CONCLUSIONES DEL ABOGADO GENERAL
Sr. NIILO JÄÄSKINEN
Asunto C‑131/12
Google Spain, S.L.,
Google Inc.
contra
Agencia Española de Protección de Datos (AEPD),
Mario Costeja González
(Petición de decisión prejudicial planteada por la Audiencia Nacional)
«World
Wide Web – Datos personales – Motor de búsqueda en Internet – Directiva
95/46/CE sobre protección de datos – Interpretación de los artículos 2,
letras b) y d), 4, apartado 1, letras a) y c), 12, letra b), y 14,
letra a) – Ámbito territorial de aplicación – Concepto de
establecimiento en territorio de un Estado miembro – Ámbito de
aplicación ratione materiae – Concepto de tratamiento de datos
personales – Concepto de responsable del tratamiento de datos personales
– Derecho de supresión de datos personales y de oposición a éstos –
“Derecho al olvido” – Carta de los Derechos Fundamentales de la Unión
Europea – Artículos 7, 8, 11 y 16»
I. Introducción
1. En 1890, en su seminal artículo publicado en la Harvard Law Review, titulado «The Right to Privacy», (2)
Samuel D. Warren y Louis D. Brandeis se lamentaban de que «inventos
recientes y modelos de negocios», como «las fotografías instantáneas y
la prensa, han invadido los sagrados recintos de la vida privada y
doméstica». En el mismo artículo se referían «al siguiente paso que es
preciso dar para proteger a la persona».
2. Hoy
en día, la protección de los datos personales y de la privacidad de las
personas físicas ha adquirido una importancia cada vez mayor. Cualquier
contenido que incluya datos personales, sea en forma de textos o de
material audiovisual, puede ponerse a disposición de manera instantánea y
permanente en formato digital a nivel mundial. Internet ha
revolucionado nuestras vidas al eliminar las barreras técnicas e
institucionales para la difusión y la recepción de información y ha
creado una plataforma para diversos servicios de la sociedad de la
información, que benefician a los consumidores, a las empresas y a la
sociedad en general. Ello ha hecho surgir una serie de circunstancias
sin precedentes, en las que tiene que establecerse un equilibrio entre
diversos derechos fundamentales, como la libertad de expresión, el
derecho a la información y la libertad de empresa, por un lado, y la
protección de los datos personales y la privacidad de los particulares,
por otro.
3. En
el marco de Internet, deben distinguirse tres situaciones relacionadas
con los datos personales. La primera es la publicación de datos
personales en cualquier página web (3) (en lo sucesivo, «página web fuente»). (4)
La segunda es el supuesto en que un motor de búsqueda en Internet
proporciona resultados que dirigen al usuario de Internet a la página
web fuente. La tercera operación, menos visible, se lleva a cabo cuando
un usuario lleva a cabo una búsqueda mediante un motor de búsqueda en
Internet, y algunos de sus datos personales, como la dirección IP desde
la que se realiza la búsqueda, se transfieren automáticamente al
proveedor de servicios de motor de búsqueda en Internet. (5)
4. Por
lo que se refiere a la primera situación, el Tribunal de Justicia ya
declaró en la sentencia Lindqvist que la Directiva 95/46/CE (6)
(en lo sucesivo, «Directiva sobre protección de datos» o «Directiva»)
es de aplicación. La tercera situación no forma parte del objeto del
presente asunto, y existen procedimientos administrativos en curso
incoados por las autoridades nacionales de protección de datos para
clarificar el ámbito de aplicación de las normas de protección de datos
de la Unión Europea a los usuarios de los motores de búsqueda en
Internet. (7)
5. El
auto de remisión del presente asunto versa sobre la segunda situación.
