Contencioso-administrativo

Discrepancias en el Tribunal Supremo sobre el responsable de la cancelación de datos en los motores de búsqueda (derecho al olvido digital)

Noticia

Acaban de dictarse dos sentencias, de diferentes salas del Tribunal Supremo, que abordan el derecho al olvido digital llegando a soluciones diversas y en gran medida contradictorias.

RevistaJurisprudencia

EDB 2016/77841Recientemente acaban de dictarse dos sentencias, de diferentes salas del Tribunal Supremo, que abordan el derecho al olvido digital llegando a soluciones diversas y en gran medida contradictorias. Me estoy refiriendo a la Sentencia de la Sala Primera de 5-4-16, Rec 3269/14 -EDJ 2016/28351- y a la sentencia de la Sala Tercera del TS 14-3-16, Rec 1380/15 -EDJ 2016/17242-.Para poder analizar la discrepancia de criterios entre ambas sentencias, es preciso conocer los hechos enjuiciados en cada una de ellas y los razonamientos en los que se fundan. Pero ya se puede anticipar que las diferencias de criterio no surgen sobre la confrontación de fondo entre el derecho a la protección de datos y otros derechos concurrentes, sino sobre la legitimación pasiva de la filial de Google en España (Google Spain) para ser considerada responsable del tratamiento de datos personales realizados por dicho motor de búsqueda y asumir las obligaciones de cancelación y supresión de datos que pudieran imponerse.El tema es aparentemente menor pero tiene una indudable importancia, como más adelante analizaremos, para determinar la legitimación pasiva y la competencia de los tribunales civiles para conocer de estos litigios. Y, por otra parte, merece analizarse las razones por las que un mismo problema ha sido tratado por dos jurisdicciones diferentes y utilizando vías distintas.I. HechosEDJ 2016/28351, TS Sala 1ª, 5-4-16, Núm 210/16, Rec 3269/14. Pte: Sarazá Jimena, RafaelEn esta sentencia -EDJ 2016/28351- se conoce del recurso de casación y recurso extraordinario de infracción procesal interpuesto contra la sentencia de la sec16ª de la Audiencia Provincial de Barcelona -EDJ 2014/156758- sobre la tutela del derecho al honor a la intimidad y a la propia imagen y a la protección de datos de carácter personal, que estimó el recurso de apelación contra la sentencia dictada por el Juzgado de Primera Instancia nº 8 de Barcelona.Lo hechos en los que se sustenta este procedimiento pueden sintetizarse en los siguientes: en el BOE de septiembre de 1999 se publicó un Real Decreto concediendo al afectado un indulto en relación con una condena penal previa. El particular, dedicado al sector de las telecomunicaciones y multimedia, consideraba que a través de la búsqueda por su nombre y apellidos en los buscadores salía la información relacionada con la concesión de su indulto y que esa información sobre hechos ocurridos muchos años atrás le generaba perjuicios en su vida.El demandante, antes de acudir a los tribunales, se dirigió al BOE, a Yahoo y a Google solicitando que se retirase dicha información dirigiéndose posteriormente a la Agencia Española de Protección de Datos contra estas entidades. Por resolución de la Agencia se estimó la reclamación contra Google Spain, instándola a que adoptara las medidas necesarias para retirar los datos de su índice e imposibilitar el acceso futuro, se desestimó la reclamación contra el BOE, y se estimó la reclamación contra Telefónica y Yahoo si bien se trató de una estimación formal pues en esos momentos constaba acreditado que ya habían adoptado las medidas necesarias para evitar la indexación de los datos.Presentó una demanda de juicio ordinario contra Google Spain, Yahoo Iberia SL y Telefónica España SAU en el que solicitaba que se declarase que los demandados habían incurrido en una intromisión en su derecho al honor, a la intimidad, a la propia imagen y a la protección de datos de carácter personal y se retirara la información personal de las indexaciones y caches relacionadas con el indulto. La sentencia del Juzgado de Primera Instancia desestimó la demanda entendiendo que la acción basada en la LO sobre protección al honor, intimidad y propia imagen -EDL 1982/9072- había caducado, que la acción por el CC art.1902 -EDL1889/1- debía ser rechazada por el principio de especialidad y desestimó la pretensión fundada en la LOPD -EDL 1999/63731- (art.19) y la Ley de Servicios de la Sociedad de la información y comercio electrónico (art.17) -EDL 2002/24122- por entender que dichas compañías no eran responsables por los daños y perjuicios derivados del acceso al contenido de una información publicada en el BOE hasta la notificación y firmeza de las resoluciones de la Agencia de Protección de Datos.La Audiencia Provincial estimó el recurso de apelación y revocó la sentencia en relación con Google Spain SL condenándola a pagar una cantidad por vulneración de su derecho a la protección de datos personales, desestimando el recurso respecto de los demás demandados. Consideró que no existía caducidad de la acción de protección de los derechos de personalidad porque el plazo de caducidad no había iniciado hasta que los buscadores no hubieran cesado de publicar tales datos, considero también que