ANTECEDENTES DE HECHO
1. Actuaciones Previas
1.1. D…………………………………………………………..(el afectado), de nacionalidad española y con domicilio en la localidad de El Escorial (Madrid), ejercitó con fecha 23 de Noviembre de 2009 el derecho de oposición al tratamiento de sus datos personales ante “La Vanguardia Ediciones, S.L” (periódico de gran difusión en España, especialmente en Cataluña). En su solicitud afirmaba que al introducir su nombre en el buscador de “Google” aparecía la referencia a una página del periódico “La Vanguardia” con enlaces a una subasta de inmuebles relacionada con un embargo derivado de deudas a la Seguridad Social. El afectado afirmaba que el embargo al que se vio sometido en su día estaba totalmente solucionado y resuelto desde hace años y carecía de relevancia actualmente.
1.2. Con fecha 24 de noviembre de 2009, “La Vanguardia Ediciones” contestó al interesado entendiendo que no procedía la cancelación de sus datos, dado que la publicación se realizó por orden del Ministerio de Trabajo y Asuntos Sociales a través de su Secretaría de Estado de la Seguridad Social, siendo ejecutora la Tesorería General de la Seguridad Social en la Dirección Provincial de Barcelona.
1.3. Con fecha 8 de Febrero de 2010 el Sr. ………………………………………….(el afectado) remitió escrito a Google Spain S.L. ejercitando su derecho de oposición solicitando que al introducir sus nombre y apellidos los resultados de búsqueda con los links de La Vanguardia.
1.4 En la contestación dada por Google Spain S.L. le remitía a la empresa Google Inc. con domicilio social en California (EEUU), por entender que ésta era la empresa que presta el servicio de búsqueda en Internet, sin perjuicio de informarle que para ejercer sus derechos de cancelación u oposición sobre sus datos personales debería dirigirse al webmaster de la página web que publica esos datos en Internet.
2. Procedimiento administrativo ante la Agencia Española de Protección de Datos.
2. 1. Con fecha 5 de marzo de 2010, tuvo entrada en el Registro General de la Agencia Española de Protección de Datos la reclamación del Sr. …………………………………………(el afectado) solicitando, entre otras cosas, que se exigiese al responsable de la publicación “on line” de La Vanguardia que eliminase o modificase la publicación para que no apareciesen sus datos personales o bien utilizase las herramientas facilitadas por los buscadores para proteger su información personal. También solicitaba que se exigiese a Google España o Google Inc, para que eliminase o bien ocultase sus datos para que dejen de incluirse en sus resultados de búsqueda y dejen de estar ligados a los links de La Vanguardia.
2.2. La Agencia Española de Protección de Datos instruyó expediente por denegación del derecho de cancelación de datos dando traslado para alegaciones tanto a Google Spain SL como a Google Inc. La notificación se remitió al domicilio de los abogados designado por Google Spain que recibió la comunicación que se le dirigía a ella, pero no se hizo cargo de la notificación dirigida a Google Inc.
Google Spain SL presentó sus alegaciones. Google Inc. no presentó alegaciones.
2.3. El Director de la Agencia Española de Protección de Datos dictó resolución el 30 de julio de 2010 en la que se estimó la reclamación formulada por el Sr……………………………………………..(el afectado) contra Google Spain SL y contra Google Inc “instando a esta entidad para que adopte las medidas necesarias para retirar los datos de su índice e imposibilite el acceso futuro a los mismos” e inadmitió la reclamación formulada contra La Vanguardia Ediciones SL. En cuanto a La Vanguardia Ediciones S.L. consideró que se había denegando de forma motivada la cancelación solicitada de los datos personales del afectado, en atención a que la publicación de los citados datos tenía justificación legal y su fin era dar la máxima publicidad a las subastas para conseguir la mayor concurrencia de licitadores por lo que se inadmite el procedimiento de tutela en relación a La Vanguardia Ediciones S.L.
3. Procedimiento judicial
3.1. Contra esta resolución recurrieron ante este Tribunal tanto la empresa Google Inc como Google Spain, en dos recursos independientes que se acumularon por Auto de 20 de julio de 2011. Ambas demandas solicitan la nulidad de la resolución administrativa impugnada. (Se adjunta copia de ambas demandas).
En este procedimiento actúa como demandada la Agencia Española de Protección de Datos y como codemandado se personó D…………………………………………(el afectado)
3.2. El Abogado del Estado, en representación de la Agencia de Protección de Datos, contestó a las demandas oponiéndose a las mismas. (Se adjunta copia de la contestación a la demanda).
Así mismo el representante procesal del Sr………………………………………(el afectado) contestó a las demandas y solicitó la desestimación de los recursos. (Se adjunta copia de su contestación a la demanda).
3.3. Se abrió un periodo de prueba y tras la práctica de la misma todas las partes personadas presentaron escritos de conclusiones.
3.4. Por providencia de 17 de enero de 2012 este Tribunal acordó conceder un plazo de 15 días a las partes personadas para que presentasen alegaciones, de cara el posible planteamiento de una cuestión prejudicial del art. 267 del TJUE, en relación con determinadas cuestiones (Se adjunta copia de la providencia).
Todas las partes personadas presentaron sus escritos de alegaciones.
El Abogado del Estado considera que no es necesaria el planteamiento de cuestión prejudicial de interpretación pero, en caso de que se decidiese plantear, realiza una serie de consideraciones sobre las cuestiones a plantear (Se adjunta copia de su escrito de alegaciones).
El representante del Sr………………………………………(el afectado) presenta alegaciones respecto del planteamiento de la cuestión prejudicial ante el TJUE tanto en relación con la aplicación territorial de la normativa de protección de datos como en cuanto a las dudas que suscita la normativa comunitaria en relación con las cuestiones de fondo que se sustancian en este recurso. (Se adjunta copia de su escrito de alegaciones).
La empresa Google Spain SL considera que no es indispensable el planteamiento de la cuestión prejudicial para la resolución del recurso ni para la interpretación del derecho comunitario, pero no se opone al planteamiento de la misma. En su escrito se contienen una serie de alegaciones tanto respecto de la aplicación territorial de la normativa comunitaria y nacional para resolver el caso que nos ocupa como las cuestiones de interpretación de fondo que se plantean. (Se adjunta copia de su escrito de alegaciones).
La empresa Google Inc. no se opone al planteamiento de la cuestión prejudicial de interpretación ante el TJUE y realiza alegaciones coincidentes con las formuladas por la empresa Google Spain. (Se adjunta copia de su escrito de alegaciones).
FUNDAMENTOS JURÍDICOS
1. Objeto de la presente controversia.
La presente controversia se enmarca en el ámbito de la protección de los datos de las personas físicas, específicamente en la tutela de los derechos de supresión, bloqueo (cancelación) y oposición del afectado al tratamiento de sus datos personales frente a la actividad desarrollada por los proveedores de motores de búsqueda de información en internet (en adelante “buscadores”) y muy específicamente contra el buscador del grupo “Google”. La Agencia Española de Protección de Datos, acogiendo la petición de tutela del afectado, requirió a Google Spain SL y Google Inc “para que adopten las medidas necesarias para retirar los datos de su índice e imposibilite el acceso futuro a los mismos”.
El presente recurso plantea el problema referido a las obligaciones que tienen los buscadores en internet (en este caso el buscador “Google”) en la protección de datos personales de aquellos afectados que no desean que determinadas informaciones, publicadas en páginas web de terceros que contienen sus datos personales y permiten relacionarles con la misma, sean localizadas, indexadas y sean puestas a disposición de los internautas de forma indefinida. La resolución dictada por la Agencia de Protección de Datos (en adelante AEPD) considera que los buscadores en el ejercicio de esta actividad realizan un tratamiento de datos y son responsables del mismo por lo que están obligados a hacer efectivo el derecho de cancelación y/o oposición del interesado y a cumplir con los requerimientos que les dirija la AEPD en la tutela de estos derechos. Y al mismo tiempo afirma que también como intermediarios de la sociedad de la información están sometidos a la normativa en materia de protección de datos estando obligados a atender los requerimientos que le dirija la autoridad competente, en este caso de la AEPD.
Desde cualquiera de estas perspectivas, la AEPD entiende que puede adoptar medidas de tutela de su derecho ordenando la retirada e imposibilitando el acceso a determinados datos por parte de los buscadores cuando considere que su localización y difusión puede lesionar el derecho fundamental a la protección de datos, a su dignidad entendida en un sentido amplio, que incluiría la mera voluntad del particular afectado cuando quiere que tales datos no sean conocidos por terceros. Y que este requerimiento puede dirigirse directamente a los buscadores, sin suprimir los datos o la información de la página donde inicialmente está alojada e, incluso, cuando el mantenimiento de esta información en dicha página esté justificada por una norma legal.