Ha planteado la petición la Audiencia Nacional, en el marco de un
procedimiento entre Google Spain, S.L., y Google, Inc. (en lo sucesivo,
individual o conjuntamente, «Google»), por un lado, y la Agencia
Española de Protección de Datos (en lo sucesivo, «AEPD») y el Sr. Mario
Costeja González (en lo sucesivo, «interesado»), por otro. El
procedimiento versa sobre la aplicación de la Directiva sobre protección
de datos a un motor de búsqueda en Internet que Google gestiona como
proveedor de servicios. En el procedimiento nacional es pacífico que, en
1998, un periódico español publicó en dos ejemplares de su edición
impresa, que posteriormente se publicaron en formato digital disponible
en Internet, ciertos datos personales relativos al interesado. El
interesado considera que esta información ya no debería mostrarse en los
resultados de búsqueda ofrecidos por el motor de búsqueda en Internet
gestionado por Google cuando se realiza en él una búsqueda de su nombre y
apellidos.
6. Las cuestiones planteadas al Tribunal de Justicia se incluyen en tres categorías. (8) El primer grupo de cuestiones versa sobre el ámbito territorial de aplicación de
las normas de protección de datos de la Unión Europea. El segundo grupo
aborda las cuestiones relativas a la posición jurídica de un proveedor
de servicios de motor de búsqueda en Internet (9) a la luz de la Directiva, particularmente en términos de su ámbito de aplicación ratione materiae. Por último, la tercera cuestión se refiere al llamado derecho al olvido y
a si los interesados pueden solicitar que algunos o todos los
resultados de búsqueda que les conciernen ya no estén disponibles a
través del motor de búsqueda. Todas estas cuestiones, que abordan además
importantes aspectos de la protección de los derechos fundamentales, no
han sido tratadas hasta ahora por el Tribunal de Justicia.
7. Éste
parece ser el primer asunto en el que se solicita al Tribunal de
Justicia que interprete la Directiva en relación con los motores de
búsqueda en Internet, una cuestión aparentemente tópica para las
autoridades nacionales de protección de datos y los tribunales de los
Estados miembros. De hecho, el tribunal remitente ha indicado que
existen varios asuntos similares pendientes ante él.
8. De
entre las sentencias anteriores del Tribunal de Justicia en las que se
trató la protección de datos e Internet, la más importante ha sido
Lindqvist. (10)
Sin embargo, en dicho asunto no estaban involucrados los motores de
búsqueda. La propia Directiva ha sido interpretada en varias
resoluciones, de las que Österreichischer Rundfunk (11), Satakunnan Markkinapörssi y Satamedia (12) y Volker und Markus Schecke y Eifert (13)
tienen particular relevancia. El papel desempeñado por los motores de
búsqueda en Internet en relación con los derechos de propiedad
intelectual y la competencia de los tribunales también ha sido examinado
en la jurisprudencia del Tribunal de Justicia, en las sentencias Google
France y Google, Portakabin, L’Oréal y otros, Interflora e Interflora
British Unit y Wintersteiger. (14)
9. Desde
la adopción de la Directiva, se ha incluido una disposición sobre la
protección de datos personales en el artículo 16 TFUE y en el artículo 8
de la Carta de los Derechos Fundamentales de la Unión Europea (en lo
sucesivo, «Carta»). A mayor abundamiento, en 2012 la Comisión presentó
una propuesta de reglamento general de protección de datos, (15) con el objetivo de sustituir la Directiva. No obstante, el caso de autos debe resolverse sobre la base del Derecho existente.
10. La
presente petición de decisión prejudicial se ve afectada por el hecho
de que, cuando la Comisión elaboró la propuesta de Directiva, en 1990,
Internet, en el sentido actual de World Wide Web, no existía, ni tampoco
existían motores de búsqueda. En el momento de aprobación de la
Directiva, en 1995, Internet apenas había comenzado y los primeros y
rudimentarios motores de búsqueda comenzaban a surgir, pero nadie podía
prever cuán profundamente iba a revolucionar el mundo. Hoy en día se
puede considerar que casi cualquier persona que posea un smartphone o un
ordenador desarrolla actividades en Internet a las que se podría
aplicar potencialmente la Directiva.
