directiva 95/46, bajo el rótulo de “Derecho nacional aplicable”, contempla esta situación en los siguientes términos: (…)

En respuesta a la cuestión formulada por la Sala de instancia al TJUE sobre el alcance de esta disposición, la sentencia dictada por éste declara lo siguiente: “el considerando 19 de la Directiva aclara que «el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable», y «que  la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante. (…)

Pues bien, desde estas consideraciones del TJUE no puede llegarse a la conclusión de que Googe Spain sea corresponsable del tratamiento de datos que se examina por las siguientes razones:

En primer lugar, el TJUE se plantea la cuestión de la aplicación de la norma comunitaria en razón de que el tratamiento de datos se realiza por un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero, es decir, en la medida que el responsable del tratamiento tiene su domicilio social fuera de la Comunidad Europea. Ninguna necesidad de ello habría si se considerara corresponsable también, genéricamente, como mantiene la Sala de instancia, a Google Spain con domicilio social en España.

En segundo lugar, el TJUE al utilizar como norma de conexión territorial el art. 4.1.a) de la Directiva 95/46, consistente en que el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro, deja claro que no exige que el tratamiento de datos personales controvertido sea efectuado «por» el propio establecimiento en cuestión, sino que se realice «en el marco de las actividades» de éste, con lo que se deja claro de nuevo que no se trata de que el establecimiento en cuestión, Google Spain, participe en el tratamiento de datos sino de que dicho tratamiento se efectúa en el ámbito de sus actividades de promoción de espacios publicitarios, actividad distinta a la determinación de fines y medios del tratamiento que determina la corresponsabilidad. Es más, tal respuesta del TJUE corresponde a la concreta objeción planteada por Google Inc. y Google Spain en el sentido de que esta última entidad no participa en forma alguna en la determinación de los fines y medios del tratamiento, frente a lo cual el Tribunal señala que no es preciso a los efectos que examina, aplicación de la normativa comunitaria, que se produzca tal participación, asumiendo así que Google Spain no interviene como responsable del tratamiento.

Finalmente el TJUE concluye que se trata de aplicar la protección garantizada por la Directiva 95/46, “estableciendo un ámbito de aplicación territorial particularmente extenso”, con lo que deja claro que no se trata de ampliar el concepto de responsable del tratamiento sino que, manteniendo los criterios que determinan tal condición y a pesar de que se encuentre domiciliado en un Estado tercero, el tratamiento de datos efectuado por ese responsable se sujeta a las previsiones de la Directiva 95/46 y las normas del Estado miembro correspondiente, en cuanto el tratamiento se proyecta en el ámbito de las actividades de un establecimiento del mismo en un Estado miembro, es decir, se amplía el ámbito territorial al del correspondiente establecimiento y es a esos efectos que se argumenta sobre la vinculación con las actividades del establecimiento, como justificación de la proyección del tratamiento de datos efectuado por el responsable en ese ámbito.

Como bien dice la recurrente --que cita en su apoyo lo resuelto por distintos tribunales de otros estados europeos: sentencia de la Audiencia Territorial de Berlín de 21 de agosto de 2014; auto de la Sala de lo Civil nº 2 de la Audiencia Territorial de Hamburgo de 18 de agosto de 2014; providencia de la Audiencia Territorial de Hamburgo de 22 de septiembre de 2014; sentencia del Tribunal de Roma de 4 de noviembre de 2014; sentencia del Tribunal de Amsterdam de 18 de septiembre de 2014 y del Tribunal de Apelación de 31 de marzo de 2015; auto del Tribunal de Gran Instancia de París de 8 de diciembre de 2014; sentencia del Tribunal de Primera Instancia de Arenas de 16 de febrero de 2015; y sentencia del Tribunal Regional de Düsseldorf de 7 de mayo de 2015—la consideración de Google Spain, S.L., como establecimiento en España de Google Inc. lo es a los efectos de atraer la aplicación de la normativa europea y, por derivación, la española de protección de datos personales al tratamiento gestionado por la segunda a través de su motor de búsqueda Google Search, no obstante tratarse de una empresa ubicada fuera de la Unión Europea. Y es en tal sentido que el TJUE señala que “las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas”, por lo que no puede sustraerse ese tratamiento de datos a la aplicación de la normativa europea y nacional correspondiente.

(…)

En consecuencia y como sostiene la entidad recurrente en este motivo de casación, no cabe hablar de corresponsabilidad de Google Spain en el tratamiento de datos en cuestión, por cuanto no concurren en la misma los requisitos que determinan la condición de responsable, y tampoco constituye título para ello la unidad de negocio que conforma con Google Inc a que se refiere la sentencia de instancia.

(…)

DÉCIMO.- El segundo título de atribución de corresponsabilidad en el tratamiento de datos a Google Spain, S.L., argumentado por la Sala de instancia, es que ha venido actuando como si fuese responsable del tratamiento de datos, tanto en procedimientos de tutela de derechos seguidos ante la Agencia Española de Protección de Datos como en diversas intervenciones ante Tribunales Españoles, lo que la lleva a la invocación de la doctrina de los actos propios como fundamento de sus apreciaciones.

Pues bien, tampoco este título de atribución de responsabilidad puede acogerse, por el contrario, deben compartirse sustancialmente las alegaciones que se oponen por la entidad recurrente en este recurso de casación, en el sentido de que no se justifican en este caso las circunstancias que permiten acudir a la aplicación de la doctrina de los actos propios.