los buscadores al enlazar al usuario de internet con la información del BOE relacionada con el indulto afectaba al honor e intimidad del demandante si bien desestimó la reclamación contra Yahoo por entender que no conocía que la ilicitud de la información hasta que se inició el procedimiento ante la Agencia y en ese momento la suprimió. Y respecto a Google Spain entendió, aplicando la STJUE 13-5-14 (asunto Google Spain) -EDJ 2014/67782- que tenía legitimación pasiva para asumir la obligación de retirada de dicha información debido a la interdependencia entre la actividad publicitaria y la del motor de búsqueda. Así mismo entendió que hubo un incumplimiento de la normativa de protección de datos considerando al motor de búsqueda responsable del tratamiento de datos, y tras razonar que el demandante no desempeña ningún papel en la vida pública y razonó que la aparición en la lista de resultados en internet en el año 2010 de un indulto concedido en 1999 no se ajustaba a los principios que rigen el tratamiento de datos y la conducta de Google, después de conocer la antijuricidad de dicha conducta, fijando una indemnización de 8000 euros.Contra esta sentencia recurrió en casación tanto Google Spain como por el particular afectado.EDJ 2016/17242, TS Sala 3ª, sec 6ª, 14-3-16, Núm 574/16, Rec 1380/15. Pte: Herrero Pina, Octavio JuanEl supuesto enjuiciado en esta sentencia surge del ejercicio del derecho de cancelación (derecho al olvido) ejercitado por un ciudadano contra Google Spain SL, en cuanto representante en España de la compañía Google Inc, solicitando la exclusión del buscador de los datos personales del interesado contenidos en determinados blogs.La Agencia Española de Protección de Datos estimó la reclamación formulada e instó a Google Spain SL a que adoptase las gestiones necesarias para la exclusión de los datos personales del interesado. Contra la resolución de la Agencia de Protección de Datos se interpuso recurso ante la Sala de lo contencioso-administrativo de la Audiencia Nacional alegando, entre otros motivos, la falta de legitimación pasiva de Google Spain en el procedimiento administrativo por entender que no desarrolla ninguna actividad de tratamiento de datos y no interviene en la actividad del buscador de Google ni en la del blogger, limitándose a una actividad de promoción de la contratación de servicios publicitarios, por lo que no podía considerarse responsable del tratamiento de los datos del interesado. La sentencia de la Audiencia Nacional desestimó el recurso y con respecto a esta alegación consideró que Google Spain es corresponsable del tratamiento de datos personales en el servicio ofrecido por el buscador de Google Inc. por la unidad de negocio que conforman ambas sociedades, pues la actividad desarrollada por Google Spain resulta indispensable para el funcionamiento del motor de búsqueda, pues de los ingresos publicitarios depende su subsistencia, y en segundo lugar porque Google Spain ha venido actuando como si fuera responsable del tratamiento en otros casos.La entidad Google Spain interpuso recurso de casación alegando que no se la puede considerar "corresponsable" en el tratamiento datos del buscador, tarea que le corresponde a Google Inc.II. Fundamentación jurídica de las sentencias analizadasEDJ 2016/28351, TS Sala 1ª, 5-4-16, Núm 210/16, Rec 3269/14. Pte: Sarazá Jimena, RafaelLa sentencia -EDJ 2016/28351- abordó en primer lugar la falta de legitimación pasiva de Google Spain al considerar que no es la responsable del buscador donde se indexa la información litigiosa, sino que lo es Google Inc. La sentencia considera que lo afirmado en la STJUE de 13 de mayo de 2014 (caso Google Spain) -EDJ 2014/67782- no es irrelevante para sostener la legitimación pasiva de Google Spain sino que conforme a la misma "podía ser considerada como responsable del tratamiento, entendido este concepto en un sentido amplio, acorde con la finalidad de la Directiva". Analiza los razonamientos de la sentencia del TJUE considerando que dicho Tribunal asumió un concepto amplio de responsable del tratamiento con el objetivo de dispensar una protección eficaz y completa de los derechos afectados por el tratamiento, y argumenta que las actividades de la empresa matriz encargada del motor de búsqueda (Google Inc.) y la de su establecimiento en España (Google Spain), en relación con el funcionamiento del buscador, están indisociablemente unidas, pues la primera no sería posible sin los recursos económicos que le aporta la segunda y que finalmente afirma el tratamiento de datos que supone el funcionamiento del buscador Google, en las búsquedas realizadas desde España, se realiza "en el marco de las actividades" de Google Spain, que ha de ser considerada como el establecimiento en España de dicha compañía a efectos de la aplicación de la normativa de protección de datos con independencia de la forma jurídica que adopten los establecimientos de dicha compañía en los diferentes Estados.Añade que así cobra sentido que Google Inc. haya designado a Google Spain como responsable del tratamiento en España de dos ficheros, que cuando la Agencia de Protección de Datos ha requerido