2. Planteamiento General.
2.1. La protección de datos de las personas físicas se regula fundamentalmente en la Directiva 95/46/CE que, según dispone su artículo 1 º, tiene por objeto “la protección de las libertades y de los derechos fundamentales de las personas físicas y, en particular, del derecho a intimidad, en lo que respecta al tratamiento de los datos personales”.
La citada Directiva 95/46/CE se dictó en los años anteriores a la expansión de internet y a la aparición, o al menos a la utilización generalizada, de los motores de búsqueda como herramienta que facilita la localización de datos e información en la red. Es por ello que las previsiones contenidas en la misma no contiene referencia expresa alguna a los servicios de la sociedad de la información ni, con mayor motivo, una previsión específica respecto a la actividad que desarrollan los “buscadores” en internet y su sometimiento, y con qué límites, a la normativa en materia de protección de datos.
2.2 Directivas posteriores que regulan la actividad de los servicios de la sociedad de la información se remiten, en materia de protección de datos, a la Directiva 95/46/CE. Este es el caso de la Directiva 2000/31/CE, que “(14) La protección de las personas con respecto al tratamiento de datos de carácter personal se rige únicamente por la Directiva 95/46/CE …”, añadiéndose que dicha Directiva es “enteramente aplicable a los servicios de la sociedad de la información. y que la “aplicación y ejecución de la presente Directiva debe respetar plenamente los principios relativos a la protección de datos personales, en particular en lo que se refiere a las comunicaciones comerciales no solicitadas y a la responsabilidad de los intermediarios,…..”. Así se recoge también en el artículo 1.5.b) de dicha Directiva establece que no se aplicará “a cuestiones relacionadas con servicios de la sociedad de la información incluidas en la Directiva 95/46/CE .”
La Directiva 2000/31/CE limita la responsabilidad de los servicios de la sociedad de la información, en determinados supuestos íntimamente relacionados con la actividad desplegada por los buscadores en Internet (el artículo 13 referido a la memoria tampón, caching) y el art 17 (referido al alojamiento de datos) siempre que su actividad que se considera “meramente técnica, automática y pasiva”, lo que implica que el prestador
“no tiene conocimiento ni control de la información transmitida o almacenada”. Pero, por otra parte, en su considerando cuadragésimo quinto señala que las limitaciones de la responsabilidad de los prestadores de servicios intermediarios no afecta a la posibilidad de entablar acciones de cesación de distintos tipos, incluidas las órdenes de las autoridades administrativas competentes para la retirada de datos o impedir el acceso a los mismos.
La Ley española 34/2002 de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, dictada en desarrollo de dicha Directiva 2000/31/CE, incluye (Anexo b) a los buscadores como servicio de la sociedad de la información, en concreto como un “servicio de intermediación”. Dicha norma en sus artículos 8 y 17 limita la responsabilidad de los buscadores respecto de la información que dirijan a los destinatarios de sus servicios, pero permite se les pueda requerir para que retiren los datos que atenten o pueden atentar contra determinados principios (entre ellos la dignidad de la persona) o cuando tengan conocimiento efectivo que de la información que remiten puede lesionar derechos de tercero susceptibles de indemnización. La AEPD, amparándose en su condición de autoridad competente y aplicando los artículos 8 y 17 de la Ley 34/2002 , considera que puede exigirle al buscador la retirada de los datos personales del afectado al amparo de la normativa de protección de datos, aun en los supuestos en los que su publicación deba mantenerse en la página web del editor cuando considera que lesionan el derecho a la protección de datos del afectado.
Es por ello que el problema se reconduce finalmente a la interpretación y aplicación de la Directiva 95/46/CE dictada para la protección de datos de las personas físicas frente a los buscadores.
2.3. Las dificultades en la interpretación y aplicación de la Directiva 95/46/CE respecto a las tecnologías desarrolladas después de su publicación y la necesidad de obtener una interpretación uniforme de la misma justifican, a juicio de este Tribunal, el planteamiento de una cuestión prejudicial de interpretación en relación con determinados preceptos de dicha Directiva, dirigida a resolver diferentes dudas relacionadas con la actividad de los buscadores de información en internet y su sometimiento a la normativa en materia de protección de datos.
2.4. Conviene aclarar que los buscadores realizan diferentes actividades y no todas ellas afectan a la presente controversia.
En primer lugar como prestadores de servicios a los usuarios. Se trataría de la recogida de los datos de los usuarios instalando en su ordenador unos dispositivos informáticos (“cookies”) que permiten al buscador reconocer al mismo usuario en visitas ulteriores desde el mismo ordenador. Esta actividad no es relevante en el caso que nos ocupa.
En segundo lugar como proveedor de contenidos. En el ejercicio de esta actividad los buscadores localizan, indexan, almacenan temporalmente y ponen a disposición de todos los usuarios de la red, la información que aparece contenida en páginas web de terceros que aparece relacionada con los criterios de búsqueda, información que puede incluir o no datos personales de las personas físicas. Es esta última actividad la que interesa y afecta a la presente controversia y a la que nos referiremos en adelante.
3. Ámbito de aplicación territorial de la normativa comunitaria y nacional en materia de protección de datos.
3.1. El primero de los problemas que se plantean en el presente litigio se refiere a la posibilidad de aplicar la Directiva 95/46/CE, y consecuentemente la normativa nacional que la transpone en España, para tutelar el derecho a la protección de los datos de un nacional español y que tiene su residencia en España, frente a la empresa Google Inc., que tiene su domicilio en un Tercer Estado (en este caso en EEUU) y su filial en España, Google Spain SL.
3.2. Respecto de este problema, esta Sala considera acreditados los siguientes hechos:
* El servicio de búsqueda de Google (Google Search) se presta a nivel mundial a través de la web www.google.com. En muchos países existen versiones locales adaptadas al idioma nacional a las que se accede en función de la ubicación geográfica del usuario. La versión española del servicio se presta a través del sitio www.google.es, dominio que tiene registrado desde el 16/09/2003. El buscador de Google es uno de los más utilizados en nuestro país.
* El buscador “Google” lo gestiona Google Inc (empresa matriz del grupo), con domicilio en California (1600 Amphitheatre Parkway, Mountain View, California).
* El buscador Google indexa páginas web de todo el mundo, incluyendo páginas web ubicadas en España (en este caso se indexó información contenida en una página web española). La información indexada por las “arañas” del buscador Google se almacena temporalmente en servidores cuya ubicación (país y localidad) se desconoce (la empresa la mantiene secreta por razones competitivas).
* El buscador “Google” no sólo facilita el acceso a los contenidos alojados en las páginas web indexadas, sino también aprovecha esta actividad para incluir publicidad de empresas de bienes o servicios, normalmente asociada a los patrones de búsqueda introducidos por el usuario. Esta publicidad es contratada con el grupo empresarial “Google”, a cambio de un precio, por las empresas que desean utilizar esta herramienta para ofrecer sus servicios a los internautas.
* El grupo Google utiliza una empresa filial, Google Spain SL, como agente promotor de venta de los espacios publicitarios que se generan en el sitio web del buscador, dicha empresa dirige su actividad fundamentalmente a las empresas radicadas en España. Dicha empresa tiene personalidad jurídica propia y domicilio social en Madrid, y fue creada el 3/09/2003. Actúa como agente comercial del grupo en España y tiene como objeto social “promocionar, facilitar y/o procurar la venta de productos y servicios de publicidad on line” a través de Internet para terceros, actuando como agente comercial, así como marketing de publicidad “on line” etc..”, dicha empresa contaba con 70 empleados en el 2009.
* La empresa Google Inc., designó a Google Spain SL como responsable del tratamiento en España de dos ficheros inscritos por Google Inc. ante la AEPD, tales ficheros tenían por objeto contener los datos de las personas relacionadas con los clientes de servicios publicitarios que en su día contrataron con Google Inc.
3.3. El artículo 4 de la Directiva 95/46/CE establece como criterios de conexión, relevantes para el supuesto que nos ocupa, los siguientes:
“1. Los Estados miembros aplicarán las disposiciones nacionales que hayan aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:
a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro
………
c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.
2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento”.
La Ley Orgánica 15/1999 de Protección de Datos, dictada para transponer al derecho español dicha norma comunitaria, reproduce en el art. 2.1 a ) y c ) estos dos mismos criterios con una redacción similar a la contenida en la Directiva comunitaria.
