"...SÉPTIMO.- Lo expuesto nos sitúa ya en el núcleo de la cuestión debatida, que no es otra que la determinación del responsable del tratamiento de datos objeto de litigio y, concretamente, si la recurrente, Google Spain S.L., en cuanto establecimiento en España de la sociedad Google Inc. con sede en los Estados Unidos es, como sostiene la sentencia recurrida y rechaza la recurrente por las razones antes indicadas, corresponsable en el tratamiento de datos que esta última gestiona a través de su motor de búsqueda en Internet.
Para ello ha de estarse a la regulación en la normativa que se invoca como infringida de la figura del responsable del tratamiento, considerando la interpretación que de dicha normativa realiza el TJUE en sentencia de 13 de mayo de 2014 al resolver la cuestión prejudicial planteada por la Sala de instancia sobre los diversos aspectos que integran el debate litigioso.
A tal efecto el artículo 2 de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, define en la letra d) al "responsable del tratamiento" como "la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario".
Paralelamente, el artículo 3.d) de la Ley Orgánica 15/1999 (EDL 1999/63731) define lo que ha de entenderse por "responsable del fichero o tratamiento" a los efectos de la misma como la "persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento".
Al alcance de este concepto se refiere la sentencia de instancia cuando señala que: "El Dictamen 1/2010, sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» adoptado el
16 de febrero de 2010 por el (Grupo de Trabajo del artículo 29 de la Directiva 95/46/ CE (GT29), dice en relación con el concepto de responsable del tratamiento lo siguiente: El concepto de responsable del tratamiento es autónomo, en el sentido de que debe interpretarse fundamentalmente con arreglo a la legislación comunitaria de protección de datos, y funcional, en el sentido de que su objetivo es asignar responsabilidades en función de la capacidad de influencia de hecho, y, por consiguiente, se basa en un análisis de los hechos más que en un análisis formal...
La definición de la Directiva consta de tres componentes fundamentales: el aspecto personal («la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo»); la posibilidad de un control plural («que solo o conjuntamente con otros»); los elementos esenciales para distinguir al responsable del tratamiento de otros agentes («determine los fines y los medios del tratamiento de datos personales»)...
En relación con la determinación de los fines y los medios se señala que "el hecho de determinar los «fines» del tratamiento trae consigo la consideración de responsable del tratamiento (de facto). En cambio, la determinación de los «medios» del procesamiento puede ser delegada por el responsable del tratamiento en la medida en que se trate de cuestiones técnicas u organizativas. Sin embargo, las cuestiones de fondo que sean esenciales a efectos de la legitimidad del tratamiento -como los datos que deban tratarse, la duración de su conservación, el acceso, etc.- deben ser determinadas por el responsable del tratamiento".
Se desprende de todo ello, que la caracterización como responsable del tratamiento de datos, frente a la intervención de otros agentes, viene delimitada por la efectiva participación en la determinación de los fines y medios del tratamiento, o dicho de otro modo, que la identificación del responsable del tratamiento exige una valoración fáctica acerca de su efectiva intervención en esos concretos aspectos de fijación de fines y medios del tratamiento, para lo cual es preciso establecer, en primer lugar, cual es la actividad de tratamiento de que se trata.
En este caso el TJUE en su sentencia de 13 de mayo de 2014, resolviendo la cuestión prejudicial planteada por la Sala de instancia, señala en cuanto a la actividad de tratamiento, que " que el artículo 2, letra b), de la Directiva 95/46 define el «tratamiento de datos personales» como «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción", añadiendo que " Por consiguiente, debe declararse que, al explorar Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el gestor de un motor de búsqueda «recoge» tales datos que «extrae», «registra» y «organiza» posteriormente en el marco de sus programas de indexación, «conserva» en sus servidores y, en su caso, «comunica» y «facilita el acceso» a sus usuarios en forma de listas de resultados de sus búsquedas. Ya que estas operaciones están recogidas de forma explícita e incondicional en el artículo 2, letra b), de la Directiva 95/46, deben calificarse de «tratamiento» en el sentido de dicha disposición, sin que sea relevante que el gestor del motor de búsqueda también realice las mismas operaciones con otros tipos de información y no distinga entre éstos y los datos personales".