a Google Spain para que cancele el tratamiento de datos de una determinada persona se haya cancelado o que haya aceptado su legitimación pasiva en anteriores litigios "porque dicho tratamiento de datos se realiza en el ámbito de actividad conjunta de la matriz y la filial española". Por todo ello afirma que "siendo cierto que Google Inc, en tanto que gestor del motor de búsqueda Google Search, es responsable del tratamiento de datos (...) también lo es que Google Spain puede ser considerada, en un sentido amplio, como responsable del tratamiento de datos que realiza el buscador Google Search en su versión española, conjuntamente con su matriz Google Inc y, por tanto, está legitimada pasivamente para ser parte demandada en los litigios seguidos en España en que los afectados ejerciten en un proceso civil sus derechos de acceso, cancelación y oposición y exijan responsabilidad por la ilicitud del tratamiento de datos personales realizado por el buscador Google en su versión española".El Tribunal Supremo razona que una solución en sentido contrario, basada en un concepto estricto de "responsable del tratamiento" "supondría frustrar en la práctica el objetivo de garantizar un protección eficaz y completa de las libertades y de los derechos fundamentales de las personas física y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales".Establecida esta "corresponsabilidad" el Tribunal entra en la ponderación de fondo entre la protección de dato frente al derecho de acceso a la información (fundamento jurídico cuarto) tomando en consideración el potencial ofensivo que para los derechos de la personalidad tenga la información publicada frente el interés público en que esa información aparezca vinculada a los datos personales del afectado en una búsqueda hecha en un buscador.Tales razonamientos no constituyen el objeto de este artículo, pues sobre este extremo no existe discrepancia entre ambas sentencias, aunque resultan muy relevantes y merecen un estudio más detallado que deberá abordarse en otro artículo diferente.2. La sentencia de la Sala Tercera del Tribunal Supremo de 14-3-16, Rec. 1380/15 -EDJ 2016/17242-, se planteó, como núcleo central de la controversia, la responsabilidad de Google Spain por el tratamiento de los datos personales realizados por el buscador Google y consecuentemente su legitimación pasiva para imponerle la obligación de suprimir los datos controvertidos del buscadorLa sentencia -EDJ 2016/17242- se cuestiona si dicha empresa puede ser considerada responsable del tratamiento de datos y para ello parte de que es necesaria una valoración fáctica acerca de su efectiva intervención en la fijación de fines y medios del tratamiento. A tal efecto, la sentencia, tras analizar la actividad de tratamiento de datos que realiza un buscador, afirma que "no cabe duda alguna de que Google Inc (...) gestiona el motor de búsqueda Google Search, es responsable del tratamiento de datos, al determinar los fines, las condiciones y los medios del tratamiento de datos personales" para analizar, a continuación, si puede considerarse a Google Spain corresponsable en razón de la unidad de negocio que conforman ambas sociedades. Sobre este extremo la sentencia razona que si bien es posible una corresponsabilidad en el tratamiento al emplear los términos "solo o conjuntamente con otros" ello supone "una coparticipación en la determinación de los fines y medios del tratamiento, que es lo que caracteriza la condición de responsable, no cualquier otro auxilio o colaboración con el mismo que no tenga tal naturaleza, como puede ser el caso aquí contemplado de promoción de productos o servicios publicitarios en beneficio del responsable, promoción ajena a la determinación de los fines y medios del tratamiento, en otras palabras, es la sociedad que gestiona el motor de búsqueda la que asume la responsabilidad del tratamiento de datos, con las obligaciones que de ello se deriva en orden al efectivo cumplimiento de la normativa tanto europea como nacional reguladoras del tratamiento de datos personales, sin que esa responsabilidad pueda trasladarse también al sujeto que, sin intervenir en esa gestión del motor de búsqueda, realiza otras actividades conexas o vinculadas, en este caso las ya señaladas de promoción publicitaria como soporte económico del motor de búsqueda." Y concluye que "no está probado que Google Spain realice en España una actividad directamente vinculada a la indexación o almacenamiento de información o de datos contenidos en los sitios de Internet de terceros", pues su actividad es la propia de un establecimiento (filial o sucursal) de aquella que se limita a la promoción y venta en España de espacios publicitarios del motor de búsqueda y "en este sentido constituye una actividad conexa o vinculada económicamente a la de su matriz, pero de distinta naturaleza a la determinación de fines o medios del tratamiento. Y es que no debe identificarse ni confundirse la determinación de los fines y medios del tratamiento, que caracteriza la condición de responsable, con una actividad de colaboración en la consecución de sus objetivos".También rechaza que sea posible deducir la