La discrepancia de las partes y las dudas interpretativas de este Tribunal surge tanto para determinar si le empresa Google posee un establecimiento en España, en los términos previstos en el art. 4.1.a) de la Directiva; como para establecer si dicha empresa recurre a medios que se encuentran en territorio español para realizar su actividad, en los términos previstos en el art. 4.1.c) de dicha norma .
3.4. Existencia de un establecimiento en España.
La Directiva 95/46/CE en su exposición de motivos considera que (19) “el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable, siendo indiferente la forma jurídica de dicho establecimiento (simple sucursal o una empresa filial con personalidad jurídica)”.
Varias son las dudas interpretativas que surgen a este Tribunal respecto a este apartado.
3.4.1. La primera aparece relacionada con la actividad que la empresa filial Google Spain SL realiza en España.
La AEPD considera que la empresa Google tiene un establecimiento en España, Google Spain SL, sucursal del grupo que sirve para promocionar la publicidad que financia la actividad de la empresa.
La empresa Google entiende que hay que separar la actividad mercantil de GOOGLE SPAIN S.L. y la de GOOGLE INC. Esta última es la que gestiona el buscador “Google”, pero al tener su domicilio en California esta fuera del ámbito de aplicación de la normativa española y que solo está sometido a la jurisdicción norteamericana y a la normativa de protección de datos de EEUU. Y respecto a Google Spain SL, entiende que no puede considerarse como un establecimiento a los efectos de aplicar ni la Directiva comunitaria ni la normativa española en materia de protección de datos, pues su actividad no está relacionada con el tratamiento de datos sino que se limita a representar a Google Inc. en el negocio que ésta desarrolla de vender el espacio publicitario disponible en su página Web.
No ha resultado acreditado que la filial Google Spain SL realice en España una actividad directamente relacionada con la indexación o almacenamiento de la información o datos contenidos en las páginas web de terceros. No debe olvidarse, sin embargo, que si bien el éxito del buscador “Google” consiste en proporcionar a los internautas una herramienta que sea útil y eficaz para localizar la información existente en Internet, su negocio se basa en vender los espacios publicitarios del buscador a las empresas (sus clientes) que quieren anunciar sus bienes y servicios. La actividad destinada a la promoción de estos espacios publicitarios y la captación de nuevos clientes en España esta encomendada a la empresa filial del grupo Google Spain SL, empresa domiciliada en nuestro país en donde actúa de forma estable y permanente, dirigiendo su principal actividad respecto de empresas asentadas en España. De modo que la actividad de promoción y venta de estos espacios publicitarios se constituye como parte esencial del negocio de Google y puede entenderse estrechamente vinculada a la actividad de su buscador de contenidos en España por cuanto dicha publicidad aparece junto con los resultados de búsqueda y normalmente relacionada con los criterios de búsqueda introducidos por el usuario.
Por todo ello cabe preguntarse si la actividad de Google Spain SL cumple las exigencias para ser considerada un “establecimiento” en los términos previstos en el art. 4.1.a) de la Directiva permitiendo la aplicación de la legislación nacional en materia de protección de datos frente al buscador “Google”.
3.4.2. La segunda duda se refiere a la actividad de la filial Google Spain SL como empresa que representa a la empresa Google Inc (empresa matriz) ante la Agencia Española de Protección de Datos y colabora con la AEPD en hacer llegar a la empresa matriz las solicitudes de los afectados y los requerimientos y notificaciones de la AEPD.
La AEPD argumenta que Google Inc. tiene designado a Google Spain como su representante ubicado en territorio español, conforme a lo exigido por el artículo 3.1.c ), segundo párrafo del Reglamento de la LOPD aprobado por Real Decreto 1720/2007 y así aparece en el Registro General de Protección de Datos. Y que dicha empresa colabora con la Agencia de Protección de Datos para dar traslado a la empresa matriz de las solicitudes de los afectados y los requerimientos que le dirige la Agencia de Protección de Datos.
La empresa Google Inc., por su parte, admite que designó a Google Spain SL como responsable del tratamiento en España de dos ficheros inscritos por Google Inc. ante la AEPD si bien tales ficheros tenían por objeto contener los datos de las personas relacionadas con los servicios publicitarios que en su día contrataron con Google Inc. Y aunque admiten que es cierto que la Agencia ha notificado a Google Inc .en el domicilio de los Abogados de Google Spain SL. y que se designó ese domicilio en el registro de los ficheros que Google Inc. tiene dados de alta en la Agencia, ello fue a los solos efectos de facilitar a los interesados el ejercicio de los derechos de oposición, cancelación, acceso y rectificación en relación con los datos incluidos en esos ficheros, (según lo exige el articulo 5.1.c) de la LOPD ) pero no con carácter general para la notificación relativa a toda la actividad de Google Inc.
La pregunta que se plantea al TJUE respecto a este punto es la siguiente:
¿Debe interpretarse que existe un “establecimiento”, en los términos descritos en el art. 4.1.a) de la Directiva 95/46/CE , cuando concurra alguno o algunos de los siguientes supuestos:
* cuando la empresa proveedora del motor de búsqueda crea en un Estado Miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes de ese Estado, o
* cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa o
* cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la Unión Europea, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto al derecho de protección de datos, aun cuando dicha colaboración se realice de forma voluntaria?
3.5 Recurso a medios situados en España.
La Directiva 95/46/CE no incluye una definición de “medios” si bien en su exposición de motivos afirma en su apartado (20) que “el hecho de que el responsable del tratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección de las personas contemplada en la presente Directiva; que en estos casos el tratamiento de datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adoptarse garantías para que se respeten en la práctica los derechos y obligaciones contempladas en la presente Directiva”.
Los buscadores utilizan soportes técnicos para la captación, indexación y almacenamiento temporal de la información ubicada en páginas web de todo el mundo, que pueden estar centralizados o dispersos en diferentes países y los índices generados se guardan en servidores ubicados en lugares remotos y muchas veces secretos. Todo ello plantea enormes dificultades para determinar cuando nos encontramos frente a un “recurso a medios” radicados en un Estado miembro.
La Agencia de Protección de Datos considera que el índice se actualiza de forma dinámica a partir de la información ofrecida por los robots y el rastreo de las arañas web ubicadas, entre otros, en servidores web españoles, como lo demuestra que una de las facilidades que la versión española del servicio de buscador ofrece al usuario es, discriminar el resultado de su búsqueda en función del idioma de redacción de los documentos o de la localización geográfica de los servidores web que los alojan. Lo que, a su juicio, viene a demostrar que, para la prestación del servicio de búsqueda a los usuarios españoles, es requisito ineludible que se utilicen medios técnicos ubicados en territorio español. También considera como recursos a medios ubicados en España la utilización de ordenadores personales, terminales y servidores y que la utilización de cookies y dispositivos de software similares por parte de un proveedor de servicios online puede considerarse como recurso a medios en el territorio del Estado miembro.
La empresa Google, por el contrario, afirma que el proceso el buscador no se realiza mediante el recurso a medios sitos en España puesto que ningún equipo de Google se encuentra en España, ni las arañas ni los robots que utilizan se instalan en los servidores que visitan. Google Inc. no emplea medios ubicados en España para la obtención de la información ni para el procesamiento de la misma. Los equipos de “Google” llevan a cabo la indexación de los contenidos mediante un software que les permite conectarse de manera sistemática y continuada con todas las direcciones de Internet (“URLs”) que identifican en las páginas Web que encuentran a su paso. Los equipos de Google no se necesitan desplazar ni hacer uso de ningún medio para conseguir la información visitando, navegando y rastreando.
Las dudas que se plantean pueden sintetizarse en las siguientes:
En primer lugar, si puede considerarse como un “recurso a medios” la utilización por parte de la empresa Google de sus arañas o robots que acceden a servidores situados en España para obtener la información contenida en páginas web españolas que posteriormente indexa, discriminando el resultado de su búsqueda en función del idioma de redacción de los documentos o de la localización geográfica de los servidores Web que los alojan. Ello plantearía el problema de que el prestador de servicios en internet estaría sometido a todas las leyes y a las jurisdicciones de todos los países cuyos servidores alojaran información a la que los buscadores tuvieran acceso, pero, al mismo tiempo, facilitaría una tutela eficaz de los derechos de los afectados.
