Conócenos

PROTECCIÓN DE DATOS

Derecho al olvido: distintos criterios del Tribunal Supremo en cuanto a la responsabilidad y legitimación pasiva de Google

Por Federico Jover

  • Imprimir

El pasado 13 de Junio de 2016, la Sala de lo Contencioso - Administrativo del Tribunal Supremo, mediante la Sentencia Nº 1384/2016 (Rec. 810/2015), determinaba que el responsable del tratamiento de datos personales que se albergaban en el motor de búsqueda “Google Search” era la sociedad Google Inc, entidad radicada en EEUU y encargada de gestionar dicho motor. Además, dicha Sentencia declaraba nula de pleno derecho la resolución dictada por el Director de la Agencia Española de Protección de Datos debido a la falta de legitimación pasiva de Google Spain, SL en el procedimiento administrativo.

Esta decisión confirmaba el criterio establecido en marzo de 2016 por la misma Sala en diversas sentencias. (Entre otras, Sentencia Nº 574/2016 Rec. 1380/2015)

Sin embargo, en abril del mismo año, la Sala de lo Civil del mismo Tribunal había establecido que la sociedad responsable del tratamiento de datos era Google Spain SL, la cual es jurídicamente independiente de su matriz Google Inc. (Sentencia Nº 210/2016 Rec. 3269/2014)

Ante esta diversidad de criterios del Tribunal Supremo, cabría preguntarse: ¿qué sociedad es finalmente responsable del tratamiento de los datos personales contenidos en el buscador? ¿cómo y ante quién deben dirigirse los ciudadanos españoles para ejercitar el derecho al olvido? Para dar respuesta a estas preguntas, analizaremos los factores claves que las Salas han tenido en consideración para establecer sus conclusiones. 

Elemento Clave

Para determinar el responsable del tratamiento de datos, ambas Salas se basaron en las disposiciones contenidas en la Directiva 95/46/CE y el Dictamen 1/2010 de Grupo de Trabajo 29, así como en la Sentencia del TJUE de 13 de mayo de 2014 “caso Google”.

De dicha Sentencia, resulta fundamental resaltar el siguiente párrafo, que será clave a la hora de determinar a los distintos responsable:

“(…)procede considerar que el tratamiento de datos personales realizados en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa en el “marco de las actividades” de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor.”

La Sala de lo Civil considera que en “el marco de las actividades” realizadas por Google Spain, SL (promoción y venta) se incluye el tratamiento de datos personales. Es por ello que realiza una lectura del concepto de responsable de tratamiento de datos en sentido amplio, y hace responsable a Google Spain, SL.

Sin embargo, la Sala de lo Contencioso – Administrativo realiza una lectura estricta del concepto de responsable del tratamiento de datos. Así pues, establece que Google Spain, SL no realiza tales tratamientos de datos, dado que sus funciones son únicamente las de publicidad y promoción del motor de búsqueda “Google Search”. Por este motivo, estima que el único responsable del tratamiento de datos es la sociedad estadounidense Google Inc

Argumentos de la Sala de lo Contencioso-Administrativo

Junto a la interpretación del párrafo anterior de la Sentencia del TJUE, los argumentos de la Sala de lo Contencioso – Administrativo para determinar responsable a Google INC fueron:

  • Se nos dice que es Google Inc quien gestiona el motor de búsqueda “Google Search” sin que en ningún caso se evidencie participación alguna en ese cometido de Google Spain SL..
  • Es preciso determinar y acreditar en cada caso la existencia y el alcance de la participación de cada uno en la determinación de los fines y medios del tratamiento para que pueda hablarse de corresponsabilidad, lo que en modo alguno se ha producido en este caso respecto de Google Spain.
  • Tal corresponsabilidad no puede fundarse en la vinculación mercantil entre Google Inc y Google Spain SL, pues la coparticipación alude a la idea de participación conjunta en algún resultado o acción, lo que en este caso comportaría que tanto Google INC como Google Spain concurrieran en la tarea de determinar los fines y medios del motor de búsqueda.
  • La actividad de Google Spain constituye una actividad conexa o vinculada económicamente a la de su matriz, pero de distinta naturaleza a la determinación de los fines o medios del tratamiento.
  • No debe identificarse ni confundirse la determinación de los fines y medios del tratamiento, que caracterizan la condición de responsable, con una actividad de colaboración.
  • Por último, esta Sala no aprecia solidaridad en el cumplimiento de las obligaciones, de manera que cada responsable lo es de aquellas que se derivan de su actividad. Tampoco se justifica en este caso las circunstancias que permiten acudir a la aplicación de la doctrina de los actos propios.

Por todo ello, declara responsable del tratamiento de datos contenido en el motor de búsqueda “Google Search” a la sociedad Google Inc, instando a los interesados a que se dirijan a tal sociedad radicada en los EEUU a fin de ejercer el derecho al olvido de sus datos personales. 