corresponsabilidad de Google Spain en el tratamiento de datos por la unidad de mercado que conforma con Google Inc. Argumenta que si bien es cierto que la sentencia del TJUE de 13 de mayo de 2014 -EDJ 2014/67782-, (sentencia que dio respuesta la cuestión prejudicial planteada por la Audiencia Nacional en relación con la responsabilidad de los motores de búsqueda en relación con la cancelación de datos personales) consideró que Google Spain y Google Inc. formaban parte de un mismo grupo empresarial y "están indisociablemente ligadas", lo hizo para determinar si la normativa de la Unión Europea y de sus Estados miembros en materia de protección de datos resultaba aplicable cuando el responsable del motor de búsqueda tiene su sede fuera del territorio de la Unión Europea y, sin embargo, cuenta con un establecimiento en un Estado miembro. El razonamiento del TJUE hay que interpretarlo, a su juicio, en el sentido de que "se trata de evitar la elusión del cumplimiento de la normativa europea sobre la materia con base en el argumento de que el responsable del tratamiento no tiene su sede social en territorio europeo, lo que permitiría sustraerse a las obligaciones y garantías que en dicha normativa se establece. Esta es la lógica a la que responde la previsión normativa que, mediante la ampliación del ámbito de aplicación territorial, consigue el efecto útil y protección que otorga la normativa comunitaria al interesado", pero sin que de lo argumentado en la sentencia del TJUE pueda llegarse a la conclusión de que Google Spain sea corresponsable del tratamiento de datos, pues "ninguna controversia se suscitaría en cuanto a la aplicación territorial de la normativa comunitaria al tratamiento de datos si se considerara que el responsable del mismo es un establecimiento con domicilio social en un Estado miembro, como es el caso de Google Spain". Y al no existir una corresponsabilidad genérica y solidaria en esta materia, no es posible declarar su legitimación pasiva a los efectos del responder del cumplimiento de las obligaciones de cancelación de datos "sin precisar o identificar los concretos fines o medios del tratamiento que determina Google Spain ni cuál es el alcance de su responsabilidad y menos que forme parte de ella la obligación cuyo cumplimiento se exige por el interesado y que la AEPD declara".Descartando finalmente que su corresponsabilidad pueda derivar de la teoría de los actos propios por su actuación en otros procedimientos de tutela ante la Agencia de Protección de Datos o de otras intervenciones ante los Tribunales españoles ni tampoco por la afirmación de que Google Spain actúe como representante de la compañía estadounidense pues "en primer lugar no se acredita en forma alguna la realidad de la misma (la representación que se afirma), ni con carácter general ni específica para este procedimiento.... Y en segundo lugar y fundamentalmente, la intervención de un representante no altera la titularidad del derecho o condición de obligado ni traslada la responsabilidad del representado al representante" recordando que en nuestro derecho "en un mandato representativo los efectos del acto de gestión representativa se producen de forma inmediata en la esfera jurídica del representado, pues en virtud de la representación, el mandatario que obre en concepto de tal no es responsable frente a terceros" salvo cuando éste se obliga expresamente o traspasa los límites del mandato.Estas son las razones fundamentales que llevan al Tribunal Supremo a entender que no es posible declarar que Google Spain pueda ser considerada responsable del cumplimiento de las obligaciones derivadas de la cancelación de datos en el motor de búsqueda de Google.III. ¿En qué punto se centra la discrepancia entre ambas sentencias?Las sentencias incurren en una evidente contradicción en un extremo concreto: la responsabilidad de Google Spain por el tratamiento de los datos personales realizados por el buscador Google y consecuentemente su legitimación pasiva para imponerle la obligación de suprimir los datos controvertidos del buscador.Mientras la Sala Primera considera que existe una corresponsabilidad en el tratamiento de datos realizado por el motor de búsqueda, entre la empresa matriz del grupo encargada del motor de búsqueda (Google Inc.), y su filial en España (Google Spain), al existir una unidad empresarial entre ambas, dado que esta última proporciona los ingresos publicitarios que contribuyen al funcionamiento del buscador, y por entender que el tratamiento de datos en las búsquedas realizadas desde España se realiza "en el marco de las actividades" del grupo.Por el contrario, la Sala Tercera entiende que la filial de Google en España no puede ser considerada responsable del tratamiento y, por tanto, no ostenta legitimación pasiva para dirigir contra ella la petición de cancelación de datos personales, ya que su actividad se limita a la promoción y venta de publicidad para el motor de búsqueda. De modo que, aunque constituye una actividad conexa o vinculada económicamente a la de su matriz, no tiene intervención alguna en la determinación de los fines y medios del tratamiento, que caracteriza la