En segundo lugar, cabe preguntarse si la actividad de almacenamiento temporal en los centros de datos de la información indexada puede ser considerada como “un recurso a medios” en relación con el tratamiento de datos (suponiendo que esta exista). Y en el caso de que así se considerase, cabe plantearse si una adecuada interpretación de la Directiva exige que la empresa especifique y pruebe donde están ubicados esos medios (centros de datos o servidores), pudiendo aplicarse, en caso contrario, el criterio de conexión con el Estado miembro que mantenga otros aspectos que le relacionen con la información tratada (por ej: información procedente de una pagina web radicada en un Estado miembro, información referida a ciudadanos de uno de los Estados miembros que reclaman la tutela, relevancia de la información en ese Estado miembro etc..). Lo contrario, dada la dificultad de conocer donde se ubican esos medios en atención a la tecnología actualmente existente, conllevaría el peligro de hacer inoperante la aplicación de este criterio y consecuentemente la efectividad de la normativa comunitaria y nacional en materia de protección de datos.
La empresa Google no ha revelado el país donde se almacena la información indexada afirmando que el lugar donde se ubican estos índices es secreto y que se mantiene secreto porque forma parte de la ventaja competitiva que Google tiene frente a sus competidores, por lo que al desconocerse donde se almacena la información indexada por voluntad expresa de la sociedad que lo gestiona no es posible descartar, aunque no existe constancia de que así sea, que dicha información estuviese almacenada en cualquier Estado miembro, incluida España, y, por lo tanto, que estuviese acudiendo a medios (almacenamiento temporal de información indexada en servidores de la compañía) radicados en España.
¿Debe interpretarse el art. 4.1.c de la Directiva 95/46/CE en el sentido de que existe un “recurso a medios situados en el territorio de dicho Estado miembro” cuando un buscador utilice arañas o robots para localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado miembro o cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y los resultados en función del idioma de ese Estado miembro?, ¿Puede considerarse como un recurso a medios, en los términos del art. 4.1.c de la Directiva 95/46/CE , el almacenamiento temporal de la información indexada por los buscadores en internet? Si la respuesta a esta última cuestión fuera afirmativa, ¿puede entenderse que este criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde almacena estos índices alegando razones competitivas?
3.6 Utilización de otros criterios de conexión para una protección eficaz del derecho fundamental.
Cabe plantearse, finalmente, si aun cuando no concurriesen estos puntos de conexión, previstos en el art. 4 de la Directiva 95/46/CE , sería preciso realizar una interpretación que, a la luz del art. 8 la Carta Europea de los Derechos Fundamentales, permita utilizar otros criterios de conexión para proporcionar una tutela eficaz de este derecho a los ciudadanos de la Unión Europea.
La finalidad de la Directiva 95/46/CE es brindar una protección eficaz en la Unión Europea a los datos de las personas físicas (así se desprende de los apartados 10 y 18 de su exposición de motivos), que difícilmente sería compatible con la pretensión de la empresa Google de que los afectados que quieran ejercitar sus derechos de supresión, bloqueo y/o oposición frente a su buscador tengan que acudir a la jurisdicción de los Estados Unidos y someterse a la normativa dicho Estado. Esta empresa considera que no resulta aplicable la normativa comunitaria (ni consiguientemente la nacional) de protección de datos y que los afectados no pueden acudir a las autoridades y, en su caso, a los tribunales de justicia nacionales para la tutela de sus derechos.
La Directiva 95/46/CE se dictó en un momento en que los buscadores de internet, o no existían o eran muy incipientes, por lo que las normas de conflicto no están, en principio, diseñadas para afrontar los peligros que han sobrevenido con los cambios tecnológicos. Pero con la aprobación sobrevenida de la Carta Europea de los Derechos Fundamentales, que según dispone el art. 6 del TUE que tiene el mismo valor jurídico que los Tratados, se reconoce el derecho fundamental a la protección de datos de carácter personal (art. 8 de la Carta), por lo que parece razonable acudir a una interpretación y aplicación de las normas comunitarias que permita una tutela eficaz de este derecho, pues la Carta persigue, según su exposición de motivos, “reforzar la protección de los derechos fundamentales a tenor de la evolución de la sociedad, del progreso social y de los avances científicos y tecnológicos”.
Una protección eficaz de este derecho fundamental no puede depender del lugar donde la empresa decida asentar los medios técnicos. La utilización de soportes técnicos inmateriales, que permiten prestar los servicios desubicados del territorio al que van dirigidos y. en muchos casos, sin contar con medios residenciados en el mismo, complica una tutela eficaz de las eventuales lesiones de los derechos de la personalidad que se producen en el ciberespacio, especialmente en materia de protección de datos. Sin desconocer el peligro añadido que supondría la posibilidad de suprimir los establecimientos y medios que tuviere para impedir la aplicación de la normativa comunitaria o nacional, o cambiar el centro de gestión de recursos y medios, localizándolo en aquellos países que careciesen de una normativa de protección de datos o en los que sus normas fuesen más permisivas con la tutela de estos derechos.
De modo que la actividad desplegada por el buscador, aun cuando se considere que es gestionado desde fuera de la Unión y no dispone de un establecimiento ni recurre a medios ubicados en un Estado miembro, es susceptible de lesionar derechos fundamentales de los ciudadanos de la Unión Europea y la tutela de este derecho debería situarse donde se ubica el centro de gravedad del conflicto y sea posible una tutela eficaz del mismo, incluyendo la posibilidad de permitir una aprehensión integral del conflicto que comprenda los intereses en juego y de las normas implicadas.
Por ello sostener que la indexación de datos procedentes de páginas web situadas en España, en relación con una información publicada en España, en base a una norma legal española, que afecta a datos de un ciudadano español y que fundamentalmente puede tener una repercusión negativa, a juicio del afectado, en su entorno personal y social sito en España (centro de intereses), tenga que defender la tutela de su derecho a la protección de datos en EEUU, por ser el lugar que el gestor del buscador ha elegido para ubicar los medios técnicos, colocaría a los afectados en una situación de especial vulnerabilidad e impediría o dificultaría enormemente la tutela eficaz de este derecho que podría resultar incompatible con el espíritu y finalidad que inspira la Directiva y, sobre todo, con una tutela eficaz de un derecho fundamental contenido en la Carta Europea de Derechos Fundamentales.
Es por ello que, con independencia de la respuesta a las preguntas anteriores y especialmente en el caso en que se considerase por el Tribunal de Justicia de la Unión que no concurren los criterios de conexión previstos en el art. 4 de la Directiva, se plantea la siguiente pregunta:
¿Debe aplicarse la Directiva 95/46/CE en materia de protección de datos, a la luz del art. 8 de la Carta Europea de los Derechos Fundamentales, en el país miembro donde se localice el centro de gravedad del conflicto y sea posible una tutela más eficaz de los derechos de los ciudadanos de la Unión Europea?
La respuesta a estas preguntas referidas a la aplicación territorial de la Directiva comunitaria resulta decisiva para resolver el presente litigio, puesto que de ella depende la aplicación de la normativa de protección de datos dictada en la Unión Europea, y consecuentemente la normativa nacional que la traspone, en materia de protección de datos a la actividad desarrollada por la empresa Google en relación con los derechos de supresión, bloque y/o oposición ejercidos por el afectado y amparados por la Agencia. Caso de no considerarse aplicable dicha normativa se cuestionaría la competencia de la Agencia de Protección de Datos y de la decisión por ella adoptada respecto a las empresas del grupo “Google” para que adopten las medidas necesarias para retirar los datos del índice e imposibilitar el acceso futuro a los mismos.
4. Actividad de Google, en cuanto buscador de contenidos, y su encaje en el concepto de tratamiento de datos contenido en el art. 2.b de la Directiva 95/46/CE.
Uno de los problemas en torno al que gira este procedimiento se centra en determinar si la actividad que desempeñan los buscadores de información en internet, cuando localizan e indexan información contenida en paginas web pertenecientes a terceros, en el supuesto que esta información incluya datos personales, están realizando una actividad que puede quedar encuadrada dentro del concepto “tratamiento de datos personales”, definido en el art. 2.b) de la Directiva.
La actividad de los buscadores, como proveedores de contenidos, podría sintetizarse como sigue: Dada la gran cantidad de información disponible en internet los buscadores permiten a los usuarios acceder a la misma de forma rápida, introduciendo criterios de búsqueda (palabras, grupos de palabras o simplemente caracteres). Los buscadores, con la finalidad de facilitar y acelerar la búsqueda, rastrean previamente los servidores de contenidos conectados a la red mediante un software (conocidos como robots o arañas) para que les proporcionen información sobre los contenidos existentes en los mismos. Con esta información elaboran un índice de palabras (con millones de palabras) que relacionan con la referencia a las páginas web en la que aparece esa palabra. Esta información se almacena y periódicamente se actualiza visitando las páginas de origen conforme a las instrucciones recibidas por la empresa que gestiona el buscador. Los buscadores no intervienen en la elaboración de dicha información, ni la modifican, ni identifican el significado de los términos (desconociendo si se trata de una palabra sin sentido alguno, del nombre de una persona o de cualquier otro significado). El buscador como respuesta a la solicitud de información del usuario muestra una pantalla con un listado de direcciones web asociadas las palabras claves proporcionadas, permitiendo que el usuario acceda directamente al contenido del servidor web que aloja dicha información seleccionando el enlace que le facilita el buscador. El resultado de la búsqueda es ordenado por unos criterios de preferencia que establece el buscador.
