fbpx

PROTECCIÓN DE DATOS

Derecho al olvido: distintos criterios del Tribunal Supremo en cuanto a la responsabilidad y legitimación pasiva de Google

Tribuna
Federico-Jover_EDEIMA20160905_0004_1.jpg

El pasado 13 de Junio de 2016, la Sala de lo Contencioso - Administrativo del Tribunal Supremo, mediante la Sentencia Nº 1384/2016 (Rec. 810/2015), determinaba que el responsable del tratamiento de datos personales que se albergaban en el motor de búsqueda “Google Search” era la sociedad Google Inc, entidad radicada en EEUU y encargada de gestionar dicho motor. Además, dicha Sentencia declaraba nula de pleno derecho la resolución dictada por el Director de la Agencia Española de Protección de Datos debido a la falta de legitimación pasiva de Google Spain, SL en el procedimiento administrativo.

Esta decisión confirmaba el criterio establecido en marzo de 2016 por la misma Sala en diversas sentencias. (Entre otras, Sentencia Nº 574/2016 Rec. 1380/2015)

Sin embargo, en abril del mismo año, la Sala de lo Civil del mismo Tribunal había establecido que la sociedad responsable del tratamiento de datos era Google Spain SL, la cual es jurídicamente independiente de su matriz Google Inc. (Sentencia Nº 210/2016 Rec. 3269/2014)

Ante esta diversidad de criterios del Tribunal Supremo, cabría preguntarse: ¿qué sociedad es finalmente responsable del tratamiento de los datos personales contenidos en el buscador? ¿cómo y ante quién deben dirigirse los ciudadanos españoles para ejercitar el derecho al olvido? Para dar respuesta a estas preguntas, analizaremos los factores claves que las Salas han tenido en consideración para establecer sus conclusiones. 

Elemento Clave

Para determinar el responsable del tratamiento de datos, ambas Salas se basaron en las disposiciones contenidas en la Directiva 95/46/CE y el Dictamen 1/2010 de Grupo de Trabajo 29, así como en la Sentencia del TJUE de 13 de mayo de 2014 “caso Google”.

De dicha Sentencia, resulta fundamental resaltar el siguiente párrafo, que será clave a la hora de determinar a los distintos responsable:

“(…)procede considerar que el tratamiento de datos personales realizados en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa en el “marco de las actividades” de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor.”

La Sala de lo Civil considera que en “el marco de las actividades” realizadas por Google Spain, SL (promoción y venta) se incluye el tratamiento de datos personales. Es por ello que realiza una lectura del concepto de responsable de tratamiento de datos en sentido amplio, y hace responsable a Google Spain, SL.

Sin embargo, la Sala de lo Contencioso – Administrativo realiza una lectura estricta del concepto de responsable del tratamiento de datos. Así pues, establece que Google Spain, SL no realiza tales tratamientos de datos, dado que sus funciones son únicamente las de publicidad y promoción del motor de búsqueda “Google Search”. Por este motivo, estima que el único responsable del tratamiento de datos es la sociedad estadounidense Google Inc

Argumentos de la Sala de lo Contencioso-Administrativo

Junto a la interpretación del párrafo anterior de la Sentencia del TJUE, los argumentos de la Sala de lo Contencioso – Administrativo para determinar responsable a Google INC fueron:

  • Se nos dice que es Google Inc quien gestiona el motor de búsqueda “Google Search” sin que en ningún caso se evidencie participación alguna en ese cometido de Google Spain SL..
  • Es preciso determinar y acreditar en cada caso la existencia y el alcance de la participación de cada uno en la determinación de los fines y medios del tratamiento para que pueda hablarse de corresponsabilidad, lo que en modo alguno se ha producido en este caso respecto de Google Spain.
  • Tal corresponsabilidad no puede fundarse en la vinculación mercantil entre Google Inc y Google Spain SL, pues la coparticipación alude a la idea de participación conjunta en algún resultado o acción, lo que en este caso comportaría que tanto Google INC como Google Spain concurrieran en la tarea de determinar los fines y medios del motor de búsqueda.
  • La actividad de Google Spain constituye una actividad conexa o vinculada económicamente a la de su matriz, pero de distinta naturaleza a la determinación de los fines o medios del tratamiento.
  • No debe identificarse ni confundirse la determinación de los fines y medios del tratamiento, que caracterizan la condición de responsable, con una actividad de colaboración.
  • Por último, esta Sala no aprecia solidaridad en el cumplimiento de las obligaciones, de manera que cada responsable lo es de aquellas que se derivan de su actividad. Tampoco se justifica en este caso las circunstancias que permiten acudir a la aplicación de la doctrina de los actos propios.