condición de responsable.IV. La siguiente pregunta, que surge de forma natural, sería: ¿cómo es posible que un mismo problema sea enjuiciado por dos jurisdicciones distintas?La coexistencia de ambas vías, la civil y la contencioso-administrativa, se explica por el hecho de que nuestro ordenamiento permite que el ciudadano que considere que existe una intromisión en su honor, intimidad o un indebido tratamiento de sus datos personales, realizada por otro particular o una entidad privada puede ejercitar una acción ante los tribunales civiles o alternativamente puede solicitar la protección de sus datos personales acudiendo a la Agencia de Protección de Datos, cuyas decisiones son impugnables ante los tribunales contencioso-administrativos.El ámbito de protección de ambas vías no es exactamente el mismo, pues como ha señalado una constante jurisprudencia (entre ellas STS, Sala Tercera, sec 7ª, 27-9-10, Rec 6511/08 -EDJ 2010/206044-) «el derecho a la intimidad y el derecho a la protección de datos personales son categorías diferentes, aunque relacionadas, tal como puso de relieve el Tribunal Constitucional en su sentencia nº 292, de 30 de noviembre de 2000 -EDJ 2000/40918- y ahora resulta de la Carta de los Derechos Fundamentales de la Unión Europea (artículo 8), incorporada por la Ley Orgánica 1/2008, de 30 de junio, que autorizó la ratificación del Tratado de Lisboa -EDL 2008/123453-. Y esa diferencia implica que, en ocasiones, los mismos hechos puedan ser constitutivos de vulneración de uno de esos derechos y no del otro».Pero existe una zona común de superposición de la protección que se dispensa entre los dos sistemas jurídicos (privado y público), centrada en la tutela de la protección de datos personales supuestos que pueden ser abordados desde ambas perspectivas sin que se haya dado una clara solución jurídica a la superposición de ambos regímenes ni a los mecanismos procesales posteriores de control.Los tribunales contenciosos (tanto la Audiencia Nacional como la Sala Tercera del TS por vía del recurso de casación) conocen de recursos de particulares contra actos de la Agencia de Protección de Datos tutelando el derecho de supresión (derecho al olvido) frente a titulares de páginas web, periódicos privados y empresas que gestionan buscadores. Y paralelamente la Sala Primera del Tribunal Supremo (vía civil) conoce de acciones de tutela directa basadas en el derecho al honor y la intimidad, pero en las que se maneja la normativa de protección de datos, frente a esos mismos sujetos.Un ejemplo de este solapamiento lo tenemos en las sentencias comentadas, pues el conocimiento por vía civil o contenciosa de las acciones de tutela dependerá de si se ejercita o no una reclamación previa ante la autoridad administrativa de control.De hecho en el relato de los acontecimientos que precedieron a las sentencias del Tribunal Supremo analizadas, el particular solicitó, en ambos, la tutela de la Agencia e invocó la Ley Orgánica de Protección de Datos -EDL 1999/63731-, si bien posteriormente los afectados emprendieron vías jurisdiccionales de impugnación diversas, lo que ha propiciado dos pronunciamientos diferentes y contradictorios del Tribunal Supremo de España.V. ¿Cuáles son las claves para entender esta discrepancia?Para dar respuesta a esta cuestión es preciso partir de que en la acción civil la competencia de los tribunales civiles se condiciona a que el demandado tenga la posibilidad de asumir las obligaciones que se le reclaman, por lo que en caso de que considerase que la filial española del buscador (Google Spain) no fuese responsable del cumplimiento de dicha obligación se estaría ante la obligación de demandar a la empresa matriz cuyo domicilio social se encuentra en EEUU (Google Inc) lo que cuestionaría la competencia de los tribunales civiles españoles para conocer de esta acción o, en todo caso, dificultaría y encarecería cualquier acción entablada en España. En la sentencia de la Sala Primera del Tribunal Supremo pesan estas consideraciones. De hecho en ella se afirma que una interpretación restrictiva del responsable, excluyendo la posibilidad de ejercitar la acción civil contra la filial en España, supondría "un serio obstáculo, cuando no un impedimento para la efectividad de los derechos fundamentales que el ordenamiento jurídico de la Unión Europea, las normas convencionales internacionales y las propias normas internas constitucionales y de rango legal y reglamentario, protegen frente al tratamiento automatizado de datos personales de carácter ilícito". Y más adelante añade "El efecto útil de la normativa comunitaria se debilitaría enormemente si los afectados hubieran de averiguar, dentro del grupo empresarial titular de un motor de búsqueda, cuál es la función concreta de cada una de las sociedades que lo componen, lo que, en ocasiones, constituye incluso un secreto empresarial y, en todo caso, no es un dato accesible al público en general. También se debilitaría el efecto útil de la Directiva si se diera trascendencia, en el sentido que pretende la recurrente Google Spain, a la personificación jurídica que el responsable del tratamiento de datos diera a sus