La Agencia de Protección de Datos, en la resolución impugnada, considera que los “buscadores” (en este caso “Google”), como proveedor de contenidos proporcionados por terceros, está realizando una actividad de “tratamiento de datos”.
La amplitud del concepto “tratamiento de datos personales”, tal y como ha sido definido en el art. 2 b) de la Directiva 95/46/CE puede inducir a pensar que la actividad de los buscadores queda comprendida en este concepto. Las conclusiones contenidas en el Dictamen 1/2008 WP 148, emitido el 4 de abril de 2008 por el Grupo sobre protección de datos del artículo 29, así lo avala, pero el grupo Google lo niega.
Es por ello que la duda de este Tribunal se plantea en los siguientes términos:
En relación con la actividad del buscador de la empresa “Google” en internet, como proveedor de contenidos, consistente en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y finalmente ponerla a disposición de los internautas con un cierto orden de preferencia, cuando dicha información contenga datos personales de terceras personas, ¿Debe interpretarse una actividad como la descrita comprendida en el concepto de “tratamiento de datos”, contenido en el art. 2.b de la Directiva 95/46/CE ?.
La respuesta a esta cuestión es relevante para la solución de este recurso, pues constituye el presupuesto necesario para aplicar la normativa, nacional y comunitaria en materia de protección de datos, y condiciona las siguientes dudas referidas a la consideración del buscador como responsable de dicho tratamiento y, a su vez, el alcance de las obligaciones que están obligados a asumir para garantizar los derechos de los afectados.
5. ¿Son las empresas titulares de los buscadores responsables del tratamiento de los datos que manejan cuando estos actúan como proveedores de contenidos?
En caso de que la respuesta a la pregunta anterior fuese afirmativa, se suscitan dudas sobre la consideración de los buscadores como “responsables del tratamiento” de los datos personales incluidos en la información que indexan.
El artículo 2.d) de la Directiva, al tiempo de definir el concepto de “responsable del tratamiento”, considera que es aquella persona física o jurídica “que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales”. Este Tribunal alberga dudas sobre si la actividad de los buscadores en internet, como proveedor de contenidos, al indexar la información existente en la red que incluya datos personales, pueden ser considerados responsables del tratamiento de aquellos datos que se incluyan en el contenido de las paginas web de las que obtienen información.
El automatismo en la captación de dicha información y la ausencia de un control efectivo sobre la misma, especialmente sobre la exactitud y veracidad de la información que indexan, permite dudar que los buscadores puedan ser comprendidos en el concepto de “responsables del tratamiento”. Ello conllevaría, en principio, que se les podría aplicar el conjunto de obligaciones que la Directiva 95/46/CE, y consiguientemente la normativa nacional sobre protección de datos, establecen para los responsables del tratamiento.
Las conclusiones contenidas en el Dictamen 1/2008 WP 148, emitido el 4 de abril de 2008 por el Grupo sobre protección de datos del artículo 29, referido a “cuestiones de protección de datos relacionado con motores de búsqueda”, los considera incluidos en el concepto de “responsables de tratamiento” con ciertos matices. En dicho dictamen se diferencia entre el concepto de “responsable del tratamiento” y la responsabilidad por dicho tratamiento, concluyendo que sí bien pueden ser considerados “responsables del tratamiento” de la información o datos que indexan, limita su responsabilidad respecto de la información que tratan, al considerarlos, salvo en aspectos muy concretos de su actividad, como responsables subsidiarios.
El citado dictamen no explica las razones que le llevan a limitar la responsabilidad de los buscadores, en cuanto responsables del tratamiento, únicamente a determinadas obligaciones que la Directiva 95/46/CE impone a los mismos y no a las restantes previstas en dicha norma (entre ellas: garantizar el cumplimiento de lo dispuesto en el art. 6.1 , en donde se incluye que sean adecuados y pertinentes y no excesivos, exactos y actualizados, conservarlos por un tiempo limitado; el derecho de información del art. 11; el derecho de acceso del art. 12; medidas de seguridad del art. 17 y la responsabilidad prevista en el art. 23, entre otras muchas). A tal efecto, no debe olvidarse que el pleno sometimiento de la actividad del buscador, como proveedor de contenidos subidos por terceros, al amplio elenco de obligaciones que se imponen al responsable del tratamiento, sería difícilmente compatibles con la actividad que desarrollan los buscadores y con las posibilidades de asumir el cumplimiento efectivo de las mismas. ¿Serían estas obligaciones exigibles a los buscadores, en cuanto responsables del tratamiento de datos personales contenidos en la información que indexan?. ¿ Podrían asumir el cumplimiento de estas obligaciones respecto de los datos situados en páginas web de terceros que indexan?.
Y específicamente respecto de los derechos de rectificación, supresión y bloqueo (art. 12) y oposición (artículo 14), cuya tutela motiva el presente recurso, el dictamen afirma que la obligación de retirar o bloquear los datos personales del índice del buscador “puede depender de la legislación en materia y de las normas en materia de responsabilidad del Estado miembro en cuestión”. De donde parece deducirse que el cumplimiento de las obligaciones que la Directiva impone a los responsables del tratamiento dependería de la legislación nacional de los Estados miembros.
Los buscadores de contenidos en internet obtienen la información y los datos incluidos en la misma de forma automática, sin modificar o alterar la información existente en la página de origen en la que se encuentra ubicada. Son los editores (webmaster) o el responsable del servidor de alojamiento los que pueden excluir total o parcialmente una determinada información de los índices automáticos de los buscadores (usando el protocolo conocido como “robot.txt”, el código “noindex” o “noarchive”) para que no indexen determinada información o para que no guarden siquiera copia cache de la misma. Pero, por otra parte, son los buscadores los que localizan y almacenan la información existente en internet y contribuyen a su difusión facilitando su acceso mediante un índice ordenado que selecciona las páginas web en las que se contienen los criterios de búsqueda introducidos por el usuario.
Es por ello que la determinación de si los buscadores de contenidos pueden o no ser considerados “responsables del tratamiento de los datos” que indexan y las consecuencias que ello conlleva no parece nítida a este Tribunal, y considera necesaria una interpretación uniforme de la aplicación de la Directiva en este punto.
Por ello la pregunta que se formula al Tribunal de Justicia es la siguiente:
En caso de que la respuesta anterior fuera afirmativa y siempre en relación con una actividad como la ya descrita en el apartado anterior: ¿Debe interpretarse el artículo 2.d) de la Directiva 95/46/CE , en el sentido de considerar que la empresa que gestiona el buscador “Google” es “responsable del tratamiento” de los datos personales contenidos en las páginas web que indexa?.
La respuesta es relevante para resolución del presente procedimiento, pues la Agencia de Protección de Datos impone a las empresas del grupo “Google” la obligación de cancelación de los datos del interesado al considerarlo responsable del tratamiento aplicando para ello la Ley Española de Protección de Datos (el art. 16 de la LPOD dispone “1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado…”). Frente a ello, la compañía “Google” niega que se le pueda considerar responsable del tratamiento de los datos de carácter personal que pudieran estar presentes en las páginas web que indexa, por entender que son los editores, y no Google, quienes tiene la capacidad real para elegir y decidir acerca de la incorporación o no a los índices del buscador de los datos concretos que publican en sus páginas y para decidir sobre la exactitud, modificación y supresión de la misma.
6. Responsabilidad directa y/o subsidiaria del buscador.
6.1. Tanto la normativa comunitaria como la nacional en materia de protección de datos reconocen a los interesados el derecho a ejercitar frente al responsable del tratamiento los derechos de supresión, bloqueo y oposición, establecidos en el art. 12.b) y 14.a) de la Directiva, por lo que si se entiende que los buscadores pueden ser considerados como “responsables del tratamiento” en supuestos como el que nos ocupa, será preciso establecer el alcance y los límites de su responsabilidad. Dicho de otra forma, si, en la tutela de tales derechos, el buscador debe ser considerado responsable principal o tan solo subsidiario respecto al titular de la página web en la que están alojados dichos datos o en relación con la autoridad que ordenó su publicación.