Como se recoge en la sentencia de 27 de mayo de 2009, la jurisprudencia de esta Sala tiene dicho (sentencias, entre otras, de 23 de junio de 1971, 24 de noviembre de 1973, 26 de diciembre de 1978, 25 de noviembre de 1980, 26 de septiembre de 1981, 2 de octubre de 2000 y 4 de marzo de 2002) que la aplicación del principio que prohíbe ir contra los propios actos requiere, respecto de éstos, que se trate de actuaciones realizadas con el fin de crear, modificar o extinguir algún derecho, definiendo una situación jurídica de manera indubitada; siendo éste, también, el sentido de la jurisprudencia de la Sala de lo Civil de este Tribunal Supremo, tal y como puede verse, por todas, en su sentencia de 9 de mayo de 2000.

(…)

Desde estas consideraciones difícilmente puede atribuirse tal naturaleza de actos propios, a los efectos aquí examinados, a la participación de Google Spain en los procedimientos administrativos y procesos judiciales referidos en la sentencia de instancia cuando: en primer lugar, la propia Sala de instancia no habla de actuaciones indubitadas o concluyentes por parte de Google Spain, S.L., en el sentido de asumir la condición de responsable del tratamiento, sino que, por el contrario, dice que estamos ante un indicio; segundo, no se advierte ni valora por la Sala de instancia la distinta condición en que puede intervenir en tales procedimientos una persona física o jurídica, mero interesado o titular de derechos u obligaciones; tercero, que solo la comparecencia como responsable del tratamiento de datos, es decir, de la determinación de los fines y medios del tratamiento de datos, puede dar lugar a manifestaciones o actos válidos de reconocimiento de tal condición; cuarto, que la condición de responsable del tratamiento de datos viene definida legalmente, como se ha indicado antes de forma prolija, y su régimen jurídico no puede modificarse por las actuaciones de quien carece de facultades de disposición al respecto; y quinto, que la legitimación ha de examinarse en cada procedimiento y, por lo tanto, ha de estarse a la actitud del compareciente en el mismo, que este caso ha sido, desde la vía administrativa, negar tal legitimación.

Así, las manifestaciones de Google Spain en los procedimientos administrativos que se citan, sobre el hecho de que los resultados de búsqueda se encontraban en páginas de terceros cuyo acceso es público y, en consecuencia, para eliminar dicho contenido de los resultados deberían desaparecer del webmaster de la página de terceros, nada indican del concepto o condición en que interviene Google Spain ni de la determinación de los fines o medios del tratamiento, que permitan entender atribuida la condición de responsable, máxime cuando dicha entidad rechaza tal condición y alega que su actividad se limita a la prestación de servicios de promoción de los espacios publicitarios. La simple omisión de la invocación de falta de legitimación pasiva en un proceso no supone reconocimiento de tal condición de responsable con carácter general, como parece indicarse en la instancia, menos aún cuando se invocan numerosos procedimientos en los que se ha hecho valer dicha alegación. Tampoco puede deducirse tal condición de un acuerdo transaccional en un proceso sobre intromisión ilegítima en el derecho al honor y a la propia imagen, en el que existen varios codemandados y cuando la entidad aquí recurrente dice haber invocado su falta de legitimación pasiva, dando lugar a la extensión de la demanda a otra entidad. Se justifica igualmente el desistimiento en 130 recursos contencioso-administrativos al haber dejado de ser indexada la información por la intervención de los editores o dueños de las páginas web, además de que no se acredita la condición en que intervenía en el proceso y formalizó el desistimiento. Finalmente ninguna virtualidad tiene, a los efectos debatidos, la invocación en la instancia del procedimiento sancionador terminado por resolución de la AEPD de 18 de diciembre de 2013, objeto del recurso contencioso-administrativo 51/2014, en el que la propia AEPD, frente a las alegaciones de la aquí recurrente, razona en la resolución sancionadora que la única responsable es Google Inc, proceso en el que, además, se pone de manifiesto la distinta condición con la que se puede comparecer, bien sea responsable del tratamiento y la sanción, bien sea interesado en razón de la relación comercial existente entre ambas entidades.

Por otro lado, estas mismas razones justifican el planteamiento por la parte, en el motivo cuarto, de la vulneración de las reglas de la sana crítica y la valoración ilógica de los hechos a efectos de la apreciación de actos propios de la recurrente, en la medida que, como acabamos de decir, no cabe concluir de su intervención en los procedimientos administrativos y procesos judiciales a que se refiere la Sala de instancia una manifestación de voluntad o reconocimiento de la condición de responsable del tratamiento de datos en cuestión, que tampoco resulta de la afirmación no justificada de la Sala sobre el bloqueo provisional de los datos en este caso y que la parte recurrente señala que fue Google Inc quien lo llevó a efecto.

En consecuencia, también deben estimarse estos motivos de impugnación de la sentencia recurrida.

Cabe añadir que la conclusión alcanzada se confirma con la actuación de Google Inc, que a la vista de la sentencia del TJUE de 13 de mayo de 2014, ha decidido crear un Consejo Asesor integrado por asesores expertos en regulación europea y presidido por el Presidente de dicha sociedad, cuyo objeto es cumplir con el denominado “derecho al olvido” en Internet que se reconoce en la citada sentencia. Y para hacer efectivo este derecho a los potenciales usuarios de su motor de búsqueda, ha puesto a disposición de todos ellos un formulario para solicitar la cancelación de los datos personales, solicitud que ha de ser evaluada precisamente por el indicado Consejo Asesor. La decisión adoptada por Google Inc. demuestra que es ella la única responsable del tratamiento de datos de su motor de búsqueda que actúa como tal y no Google Spain, S.L. (…) “

Te recomendamos