establecimientos en los distintos Estados miembros, obligando de este modo a los afectados a litigar contra sociedades situadas en un país extranjero.Incluso en el caso de litigar en España, la inmensa mayoría de las personas tendría enormes dificultades prácticas para interponer la demanda de protección de sus derechos fundamentales contra una sociedad domiciliada en Estados Unidos y obtener la tutela judicial efectiva de sus derechos en un plazo razonable, tanto por el elevado coste que supone la traducción al inglés de la demanda y la documentación que le acompaña, como por la dilación que implicaría la inevitable tardanza en el emplazamiento de dicha sociedad, al tener que acudir a los instrumentos de auxilio judicial internacional, con lo que se prolongaría la situación de vulneración de sus derechos fundamentales. Y, sobre todo, en caso de obtener una sentencia condenatoria, si la demandada no le diera cumplimiento voluntariamente, el ciudadano afectado debería solicitar el reconocimiento y la ejecución de la sentencia en los Estados Unidos de América, con el coste y las dificultades, tanto de orden teórico como práctico, que ello trae consigo.Por otra parte, dadas las características del servicio que prestan estos motores de búsqueda, la sociedad más directamente relacionada con la determinación de los fines y los medios del tratamiento de datos personales podría ser ubicada en otro Estado con el que no existieran relaciones que permitieran el emplazamiento de la sociedad y el posterior reconocimiento y ejecución de la resolución que se dictara.12.- En definitiva, de aceptar la tesis de la recurrente y circunscribir la legitimación pasiva a la compañía norteamericana Google Inc, se daría el contrasentido de que estaríamos otorgando a la normativa sobre tratamiento de datos personales una finalidad teórica de protección muy elevada de los derechos de la personalidad de los afectados por el tratamiento, y emplearíamos unos criterios muy amplios para fijar su ámbito territorial de aplicación, que permitiera incluir en él la actividad de motores de búsqueda con establecimiento en un Estado miembro, pero estaríamos abocando a los interesados a unos procesos que dificultan, haciendo casi imposible en la práctica, dicha protección, pues habrían de interponerse contra una empresa radicada en los Estados Unidos (o en otro Estado con el que el nivel de cooperación judicial fuera aún menor), con los elevados gastos y dilaciones que ello trae consigo".Por el contrario, en el ámbito administrativo la competencia de los tribunales contenciosos-administrativos viene determinada directamente por el hecho de que exista un acto de un organismo público español sujeto al derecho administrativo, en este caso el dictado por la Agencia Española de Protección de Datos. Es la Agencia la que dirige su procedimiento y emplaza a la entidad contra la que se dirige la queja (ya sea esta la filial en España o la matriz en EEUU) y será dicha empresa la encargada de designar a un representante para actuar y defenderse ante la Administración española y eventualmente ante los tribunales.El principal problema surgía respecto a la normativa aplicable cuando se trata de instar la tutela frente a empresas que tengan su domicilio social en un país ajeno a la Unión pero tengan un establecimiento situado en España, problema que ya fue resuelto con meridiana claridad por la STUE antes citada considerando que en estos casos resulta aplicable la norma española.Es cierto que la existencia de un establecimiento abierto en España no resuelve los problemas que puede plantear la tutela frente a multinacionales que operan de forma global en el mundo digital pues tal y como afirmaba el Auto de la Audiencia Nacional que planteó la cuestión prejudicial ante el TJUE en el caso Google, "Una protección eficaz de este derecho fundamental no puede depender del lugar donde la empresa decida asentar los medios técnicos. La utilización de soportes técnicos inmateriales, que permiten prestar los servicios desubicados del territorio al que van dirigidos y. en muchos casos, sin contar con medios residenciados en el mismo, complica una tutela eficaz de las eventuales lesiones de los derechos de la personalidad que se producen en el ciberespacio, especialmente en materia de protección de datos. Sin desconocer el peligro añadido que supondría la posibilidad de suprimir los establecimientos y medios que tuviere para impedir la aplicación de la normativa comunitaria o nacional, o cambiar el centro de gestión de recursos y medios, localizándolo en aquellos países que careciesen de una normativa de protección de datos o en los que sus normas fuesen más permisivas con la tutela de estos derechos.De modo que la actividad desplegada por el buscador, aun cuando se considere que es gestionado desde fuera de la Unión y no dispone de un establecimiento ni recurre a medios ubicados en un Estado miembro, es susceptible de lesionar derechos fundamentales de los ciudadanos de la Unión Europea y la tutela de este derecho debería situarse donde se ubica el centro de gravedad del conflicto y sea posible una tutela eficaz del mismo, incluyendo la