6.2. El Sr………………………………………(el afectado) solicitó inicialmente la tutela de su derecho (oposición al tratamiento de sus datos) contra el periódico “La Vanguardia” pero ante la negativa de dicho periódico a retirar sus datos se dirigió contra el buscador de Google, (presentado una solicitud dirigida a Google Spain) que también le denegó la tutela pretendida. El interesado solicitó la tutela de su derecho ante la AEPD contra el grupo Google (Google Spain y Google Inc) y frente a la Vanguardia.
La AEPD en la resolución administrativa impugnada en este proceso consideró que la publicación de los datos del afectado en el citado periódico (en su sección online “Hemeroteca”) estaba justificada legalmente al estar acordada por la unidad de recaudación ejecutiva de la Seguridad Social y amparada por los artículos 645 de la Ley 1/2000 de 7 de enero de Enjuiciamiento Civil y en el art. 117.1 del Real Decreto 1415/2004, de 11 de junio por el que se aprueba el Reglamento General de Recaudación de la Seguridad Social, apreciando la necesidad de publicar las subastas de inmuebles para conseguir mayor concurrencia de licitadores. A tal efecto, el Real Decreto 1415/2004 regula el procedimiento ejecutivo por deudas a la Seguridad Social que permite el embargo y la posterior subasta de los bienes inmuebles del deudor para el pago de dichas deudas.Y el art. 117 de dicha norma establece que el anuncio de la subasta se “publicará en el tablón de edictos y anuncios de la Seguridad Social situado en su sede electrónica” pero se permite también que “Cuando, a juicio del director provincial de la Tesorería General de la Seguridad Social, sea conveniente para el fin perseguido y resulte proporcionado con el valor de los bienes, el anuncio de la subasta podrá publicarse también en medios de comunicación de gran difusión o en publicaciones especializadas” (la Vanguardia es un periódico de gran difusión), estableciéndose, por último en este precepto que en el anuncio de la subasta se incluirá, entre otros datos, la descripción de los bienes y su titularidad, circunstancia que motivó la inclusión de los nombres y apellidos del afectado en cuanto titular de la mitad indivisa del inmueble que se subastaba.
El Sr………………………………………(el afectado) no recurrió la resolución de la AEPD, por lo que se conformó con la decisión administrativa respecto a la denegación de la tutela de su derecho frente a “La Vanguardia”.
Sin embargo, la AEPD accedió a la tutela de sus derechos del afectado frente a Google Spain y Google Inc, instándoles a la adopción de las medidas necesarias para retirar los datos de su índice impidiendo el acceso futuro a los mismos.
6.3. El Dictamen 1/2008 WP 148, emitido el 4 de abril de 2008 por el Grupo sobre protección de datos del artículo 29, por lo que respecta a la responsabilidad de los buscadores considera que “El principio de proporcionalidad requiere que, en la medida en que un proveedor de un motor de búsqueda actúe exclusivamente como intermediario, no debe considerarse como responsable principal del tratamiento de datos personales efectuado. En este caso, los responsables principales del tratamiento de datos personales son los proveedores de información. La responsabilidad formal jurídica y práctica de los datos personales que incumbe al motor de búsqueda se limita generalmente a la posibilidad de retirar datos de sus servidores. Por lo que se refiere a la retirada de datos personales de su índice y de sus resultados de búsqueda, los motores de búsqueda tienen una responsabilidad suficiente para considerarse responsables del tratamiento (solo o conjuntamente con otros) en estos casos, pero la medida en la que existe una obligación de retirar o bloquear datos personales puede depender de la legislación en materia de responsabilidad civil y de las normas en materia de responsabilidad del Estado miembro en cuestión”.
6.4. La duda se centra en determinar el alcance de las obligaciones de los buscadores para tutelar de forma directa los derechos de supresión y oposición de los afectados, en virtud de un requerimiento acordado por la Agencia de Protección de Datos, cuando esa información no ha sido previamente suprimida de la página de origen o, incluso, en aquellos supuestos en los que la publicación de dicha información en la webmaster se considere lícita al amparo de una norma legal o de la aplicación concurrente de otros derechos (derechos de información entre otros).
El requerimiento contra “Google” para que retire de su buscador la información contenida en la página web de un tercero considerándolo como responsable directo, plantea inicialmente la dificultad de que éste no puede discutir la licitud o exactitud de una información que ni ha publicado ni puede modificar, al limitarse a indexarla sin conocer ni controlar el contenido de la misma. Es el titular de la página web el que conoce y controla el contenido de dicha información y el que puede defender frente al afectado el mantenimiento de la misma por la prevalencia de otros derechos (derecho de información, libertad de expresión etc) o por el cumplimiento de obligaciones legales que puedan entenderse prioritarias, así como defender la proporcionalidad de los datos en relación con el fin perseguido. Y es este mismo titular de la página web el que tiene a su alcance, con las herramientas existentes en el mercado (“robots txt”; y los códigos “noindex” o “noarchive”), la decisión de si su contenido puede o no ser indexado por los buscadores o consultado por terceros.
La supresión o cancelación de estos datos del buscador podría incidir en los derechos del titular de la página web (tales como el derecho de información, libertad de expresión u otros) o en el cumplimiento de las obligaciones legales que tiene contraídas sin que haya tenido oportunidad de defenderlos.
6.5. También es necesario ponderar si la adopción de tales medidas puede cumplir la finalidad que se persigue sin dañar los derechos de terceros. La empresa recurrente alega la imposibilidad de dar cumplimiento a las obligaciones impuestas sin incidir en el derecho de otros usuarios. Afirma, que si se eliminara las palabras coincidentes con el nombre y apellidos del afectado del índice que utiliza el buscador las referencias a las páginas web se seguirían indexándose si se mantuviese la información en la página web de origen. Y aunque se suprimiera solo respecto a la referencia de una página web determinada tampoco serviría, pues esta misma información puede haber sido replicada en otras páginas web. Y si se eliminan todos los contenidos relacionados con los datos del afectado, no solo se suprimiría de la noticia o información solicitada sino toda la información existente en internet relacionada con esa persona (incluyendo aquella información que sí desea que se conozca y se difunda), y toda información asociada con terceros cuyo nombre y apellidos coincidiese con el afectado, lesionándose los derechos de estos.
6.6. No se pueden desconocer otros aspectos del problema relacionados con la eficacia y proporción que las medidas adoptadas e impuestas a los buscadores tendrían para la tutela del derecho del afectado. Si la cancelación y bloqueo se solicita directa y exclusivamente frente un buscador determinado (en este caso Google), no se impediría que dicha información siga estando publicada en la página de origen y, por tanto, pueda ser localizada por cualquier usuario que acceda a la misma y por los demás buscadores que operan en el mercado. Ello permite a día de hoy que esta información, cuyo bloqueo se pretenden, no solo siga publicada y pueda ser consultada en la página de origen sino que además pueda ser localizada e indexada por los demás buscadores que operan en el mercado.
6.7. Frente a ello, no puede desconocerse la necesidad de proporcionar una tutela efectiva a la protección de datos del afectado. La facilidad con que se replica una información en otras páginas web, la posibilidad de cambiar el nombre y ubicación de la página reproduciendo la misma información y la dificultad añadida de tener que actuar frente a páginas web que pueden estar ubicadas en otro Estado, puede hacer ineficaz y excesivamente gravosa la tutela de los derechos del afectado si tiene que dirigirse, con carácter principal, contra todas las páginas web en la que se aloje dicha información. La tutela directa de sus derechos frente al buscador tiene la ventaja de que impide, o al menos dificulta enormemente, la fácil localización y la difusión generalizada de los datos que trata de proteger y los peligros que supone la utilización de estos buscadores para tener acceso a todos los datos de una persona física elaborando, incluso perfiles personales.
Sin olvidar que es el afectado el que debe determinar el alcance que la tutela de sus derechos debe tener, siempre que ello sea conforme con la normativa vigente.
6.8. En base a estas consideraciones este Tribunal alberga dudas sobre el alcance de la responsabilidad de los buscadores en la tutela de los derechos contenidos en el art. 12.b) y 14.a) de la Directiva 95/46/CE que pueden plantearse en los siguientes términos:
¿Puede la autoridad nacional de control de datos (en este caso la Agencia Española de Protección de Datos), tutelando los derechos contenidos en el art. 12.b) y 14.a) de la Directiva 95/46/CE , requerir directamente al buscador para exigirle la retirada de sus índices de una información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información?.
¿Se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene esos datos se haya publicado lícitamente por terceros y se mantenga en la página web de origen?
La cuestión planteada es relevante para este litigio pues la Agencia Española de Protección de Datos consideró que la publicación de la información que contenía sus datos era lícita y estaba justificada en una norma legal permitiendo que se mantuviese en la página web de origen, y, sin embargo, dirigió un requerimiento al buscador de Google para que retirase dicha información de sus índices.