II. Marco legal
A. La Directiva sobre protección de datos
11. El
artículo 1 de la Directiva obliga a los Estados miembros a proteger las
libertades y de los derechos fundamentales de las personas físicas, y,
en particular, el derecho a la intimidad, en lo que respecta al
tratamiento de los datos personales, con arreglo a las disposiciones de
la Directiva.
12. El
artículo 2 define, entre otros, los conceptos de «datos personales»,
«interesado», «tratamiento de datos personales», «responsable del
tratamiento» y «tercero».
13. Con
arreglo al artículo 3, la Directiva se aplicará al tratamiento total o
parcialmente automatizado de datos personales, y, en algunas
circunstancias, al tratamiento no automatizado.
14. En
virtud del artículo 4, apartado 1, un Estado miembro aplicará las
disposiciones nacionales que haya aprobado para la aplicación de la
presente Directiva a todo tratamiento de datos personales cuando existe
un establecimiento del responsable en su territorio, o, cuando el
responsable no está establecido en la Unión, si recurre a medios
situados en el territorio de dicho Estado miembro para el tratamiento de
datos personales.
15. El
artículo 12 de la Directiva concede a los interesados un «derecho de
acceso» a los datos personales tratados por el responsable, y el
artículo 14 un «derecho de oposición» al tratamiento de datos personales
en determinados supuestos.
16. Mediante
el artículo 29 de la Directiva, se crea un Grupo de trabajo consultivo e
independiente, compuesto, en particular, por representantes de las
autoridades de protección de datos de los Estados miembros (en lo
sucesivo, «Grupo del artículo 29»).
B. Derecho nacional
III. Hechos y cuestiones prejudiciales planteadas
18. A
comienzos de 1998, un periódico español de gran tirada publicó en su
edición impresa dos anuncios relativos a una subasta de inmuebles
relacionada con un embargo derivado de deudas a la Seguridad Social. Se
mencionaba al interesado como propietario de éstos. En un momento
posterior, la editorial puso a disposición del público una versión
electrónica del periódico online.
19. En
noviembre de 2009, el interesado contactó con la editorial del
periódico afirmando que, cuando introducía su nombre y apellidos en el
motor de búsqueda de Google, aparecía la referencia a varias páginas del
periódico que incluían los anuncios de la mencionada subasta de
inmuebles. Alegó que el embargo estaba solucionado y resuelto desde
hacía años y carecía de relevancia en aquel momento. La editorial le
respondió que no procedía la cancelación de sus datos, dado que la
publicación se había realizado por orden del Ministerio de Trabajo y
Asuntos Sociales.
20. En
febrero de 2010, el interesado remitió escrito a Google Spain
solicitando que al introducir su nombre y apellidos en el motor de
búsqueda en Internet de Google no aparecieran en los resultados de
búsqueda enlaces a ese periódico. Google Spain le remitió a Google Inc.,
con domicilio social en California, Estados Unidos, por entender que
ésta era la empresa que presta el servicio de búsqueda en Internet.
21. En
consecuencia, el interesado interpuso una reclamación ante la AEPD
solicitando que se exigiese a la editorial eliminar o modificar la
publicación para que no apareciesen sus datos personales, o utilizar las
herramientas facilitadas por los motores de búsqueda para proteger sus
datos personales. También solicitaba que se exigiese a Google España o a
Google que eliminaran u ocultaran sus datos para que dejaran de
incluirse en sus resultados de búsqueda y ofrecer los enlaces al
periódico.
22. Mediante
resolución de 30 de julio de 2010, el Director de la AEPD estimó la
reclamación formulada por el interesado contra Google Spain y Google
Inc., instándoles a adoptar las medidas necesarias para retirar los
datos de su índice e imposibilitar el acceso futuro a los mismos, pero
desestimó la reclamación contra la editorial porque la publicación de
los datos en la prensa tenía justificación legal. Google Spain y Google
Inc. interpusieron recursos ante el tribunal remitente en los que
solicitaban la nulidad de la resolución de la AEPD.