Por todo ello, declara responsable del tratamiento de datos contenido en el motor de búsqueda “Google Search” a la sociedad Google Inc, instando a los interesados a que se dirijan a tal sociedad radicada en los EEUU a fin de ejercer el derecho al olvido de sus datos personales. 

Argumentos de la Sala de lo Civil

Junto a la interpretación del párrafo del TJUE anteriormente citado, los argumentos para determinar responsable a Google Spain, SL fueron:

  • Afirma que Google Spain puede ser considerada, en sentido amplio, como responsable del tratamiento de datos que realiza el buscador “Google Search”, y por tanto, está legitimada pasivamente para ser parte demandada en los litigios seguidos en España.
  • Una resolución en contrario, basada en un concepto estricto de “responsable del tratamiento”, supondría frustrar en la práctica el objetivo de “garantizar una protección eficaz y completa” que tiene la Directiva.
  • Esta interpretación restrictiva supondría un serio obstáculo para la efectividad de los derechos fundamentales. La Directiva declara que los Estados Miembros establecerán que toda persona disponga de un recurso judicial en casos de violación de los derechos que le garanticen las disposiciones de derecho nacional aplicables al tratamiento de que se trate.        
  • Los sujetos protegidos por la normativa sobre protección de datos son las personas físicas. El efecto útil de la normativa se debilitaría si los afectados hubieran de averiguar, dentro del grupo empresarial, cuál es la función concreta de cada una de las sociedades que la componen.
  • Incluso en el caso de litigar en España, la mayoría de las personas tendría dificultades para interponer la demanda.
  • En definitiva, de aceptar la tesis de Google Spain y circunscribir la legitimación pasiva de Google Inc, estaríamos haciendo casi imposible en la práctica dicha protección, pues las demandas habrían de interponerse contra una empresa radicada en los Estados Unidos con los elevados gastos y dilaciones que ello trae consigo. 

¿Es congruente que el Tribunal Supremo establezca distintos criterios?

Tal y como sostiene la Sala de lo Civil, las sentencias dictadas días antes por la Sala de lo Contencioso-Administrativo “no resultan condicionantes o decisivas para resolver este recurso”, y “no tienen efecto prejudicial”.

Y es que, en las sentencias de la Sala de lo Contencioso – Administrativo se está resolviendo con relación a resoluciones dictadas en un procedimiento administrativo seguido ante la AEPD, mientras que el procedimiento seguido ante la Sala de lo Civil tiene por objeto la protección de derechos fundamentales del demandante, en concreto los derechos al honor, a la intimidad (Art. 18.1 CE) y a la protección frente al tratamiento automatizado de sus datos de carácter personal (Art. 18.4 CE)

Asimismo, la Sala de lo Contencioso - Administrativo en su Sentencia dictada el pasado junio, justifica que su criterio, a diferencia de lo que ocurriría en un procedimiento civil, no supone para el interesado una “dificultad o carga añadida significativa para la obtención de una eficaz tutela judicial en ninguna de las fases del procedimiento que se establece al efecto”, pues la reclamación se formula electrónicamente de manera sencilla, gratuita y directa por el interesado, a través de los formularios facilitados por Google INC en su página Web.

Es por ello que el Tribunal Supremo no cae en incongruencia alguna al establecer distintos responsables del tratamiento de datos, debido a la existencia de distintos criterios rectores en las distintas jurisdicciones dado la diversidad de las normativas que con carácter general se aplican por unas y otras. 

Iniciación y fases del procedimiento

En el ámbito de la jurisdicción contencioso-administrativa, la tutela de los derechos de oposición, acceso, rectificación y cancelación reconocidos al titular de los datos personales objeto de tratamiento, comienza con la reclamación o comunicación por parte de este al responsable del tratamiento, en este caso la sociedad Google INC, ejercitando el correspondiente derecho, frente a cuya respuesta dicho interesado puede formular reclamación ante la Agencia Española de Protección de Datos. Esta deberá dictar resolución en el plazo de seis meses, contra la cual puede interponerse recurso contencioso-administrativo por ambas partes.

En caso de que no se haya planteado reclamación alguna frente a la Administración, no habrá acto administrativo que revisar, por lo que el interesado que vea afectados sus derechos deberá seguir la vía Civil. El procedimiento se inicia con la presentación de la demanda de protección de los derechos al honor, a la intimidad y a la protección frente al tratamiento automatizado de sus datos de carácter personal contra el responsable del tratamiento de datos, en este caso, Google Spain SL.