Argumentos de la Sala de lo Civil

Junto a la interpretación del párrafo del TJUE anteriormente citado, los argumentos para determinar responsable a Google Spain, SL fueron:

  • Afirma que Google Spain puede ser considerada, en sentido amplio, como responsable del tratamiento de datos que realiza el buscador “Google Search”, y por tanto, está legitimada pasivamente para ser parte demandada en los litigios seguidos en España.
  • Una resolución en contrario, basada en un concepto estricto de “responsable del tratamiento”, supondría frustrar en la práctica el objetivo de “garantizar una protección eficaz y completa” que tiene la Directiva.
  • Esta interpretación restrictiva supondría un serio obstáculo para la efectividad de los derechos fundamentales. La Directiva declara que los Estados Miembros establecerán que toda persona disponga de un recurso judicial en casos de violación de los derechos que le garanticen las disposiciones de derecho nacional aplicables al tratamiento de que se trate.        
  • Los sujetos protegidos por la normativa sobre protección de datos son las personas físicas. El efecto útil de la normativa se debilitaría si los afectados hubieran de averiguar, dentro del grupo empresarial, cuál es la función concreta de cada una de las sociedades que la componen.
  • Incluso en el caso de litigar en España, la mayoría de las personas tendría dificultades para interponer la demanda.
  • En definitiva, de aceptar la tesis de Google Spain y circunscribir la legitimación pasiva de Google Inc, estaríamos haciendo casi imposible en la práctica dicha protección, pues las demandas habrían de interponerse contra una empresa radicada en los Estados Unidos con los elevados gastos y dilaciones que ello trae consigo. 

¿Es congruente que el Tribunal Supremo establezca distintos criterios?

Tal y como sostiene la Sala de lo Civil, las sentencias dictadas días antes por la Sala de lo Contencioso-Administrativo “no resultan condicionantes o decisivas para resolver este recurso”, y “no tienen efecto prejudicial”.

Y es que, en las sentencias de la Sala de lo Contencioso – Administrativo se está resolviendo con relación a resoluciones dictadas en un procedimiento administrativo seguido ante la AEPD, mientras que el procedimiento seguido ante la Sala de lo Civil tiene por objeto la protección de derechos fundamentales del demandante, en concreto los derechos al honor, a la intimidad (Art. 18.1 CE) y a la protección frente al tratamiento automatizado de sus datos de carácter personal (Art. 18.4 CE)

Asimismo, la Sala de lo Contencioso - Administrativo en su Sentencia dictada el pasado junio, justifica que su criterio, a diferencia de lo que ocurriría en un procedimiento civil, no supone para el interesado una “dificultad o carga añadida significativa para la obtención de una eficaz tutela judicial en ninguna de las fases del procedimiento que se establece al efecto”, pues la reclamación se formula electrónicamente de manera sencilla, gratuita y directa por el interesado, a través de los formularios facilitados por Google INC en su página Web.

Es por ello que el Tribunal Supremo no cae en incongruencia alguna al establecer distintos responsables del tratamiento de datos, debido a la existencia de distintos criterios rectores en las distintas jurisdicciones dado la diversidad de las normativas que con carácter general se aplican por unas y otras. 

Iniciación y fases del procedimiento

En el ámbito de la jurisdicción contencioso-administrativa, la tutela de los derechos de oposición, acceso, rectificación y cancelación reconocidos al titular de los datos personales objeto de tratamiento, comienza con la reclamación o comunicación por parte de este al responsable del tratamiento, en este caso la sociedad Google INC, ejercitando el correspondiente derecho, frente a cuya respuesta dicho interesado puede formular reclamación ante la Agencia Española de Protección de Datos. Esta deberá dictar resolución en el plazo de seis meses, contra la cual puede interponerse recurso contencioso-administrativo por ambas partes.

En caso de que no se haya planteado reclamación alguna frente a la Administración, no habrá acto administrativo que revisar, por lo que el interesado que vea afectados sus derechos deberá seguir la vía Civil. El procedimiento se inicia con la presentación de la demanda de protección de los derechos al honor, a la intimidad y a la protección frente al tratamiento automatizado de sus datos de carácter personal contra el responsable del tratamiento de datos, en este caso, Google Spain SL. 


Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: absorción o adquisición del despacho por otra entidad

    Tanto el despacho como persona jurídica, como los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal, están obligados al secreto y al deber de guardar esos datos, 

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

  • Caso práctico: almacenamiento de información

    Como decimoctava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre almacenamiento de información personal y las ventajas del despacho digital.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Congreso DENAE - Mercado Único Digital

El Congreso DENAE sobre el Mercado Único Digital Europeo, se celebrará el próximo jueves 14 de diciembre en la sede de la Comisión Europea en Madrid. Sin lugar a duda, se trata de una gran oportunidad informativa sobre el estado de la cuestión. Se abordarán con los representantes institucionales y con el mundo de la empresa las implicaciones de esta ambiciosa iniciativa comunitaria.

feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17