En consecuencia, concluye el TJUE que, " el gestor del motor de búsqueda es quien determina los fines y los medios de esta actividad y, así, del tratamiento de datos personales que efectúa él mismo en el marco de ésta y, por consiguiente, debe considerarse «responsable» de dicho tratamiento en virtud del mencionado artículo 2, letra d)".
La conclusión que alcanza el TJUE es clara: " Del conjunto de las consideraciones precedentes se desprende que procede responder a la segunda cuestión prejudicial, letras a ) y b), que el artículo 2, letras b ) y d), de la Directiva 95/46 debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el sentido del mencionado artículo 2, letra d) ".
En consecuencia, conforme a la interpretación del TJUE, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, finalmente, ponerla a disposición de los internautas, debe calificarse de "tratamiento de datos personales", en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales; y, por otra parte, el gestor de un motor de búsqueda, que en este caso y de manera incontrovertida es Google Inc., debe considerarse "responsable" de dicho tratamiento, en el sentido del mencionado artículo 2, letra d), en tanto que determina los fines y medios de esa actividad de motor de búsqueda.
Que esto es así lo reconoce la propia sentencia de instancia cuando señala que no cabe duda alguna de que Google Inc., que gestiona el motor de búsqueda Google Search, es responsable del tratamiento de datos, al determinar los fines, las condiciones y los medios del tratamiento de datos personales.
La controversia se produce cuando la sentencia añade que, además, existe una corresponsabilidad de Google Spain S.L. y ello en razón de la unidad de negocio que conforman ambas sociedades.
Es cierto al respecto que los preceptos antes referidos de la Directiva 95/46/CE y la LOPD (EDL 1999/63731) contemplan la posibilidad de corresponsabilidad en el tratamiento de los datos, cuando emplean los términos solo o conjuntamente con otros, pero no lo es menos que ello supone una coparticipación en la determinación de los fines y medios del tratamiento, que es lo que caracteriza la condición de responsable, no cualquier otro auxilio o colaboración con el mismo que no tenga tal naturaleza, como puede ser el caso aquí contemplado de promoción de productos o servicios publicitarios en beneficio del responsable, promoción ajena a la determinación de los fines y medios del tratamiento, en otras palabras, es la sociedad que gestiona el motor de búsqueda la que asume la responsabilidad del tratamiento de datos, con las obligaciones que de ello se deriva en orden al efectivo cumplimiento de la normativa tanto europea como nacional reguladoras del tratamiento de datos personales, sin que esa responsabilidad pueda trasladarse también al sujeto que, sin intervenir en esa gestión del motor de búsqueda, realiza otras actividades conexas o vinculadas, en este caso las ya señaladas de promoción publicitaria como soporte económico del motor de búsqueda.
A ello se refiere el citado Dictamen 1/2010, invocado en la sentencia de instancia, cuando señala que los elementos esenciales para distinguir al responsable del tratamiento de otros agentes es, precisamente, la determinación de los fines y medios de tratamiento.
Resulta significativo al respecto el fundamento 40 de la repetida sentencia del TJUE de 13 de mayo de 2014 cuando, a propósito de la responsabilidad del gestor del motor de búsqueda aun cuando los editores de los sitios de Internet no hayan aplicado protocolos de exclusión, con indicaciones como "noindex" o "noarchive", señala que ello no modifica el hecho de que el gestor determina los fines y los medios de este tratamiento y que, aun suponiendo que dicha facultad de los editores signifique que determinen conjuntamente con dicho gestor los medios del mencionado tratamiento, tal afirmación no elimina la responsabilidad del gestor, en cuanto la norma permite que esta determinación pueda realizarse conjuntamente con otros. Se identifica, pues, la colaboración o coparticipación con el gestor con una actividad de determinación de medios del tratamiento y no de otra naturaleza.