posibilidad de permitir una aprehensión integral del conflicto que comprenda los intereses en juego y de las normas implicadas.Por ello sostener que la indexación de datos procedentes de páginas web situadas en España, en relación con una información publicada en España, en base a una norma legal española, que afecta a datos de un ciudadano español y que fundamentalmente puede tener una repercusión negativa, a juicio del afectado, en su entorno personal y social sito en España (centro de intereses), tenga que defender la tutela de su derecho a la protección de datos en EEUU, por ser el lugar que el gestor del buscador ha elegido para ubicar los medios técnicos, colocaría a los afectados en una situación de especial vulnerabilidad e impediría o dificultaría enormemente la tutela eficaz de este derecho que podría resultar incompatible con el espíritu y finalidad que inspira la Directiva y, sobre todo, con una tutela eficaz de un derecho fundamental contenido en la Carta Europea de Derechos Fundamentales".Si para poder aplicar la normativa europea o nacional de protección de datos se atiende como criterio de conexión a la existencia de un establecimiento de la empresa multinacional en un Estado miembro, bastaría para eludir esa normativa que la multinacional suprimiese ese establecimiento y diseñase un mecanismo de contratación publicitaria "on line", y esta posibilidad y las dificultades de tutela que representa han pesado sin duda en la solución ofrecida por la sentencia de la Sala Primera del Tribunal Supremo.Este problema no fue abordado por la STJUE ya citada, puesto al considerar que existía un establecimiento en España no consideró necesario abordar otras alternativas diferentes, que, sin embargo, siguen planteando problemas.IV. Novedades introducidas por el Reglamento general de Protección de Datos de la Unión EuropeaEstas preocupaciones siguen vigentes en la actualidad, y posiblemente las lagunas detectadas hayan determinado el cambio de criterio en los puntos de conexión previstos en el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) -EDL 2016/48900- en el que se intenta dar solución a este problema.El Reglamento de la Unión Europea modifica y mejora los criterios de conexión. En tal sentido el art.3 -EDL 2016/48900- de dicho proyecto dispone:«1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado del tratamiento en la Unión independientemente de que el tratamiento tenga lugar en la UE o no.2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.Merecen destacarse las siguientes novedades en lo relativo al ámbito de aplicación territorial del nuevo proyecto de Reglamento en el que se establecen tres criterios de conexión:- El primero establece como criterios de conexión del tratamiento de datos personales "en el contexto de las actividades de un establecimiento del responsable o del encargado de tratamiento en la Unión, independientemente de que el tratamiento tenga lugar en la UE o no".Aparentemente este primer criterio de conexión reproduce el ya establecido ya en la Directiva pues exige la existencia de un establecimiento de la empresa matriz en un país de la Unión, sin embargo, introduce dos importantes novedades: a) se habla del tratamiento "en el contexto de las actividades" sustituyéndose la polémica mención a que el tratamiento se efectuase en el "marco de las actividades"; b) se añade "independientemente de que el tratamiento tenga lugar en la UE o no".Se recoge, por lo tanto, la jurisprudencia del caso Google Spain al abarcar el tratamiento de datos por un grupo de empresas que tenga un establecimiento en un Estado miembro aunque el tratamiento se realice fuera de la Unión Europea bastando que ese tratamiento se realice en el "contexto de las actividades" de esas empresas, entendido como un concepto mucho más amplio que "en el marco de sus actividades".- El segundo criterio hace referencia al tratamiento por parte de un responsable o un encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:a) La oferta de bienes o servicios a dichos interesados de la Unión, independientemente de si se requiere o no pago por parte del interesado (este último inciso se añadió en el trámite de enmiendas en el Parlamento); b) el control de la conducta de dichos interesados.Este criterio de conexión es nuevo y resulta muy acertado, pues tal y como hemos señalado el problema con la actual tecnología radica en la desubicación de los medios y de los establecimientos en el tratamiento de datos, por lo que hasta ahora si la empresa tenía su sede fuera de la Unión y tampoco tenía en ella un establecimiento ni designaba un responsable, quedaba excluida del ámbito de aplicación de la normativa europea, aunque, en realidad, estuviese tratando datos de los ciudadanos de la Unión y el foco de conflicto de intereses estuviese situado en la Unión Europea.Con la reforma prevista en el nuevo proyecto de Reglamento la normativa de la Unión, y consiguientemente de los Estados miembros, en materia de protección de datos se aplicará a las grandes empresas que operan desde terceros países, aun sin establecimientos situados en los Estados miembros, cuando el tratamiento esté relacionado con