23. El tribunal remitente suspendió el procedimiento y planteó las siguientes cuestiones al Tribunal de Justicia:
«1. Por
lo que respecta a la aplicación territorial de [la Directiva] y,
consiguientemente de la normativa española de protección de datos:
1.1 ¿Debe
interpretarse que existe un “establecimiento”, en los términos
descritos en el art. 4.1.a) de [la Directiva], cuando concurra alguno o
algunos de los siguientes supuestos:
– cuando
la empresa proveedora del motor de búsqueda crea en un Estado miembro
una oficina o filial destinada a la promoción y venta de los espacios
publicitarios del buscador, que dirige su actividad a los habitantes del
Estado,
o
– cuando
la empresa matriz designa a una filial ubicada en ese Estado miembro
como su representante y responsable del tratamiento de dos ficheros
concretos que guardan relación con los datos de los clientes que
contrataron publicidad con dicha empresa
o
– cuando
la oficina o filial establecida en un Estado miembro traslada a la
empresa matriz, radicada fuera de la Unión Europea, las solicitudes y
requerimientos que le dirigen tanto los afectados como las autoridades
competentes en relación con el respeto al derecho de protección de
datos, aun cuando dicha colaboración se realice de forma voluntaria?
1.2. ¿Debe
interpretarse el art. 4.1.c de [la Directiva] en el sentido de que
existe un “recurso a medios situados en el territorio de dicho Estado
miembro”
cuando un buscador utilice arañas o
robots para localizar e indexar la información contenida en páginas web
ubicadas en servidores de ese Estado miembro
o
cuando
utilice un nombre de dominio propio de un Estado miembro y dirija las
búsquedas y los resultados en función del idioma de ese Estado miembro?
1.3. ¿Puede
considerarse como un recurso a medios, en los términos del art. 4.1.c
de [la Directiva], el almacenamiento temporal de la información indexada
por los buscadores en internet? Si la respuesta a esta última cuestión
fuera afirmativa, ¿puede entenderse que este criterio de conexión
concurre cuando la empresa se niega a revelar el lugar donde almacena
estos índices alegando razones competitivas?
1.4. Con
independencia de la respuesta a las preguntas anteriores y
especialmente en el caso en que se considerase por el [Tribunal] de
Justicia de la Unión que no concurren los criterios de conexión
previstos en el art. 4 de la Directiva,
¿Debe
aplicarse [la Directiva] en materia de protección de datos, a la luz
del art. 8 de la Carta Europea de Derechos Fundamentales, en el país
miembro donde se localice el centro de gravedad del conflicto y sea
posible una tutela más eficaz de los derechos de los ciudadanos de la
Unión Europea?
2. Por lo que respecta a la actividad de los buscadores como proveedor de contenidos en relación con [la Directiva]:
2.1. En
relación con la actividad del buscador de la empresa “Google” en
internet, como proveedor de contenidos, consistente en localizar la
información publicada o incluida en la red por terceros, indexarla de
forma automática, almacenarla temporalmente y finalmente ponerla a
disposición de los internautas con un cierto orden de preferencia,
cuando dicha información contenga datos personales de terceras personas,
¿Debe
interpretarse una actividad como la descrita comprendida en el concepto
de “tratamiento de datos” contenido en el art. 2.b de [la Directiva]?
2.2. En
caso de que la respuesta anterior fuera afirmativa y siempre en
relación con una actividad como la ya descrita: ¿Debe interpretarse el
artículo 2.d) de [la Directiva], en el sentido de considerar que la
empresa que gestiona el buscador “Google” es “responsable del
tratamiento” de los datos personales contenidos en las páginas web que
indexa?
2.3. En el caso de que la
respuesta anterior fuera afirmativa: ¿Puede la autoridad nacional de
control de datos (en este caso la [AEPD]), tutelando los derechos
contenidos en el art. 12.b) y 14.a) de [la Directiva], requerir
directamente al buscador de la empresa “Google” para exigirle la
retirada de sus índices de una información publicada por terceros, sin
dirigirse previa o simultáneamente al titular de la página web en la que
se ubica dicha información?