7. Alcance de los derechos de supresión y bloqueo (cancelación) y/oposición al tratamiento que tiene el afectado: eventual inclusión de su “derecho al olvido”.
7.1. Finalmente se plantea en este recurso el alcance y contenido que deben tener los derechos de bloqueo, supresión y/o oposición del afectado. La determinación de si existe un poder de disposición del particular sobre las informaciones que se publican en la red sobre su persona, incluyendo el llamado “derecho al olvido”, en especial cuando se ejercitan frente a un buscador, aparece íntimamente vinculada con la cuestión debatida en este litigio y se constituye como uno de los aspectos nucleares de la presente polémica.
7.2. La Agencia de Protección de Datos considera que el particular puede instar la cancelación de sus datos o de alguna información que le afecte, cuando entienda que esta “atenta o puede atentar” a su dignidad, entendida como un concepto amplio.
Por el contrario, las empresas recurrentes niegan que exista en la normativa española y comunitaria en materia de protección de datos el “pretendido derecho al olvido” como el que utiliza la AEPD para justificar su actuación.
7.3. El problema se centra, por tanto, en determinar si el derecho de protección de datos, contenido en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea y regulado en la Directiva 95/46/CE, y en especial por lo que se refiere al ejercicio de los derechos de cancelación, supresión y/o oposición en los términos previstos en el art. 12.b) y 14.a) de la Directiva, comprende el deseo o voluntad de una persona, incluyendo el derecho al olvido, a que una determinada noticia o información que aparece vinculada a ella y que permite identificarla, no pueda ser indexada, mantenida indefinidamente y difundida por los buscadores en internet.
No debe olvidarse que de conformidad con el art. 6.1 de la Directiva los datos tratados no solo han de ser adecuados, pertinentes, no excesivos y exactos cuando se recaban sino cuando posteriormente son tratados.
En el caso que nos ocupa, la información cuya cancelación y bloqueo se solicita debe reputarse completa y exacta en su origen, ninguna objeción se ha formulado en tal sentido ni por el afectado ni por la resolución administrativa que tutela este derecho frente a Google. El problema surge respecto de la permanencia en el tiempo de dicha información en la red y la posibilidad de ser localizada de forma sencilla por cualquier usuario utilizando los buscadores.
7.4. Las medidas adoptadas respecto a la empresa que gestiona el buscador han de ser necesarias y adecuadas para proteger los derechos del afectado, pero también han de ser proporcionadas y eficaces en la medida en que afectan o pueden afectar no solo a la actividad y fines que persiguen los motores de búsqueda en la sociedad actual y al desarrollo de su actividad comercial, sino también en relación con los derechos y libertades de terceros (los titulares de páginas web en el que se aloja dicha información y los derechos y libertades a recibir y comunicar información de los internautas, e incluso el cumplimiento de obligaciones legales), que habrá de ponderar y abordar en relación a la cuestión que se plantea.
Se parte de la importancia que los buscadores tienen en la sociedad actual, al permitir una fácil y rápida localización de la ingente cantidad de información que existe en internet, contribuyendo de forma decisiva a que la misma sea accesible de forma inmediata a un gran número de usuarios en el mundo y, consecuentemente, al desarrollo de la sociedad de la información y a la creación de una opinión pública mejor informada, por lo que el uso o tratamiento de esos datos (suponiendo que exista dicho tratamiento) podría estar amparado por el interés legítimo que cumplen los buscadores en la transmisión y localización de datos e información en nuestra sociedad y en el derecho a obtener información por parte de los usuarios. No cabe desconocer tampoco la importancia que esta herramienta tiene para los titulares de las páginas web en las que se aloja dicha información, pues si la difusión de sus contenidos se restringe se vería afectado también su derecho a transmitir información por internet. Es más, podría incidir en el correcto funcionamiento de los servicios públicos y los mecanismos previstos en la ley para cumplir los fines que le han sido encomendados, piénsese que en el supuesto que nos ocupa se estaría restringiendo la publicidad de una subasta pública ordenada por una Administración pública que utiliza este medio precisamente para permitir la concurrencia de licitadores que quieran pujar para adjudicarse el bien inmueble.
7.5. Frente a ello cabe plantearse si cuando el afectado ejerce su derecho de supresión y bloqueo o cuando utiliza su derecho de oposición al tratamiento por “razones legítimas propias de su situación particular” (art. 14.a) en relación con el art. 7.f) de la Directiva), puede comprenderse su voluntad de que no se indexe y difunda la información relativa a su persona, que aun siendo lícita y exacta, considere negativa o perjudicial para su persona, incluyendo su derecho al olvido.
Las razones por las que una persona física puede considerar que una información, incluso aquella que aparentemente pueda aparecer inocua, puede dañar su dignidad o tener una repercusión negativa en su esfera personal, social o profesional pueden ser muy variadas, y en muchas ocasiones tienen un marcado componente subjetivo. El problema se complica por las especiales características que tiene la difusión de la información en internet y el importante papel que tienen los buscadores de contenidos para facilitar la difusión y el conocimiento de esa información que una persona considera perjudicial.
Internet traspasa fronteras y límites temporales y los buscadores potencian ese efecto, permitiendo una difusión global de esa información y facilitando su localización. Ello implica importantes riesgos para la adecuada protección de los datos personales de los ciudadanos, pues al permitir buscar de forma rápida y sencilla toda la información que existe en internet sobre una persona se incrementan las posibilidades de que cualquier usuario tenga acceso a datos e informaciones referidas a una persona que antes eran de difícil localización, permitiendo crear perfiles de las personas y construir un “historial” de su vida y actividades o de su trayectoria económica o profesional. Y este riesgo no solo existe respecto de personas con proyección pública o mediática sino que afecta a cualquier ciudadano que ve como se incluyen en internet una gran cantidad de datos o informaciones relacionados con su persona que afectan a aspectos cotidianos de su actividad diaria.
La información o los datos que se incluyen en Internet tampoco tienen que estar relacionados, necesariamente, con asuntos de interés informativo o trascendencia general.
Por otra parte, una información que antes de la aparición de estas nuevas tecnologías tenía una difusión limitada territorial y temporalmente, y que al cabo del tiempo caía en el olvido, en estos momentos puede ser localizada fácilmente, con una difusión global, y sobre todo no se olvida, permanece en la red indefinidamente.
Esto supone un peligro añadido y potencialmente muy grave para la protección de datos de las personas pues una información, aun lícita y exacta en su origen, por el transcurso del tiempo puede haber dejado de ser actual al haber sido superada por acontecimientos posteriores que la desvirtúan o minimizan y, sin embargo, cada vez que se teclea el nombre de una persona en un buscador vuelve a recordarse aquel acontecimiento o información relacionado con su persona.
Aún en aquellos supuestos en los que la información sea reciente, el afectado, consciente de que esa información que se incorpora a internet podrá ser localizada a lo largo de toda su vida, puede tener interés en que su difusión no se propague y le persiga a lo largo de toda su vida y la de sus descendientes. En términos más amplios se podría plantear si una persona tiene derecho a que no se localicen por los buscadores aquellas noticias o informaciones, que en cuanto permiten identificarla y relacionarla con dicha información, no desea que se mantengan en Internet y sea conocida por todos los internautas, reduciendo el número de datos e informaciones sobre su persona que desean que sean conocidas por los demás.
Las herramientas tecnológicas actuales, especialmente los motores de búsqueda, potencian que los afectados estén sometidos permanente a la exposición pública y general sobre un hecho o acontecimiento que, aun siendo cierto, no desea que le sea recordado permanentemente y cuyo conocimiento puede perjudicarle en su entorno social y profesional.
Pero, por otra parte, si se admite que el derecho de cancelación y oposición permite que una persona pueda decidir la información que desea que se conozca y se difunda en la red y cual no, se estaría admitiendo que la información disponible puede ser “filtrada”, y en cierta forma censurada por el afectado, corriéndose el peligro de que tan solo se difunda aquella que le beneficia, limitando aquella que, aunque sea lícita y veraz, no se desea que se conozca. Ello desvirtuaría, en cierta forma, la fiabilidad y objetividad de la información que puede ser consultada.
7.6. Por todo ello este Tribunal plantea la pregunta siguiente:
¿Debe interpretarse que los derechos de supresión y bloqueo de los datos, (regulados en el art. 12.b) y el de oposición (regulado en el art. 14.a de la Directiva 95/46/CE), incluyen la posibilidad de que el interesado puede dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de una información publicada lícitamente por terceros?.