la oferta de bienes o servicios a afectados residentes en la Unión, y aunque su relación comercial con este no requiera pago alguno.Y lo mismo cabe decir en aquellos casos en los que el tratamiento tiene por objeto el control de los interesados que residen en la Unión, supuesto que guarda una estrecha conexión con la elaboración de perfiles de los afectados y con la obtención de datos o imágenes suyas por parte de las autoridades y las empresas con fines comerciales, de seguridad o cualesquiera otros.Se asume en gran medida el criterio de la ubicación del "centro de gravedad del conflicto" que se apuntaba en la cuestión prejudicial planteada por España en el caso Google Spain, pues indudablemente el centro de gravedad del conflicto y donde se puede realizar una tutela más eficaz de la indebida injerencia en los derechos fundamentales de un ciudadano residente en un Estado de la Unión cuyos datos han sido tratados en virtud de una relación de bienes o servicios o están siendo utilizados para realizar un control sobre él es el lugar de residencia del afectado, prescindiendo del lugar donde se ubique la empresa o los medios que utilice para realizar dicho tratamiento.- El tercer criterio no presenta novedad alguna respecto de la regulación contenida en la Directiva 95/46/CE -EDL 1995/16021- actualmente vigente, haciendo referencia al supuesto en el que el responsable del tratamiento este ubicado fuera de la Unión Europea pero en el que la legislación nacional de un Estado miembro resulte aplicable en virtud del derecho internacional público.b) Recurso judicial contra el responsable o encargado.Otra de las novedades que presenta el nuevo Reglamento en esta materia es la posibilidad de interponer un recurso judicial contra el responsable o encargado (art. 77 -EDL 2016/48900-). Se trata de un recurso judicial directo sin pasar por la reclamación administrativa ante la autoridad de control. Y el art. 77 prevé que "sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante la autoridad de control" las personas físicas tienen derecho a presentar un recurso judicial cuando consideren vulnerado su derecho de protección de datos.Esta acción se puede ejercitar ante los órganos jurisdiccionales del Estado miembro en el que el responsable o encargado tenga un establecimiento o, alternativamente, donde el interesado tenga su residencia habitual con la única excepción de que "el responsable sea una autoridad pública que actúa en el ejercicio del poder público", supuesto en el que ha de presentarse en el Estado miembro donde se encuentre dicha autoridad. Esta previsión, por tanto, trata de facilitar el ejercicio de la tutela de estos derechos cuando el afectado por el tratamiento resida en un Estado miembro distinto de aquel donde el responsable o encargado tenga un establecimiento.Si vinculamos esta previsión con los criterios de conexión aplicables para determinar el ámbito de aplicación territorial de la normativa de la Unión en materia de protección de datos, constatamos que trata de fijar el órgano jurisdiccional competente cuando el responsable o encargado tenga un establecimiento en la Unión (independientemente de que el tratamiento tenga un lugar en la UE o no), el cual puede no coincidir con el país de residencia del afectado, y es en este caso cuando se establece un foro judicial alternativo: país de la Unión Europea donde se ubique el establecimiento del responsable o país donde resida el afectado, con la excepción antes apuntada.No existe previsión alguna respecto del órgano jurisdiccional competente cuando se ejercite una acción contra el responsable o encargado del tratamiento no establecido en la Unión pero ofrezca bienes o servicios a interesados en la Unión o se ejerza un control de la conducta de dichos interesados. En este caso, no se concede foro alternativo y debe entenderse que el afectado lógicamente se dirigirá a la autoridad de control o los tribunales del lugar de su residencia en el que se han ofrecido tales bienes o servicios o cuya conducta ha sido objeto de un tratamiento.La existencia del foro alternativo conlleva el riesgo de la existencia de dos procesos independientes ante dos Estados miembros con la posibilidad de incurrir en decisiones contradictorias para lo cual el art. 81 del Reglamento prevé que el órgano judicial se ponga en contacto con el órgano jurisdiccional del otro Estado miembro para confirmar la existencia de procedimientos paralelos y, en su caso, suspender su procedimiento. El problema vendrá determinado por la dificultad de conocer la existencia de estos procedimientos paralelos en dos Estados miembros.Estas novedades contribuyen, sin duda, a aclarar el ejercicio de las acciones de tutela del derecho de protección de datos frente a las grandes compañías que tienen su domicilio social fuera de nuestro país, y aunque no soluciona la discrepancia surgida en el Tribunal Supremo ni la superposición de la vía civil y contencioso-administrativa, permitirá delimitar el responsable sin temer por las dificultades que el ejercicio de la acción puede suponer cuando la compañía tenga su centro de tratamiento y domicilio social fuera de la Unión Europea.