Quiere decirse con todo ello, que hablar de corresponsabilidad supone un examen de la situación fáctica y comprobar que la entidad en cuestión tiene una participación concreta e identificada en la determinación de los fines y medios del tratamiento de que se trate, tratamiento que en este caso y según se declara por el TJUE al dar respuesta a la cuestión prejudicial planteada por la Sala de instancia, " consiste en hallar información publicada o puesta en Internet porterceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado". En este caso no se identifica por la Sala de instancia ninguna actividad de Google Spain que suponga la participación en esa actividad del motor de búsqueda. Por el contrario y como recoge el TJUE en el fundamento 46 de la citada sentencia, el tribunal remitente señala que Google Inc. gestiona técnica y administrativamente Google Search y que no está probado que Google Spain realice en España una actividad directamente vinculada a la indexación o almacenamiento de información o de datos contenidos en los sitios de Internet de terceros.
Por otra parte, la necesidad de identificar y acreditar la concreta participación en los supuestos de corresponsabilidad en el tratamiento, resulta del Dictamen 1/2010 del GT29, al que se refiere la sentencia de instancia, en el que se dice: "En el dictamen de la Comisión sobre la enmienda del PE, la Comisión menciona la posibilidad de que «varias partes determinen conjuntamente, para una única operación de tratamiento, los fines y los medios del tratamiento que se vaya a llevar a cabo» y, por lo tanto, en tal caso, «cada uno de estos corresponsables del tratamiento debe considerarse vinculado por las obligaciones impuestas por la Directiva de proteger a las personas físicas cuyos datos se estén tratando»". Se añade que "la definición de tratamiento contenida en el artículo 2.b) de la Directiva no excluye la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales. Estas operaciones pueden producirse simultáneamente o en distintas fases". Y se concluye que "la participación de las partes en la determinación de los fines y los medios del tratamiento en el contexto del control conjunto puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales... Los distintos grados de control pueden dar lugar a distintos grados de responsabilidad, y desde luego no cabe presumir que haya una responsabilidad solidaria en todos los casos. Por lo demás, es muy posible que en sistemas complejos con varios agentes el acceso a datos personales y el ejercicio de otros derechos de los interesados también los puedan garantizar distintos agentes a diferentes niveles". Por lo tanto, no estableciéndose la responsabilidad solidaria y haciéndose cargo cada corresponsable de las obligaciones correspondientes a su participación, al que debe exigirse su cumplimiento, es preciso determinar y acreditar en cada caso la existencia y el alcance de la participación de cada uno en la determinación de los fines y medios del tratamiento para que pueda hablarse de corresponsabilidad, lo que en modo alguno se ha producido en este caso respecto de Google Spain y que como, ya hemos indicado, no puede fundarse en la vinculación mercantil o empresarial que existe entre Google Inc. y Google Spain, S.L., que es lo que en definitiva sostiene la sentencia recurrida, pues la coparticipación, desde su propia definición semántica como "acción de participar a la vez con otro en algo", alude a la idea de participación conjunta en algún resultado o acción, lo que en este caso comportaría que tanto Google Inc. como Google Spain, S.L., concurrieran en la tarea de determinar los fines y medios del motor de búsqueda. Sin embargo, no es esto lo que sucede en este caso, pues claramente se nos dice que es Google Inc. quien gestiona el motor de búsqueda -Google Search-, sin que en ningún caso se evidencie participación alguna en ese cometido de Google Spain, S.L., cuya actividad es la propia de un establecimiento (filial o sucursal) de aquélla que se limita a la promoción y venta en España de los espacios publicitarios del motor de búsqueda, y en este sentido constituye una actividad conexa o vinculada económicamente a la de su matriz, pero de distinta naturaleza a la determinación de fines o medios del tratamiento. Y es que no debe identificarse ni confundirse la determinación de los fines y medios del tratamiento, que caracteriza la condición de responsable, con una actividad de colaboración en la consecución de sus objetivos, que en el Dictamen 1/2010 se identifica genéricamente como actividad de otros agentes. De ahí que solo Google Inc. es la responsable del tratamiento pues a ella corresponde en exclusiva la determinación de los fines, las condiciones y los medios del tratamiento de datos personales..."