La determinación del alcance de los derechos de supresión, bloqueo (en derecho español cancelación) y oposición del afectado frente a los buscadores de contenidos en internet, incluyendo el derecho al olvido, resulta relevante para la solución del presente litigio pues, tal y como hemos expuesto a lo largo de esta resolución, el interesado al introducir su nombre y apellidos en el buscador de Google aparecen diversos enlaces que le relacionan con el embargo y anuncio de una subasta (en la que se incluían su nombre y apellidos) de un bien inmueble de su propiedad por deudas a la Seguridad Social y aunque este hecho fue exacto y completo cuando se incluyó, el afectado se opone a su tratamiento por entender que el problema que motivó esta subasta está solucionado y resuelto desde hace años, careciendo de relevancia alguna actualmente, y, sin embargo, la información referida a este hecho sigue apareciendo en el buscador y no desea que sea conocida.
8. Trascendencia de la cuestión prejudicial respecto de otros Estados miembros y otros recursos ante este mismo Tribunal.
Este Tribunal ha justificado lo largo de esta resolución la relevancia que las diferentes cuestiones planteadas tienen para la solución de este litigio. Pero al mismo tiempo no debe dejar de destacarse que los problemas que se suscitan en este recurso y sobre los que se plantean las dudas interpretativas pueden afectar a todos los demás Estados miembros, pues este Tribunal tiene constancia de la existencia de varias resoluciones administrativas y judiciales de otros Estados miembros que ponen de manifiesto el alcance general de este problema y la posibilidad de llegar a soluciones diferentes en la interpretación y aplicación de la normativa comunitaria en materia de Protección de Datos. Así, se han aportado a este procedimiento varias decisiones o resoluciones de autoridades o tribunales de los Estados miembros, entre ellas cabe destacar: La resolución de la Autoridad Italiana de Protección de Datos de 11 de diciembre de 2008 que declara inadmisible la petición de cancelación de datos interpuesta por un particular contra la empresa Google Inc al considerar que dicha empresa no esta ubicada en ninguno de los Estados miembros de la Unión Europea y ejecuta su tratamiento de datos mediante servidores ubicados en EEUU. La Sentencia del “Tribunal de Grande Instance de Paris” de 14 de abril de 2008 que resolvió una demanda presentada por un particular contra las empresas Google Inc., y Google France, en la que se afirma que el servicio se presta exclusivamente por Google Inc., empresa que no está establecida en Francia ni utiliza medios humanos y materiales en Francia, siendo Google France un mero agente comercial, considerando que el tratamiento estará sometido a la normativa Californiana de Protección de Datos. Y la sentencia de 2 de junio de 2009 del Juzgado de Primera Instancia de Bruselas que decidió la demanda interpuesta por un particular contra Google Belgium por la localización en su buscador de una información referida a un juicio al que se vió sometido varios años antes, en la que se consideró que el poder de filtrar los resultados de búsqueda no lo tenía Google Belgium sino Google Inc con domicilio en California.
Debe destacarse, también, que el problema jurídico debatido en este recurso es común a un gran número de procedimientos que se tramitan en este Tribunal (aproximadamente 130), en los que, al igual que en este recurso, la Agencia de Protección de Datos ha dirigido requerimientos directos a la empresa Google para que retire determinados datos de los afectados de su índice e impida que sean localizados por sus buscadores.
No hemos considerado procedente plantear tantas cuestiones prejudiciales como recursos existentes, y se ha optado suscitar la cuestión prejudicial tan solo en éste, que, como es lógico, no abarca toda la variada problemática de supuestos que se plantean, a la espera de que la respuesta que nos proporcione el Tribunal de Justicia nos sirva para poder dar una solución uniforme al problema común que en ellos se suscita.
PARTE DISPOSITIVA
LA SECCIÓN PRIMERA DE LA SALA DE LO CONTENCIOSO ADMINISTRATIVO DE LA AUDIENCIA NACIONAL DEL REINO DE ESPAÑA, ACUERDA PLANTEAR AL TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA CUESTIÓN PREJUDICIAL DE INTERPRETACIÓN, al amparo del art. 267 del TFUE, sobre las siguientes cuestiones:
1. Por lo que respecta a la aplicación territorial de la Directiva 95/46/CE y, consiguientemente de la normativa española de protección de datos:
1.1 ¿Debe interpretarse que existe un “establecimiento”, en los términos descritos en el art. 4.1.a) de la Directiva 95/46/CE, cuando concurra alguno o algunos de los siguientes supuestos:
* cuando la empresa proveedora del motor de búsqueda crea en un Estado Miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes de ese Estado, o
* cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa o -cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la Unión Europea, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto al derecho de protección de datos, aun cuando dicha colaboración se realice de forma voluntaria?
1.2 ¿Debe interpretarse el art. 4.1.c de la Directiva 95/46/CE en el sentido de que existe un “recurso a medios situados en el territorio de dicho Estado miembro” cuando un buscador utilice arañas o robots para localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado miembro o cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y los resultados en función del idioma de ese Estado miembro?.
1.3 ¿Puede considerarse como un recurso a medios, en los términos del art. 4.1.c de la Directiva 95/46/CE, el almacenamiento temporal de la información indexada por los buscadores en internet? Si la respuesta a esta última cuestión fuera afirmativa, ¿puede entenderse que este criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde almacena estos índices alegando razones competitivas?
1.4. Con independencia de la respuesta a las preguntas anteriores y especialmente en el caso en que se considerase por el Tribunal de Justicia de la Unión que no concurren los criterios de conexión previstos en el art. 4 de la Directiva, ¿Debe aplicarse la Directiva 95/46/CE en materia de protección de datos, a la luz del art. 8 de la Carta Europea de Derechos Fundamentales, en el país miembro donde se localice el centro de gravedad del conflicto y sea posible una tutela más eficaz de los derechos de los ciudadanos de la Unión Europea?
2. Por lo que respecta a la actividad de los buscadores como proveedor de contenidos en relación con la Directiva 95/46/CE de Protección de Datos:
2.1. En relación con la actividad del buscador de la empresa “Google” en internet, como proveedor de contenidos, consistente en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y finalmente ponerla a disposición de los internautas con un cierto orden de preferencia, cuando dicha información contenga datos personales de terceras personas, ¿Debe interpretarse una actividad como la descrita comprendida en el concepto de “tratamiento de datos” contenido en el art. 2.b de la Directiva 95/46/CE ?
2.2. En caso de que la respuesta anterior fuera afirmativa y siempre en relación con una actividad como la ya descrita: ¿Debe interpretarse el artículo 2.d) de la Directiva 95/46/CE , en el sentido de considerar que la empresa que gestiona el buscador “Google” es “responsable del tratamiento” de los datos personales contenidos en las páginas web que indexa?.
2.3. En el caso de que la respuesta anterior fuera afirmativa: ¿Puede la autoridad nacional de control de datos (en este caso la Agencia Española de Protección de Datos), tutelando los derechos contenidos en el art. 12.b) y 14.a) de la Directiva 95/46/CE , requerir directamente al buscador de la empresa “Google” para exigirle la retirada de sus índices de una información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información?.
2.4. En el caso de que la respuesta a esta última pregunta fuera afirmativa, ¿Se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene los datos personales se haya publicado lícitamente por terceros y se mantenga en la página web de origen?
3. Respecto al alcance del derecho de cancelación y/oposición en relación con el derecho al olvido se plantea la siguiente pregunta:
3.1. ¿Debe interpretarse que los derechos de supresión y bloqueo de los datos, regulados en el art. 12.b) y el de oposición, regulado en el art. 14.a) de la Directiva 95/46/CE comprenden que el interesado pueda dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona, publicada en páginas web de terceros, amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de una información publicada lícitamente por terceros?.
Documentación que se acompaña.
Como anexo documental al presente Auto se remitirán los siguientes documentos:
ANEXO I.- Documentos relevantes del expediente administrativo.
ANEXO II.- Demandas presentadas por las empresas Google Spain y Google Inc.
ANEXO III.- Contestación a la demanda del Abogado del Estado y de la representación de D. ……………………..(el afectado).
ANEXO IV.- Providencia por la que se acordó dar traslado a las partes personadas para que alegasen sobre el posible planteamiento de la cuestión prejudicial de interpretación al Tribunal de Justicia de la Unión Europea. Alegaciones de las partes
ANEXO V – Normativa nacional relevante para el caso que nos ocupa, a los únicos efectos de facilitar su consulta al Tribunal de Justicia de la Unión Europea.
Así lo acuerdan, mandan y firman los Ilmos., e Ilmas. Sres., y Sras., al margen citados; doy fe.