2.4. En el
caso de que la respuesta a esta última pregunta fuera afirmativa, ¿Se
excluiría la obligación de los buscadores de tutelar estos derechos
cuando la información que contiene los datos personales se haya
publicado lícitamente por terceros y se mantenga en la página web de
origen?
3. Respecto al alcance del
derecho de cancelación y/o oposición en relación con el derecho al
olvido se plantea la siguiente pregunta:
3.1 ¿Debe
interpretarse que los derechos de supresión y bloqueo de los datos,
regulados en el art. 12.b) y el de oposición, regulado en el art. 14.a)
de [la Directiva] comprenden que el interesado pueda dirigirse frente a
los buscadores para impedir la indexación de la información referida a
su persona, publicada en páginas web de terceros, amparándose en su
voluntad de que la misma no sea conocida por los internautas cuando
considere que puede perjudicarle o desea que sea olvidada, aunque se
trate de una información publicada lícitamente por terceros?»
24. Google,
los Gobiernos español, griego, italiano, austriaco y polaco y la
Comisión Europea presentaron observaciones escritas. A excepción del
Gobierno polaco, todos ellos participaron en la vista, celebrada el 26
de febrero de 2013, al igual que el representante del interesado, y
formularon observaciones orales.
IV. Observaciones previas
A. Comentarios preliminares
25. El
problema clave en el presente asunto es cómo debe interpretarse el
papel de los proveedores de servicios de motores de búsqueda en Internet
a la luz de la normativa de la Unión sobre protección de datos
existente, en particular de la Directiva. Por tanto, es instructivo
comenzar realizando algunas observaciones relacionadas con la evolución
de la protección de datos, de Internet y de los motores de búsqueda en
Internet.
26. Cuando se negoció y adoptó la Directiva, en 1995, (17) se le dio un amplio ámbito de aplicación ratione materiae, a
fin de adaptarse a la evolución de la tecnología relacionada con el
tratamiento de datos realizado por parte de procesadores, más
descentralizado que los ficheros automatizados basados en los
tradicionales bancos de datos centralizados, y que también incluía
nuevos tipos de datos personales, como imágenes, y técnicas de
tratamiento, como las búsquedas de texto libre. (18)
27. En
1995, el acceso generalizado a Internet era un fenómeno novedoso. Hoy
en día, casi dos décadas después, el volumen de contenido digitalizado
disponible online se ha multiplicado exponencialmente. Puede obtenerse,
consultarse y difundirse fácilmente a través de las redes sociales, y
descargarse a varios dispositivos, como las tabletas, los smartphones y
los ordenadores portátiles. Sin embargo, está claro que el legislador
comunitario no previó la evolución de Internet hacia un almacén global y
exhaustivo de información a la que se accede, o se busca, en todo el
mundo.
28. El
meollo de la presente petición de decisión prejudicial radica en el
hecho de que Internet amplifica y facilita de un modo sin precedente la
difusión de la información. (19)
Del mismo modo que la invención de la imprenta en el siglo XV permitió
la reproducción de un número ilimitado de copias, que anteriormente
debían copiarse a mano, la carga de material en Internet permite el
acceso masivo a información que antes tal vez sólo pudiera hallarse
después de búsquedas exhaustivas, y en espacios físicos determinados. El
acceso universal a la información en Internet es posible en todas
partes, salvo en aquellos países en los que las autoridades han
limitado, mediante diversos medios técnicos (como los cortafuegos
electrónicos), el acceso a Internet o en los que el acceso a las
telecomunicaciones está controlado o es escaso.
29. Debido
a esta evolución, el ámbito potencial de aplicación de la Directiva en
el mundo actual ha pasado a ser sorprendentemente amplio. Supongamos que
un catedrático de Derecho de la Unión Europea que ha descargado a
partir de la página web del Tribunal de Justicia la jurisprudencia
básica del Tribunal de Justicia en su ordenador portátil. Con arreglo a
la Directiva, podría considerarse al catedrático un «responsable del
tratamiento» de datos personales procedentes de un tercero. El
catedrático está en posesión de archivos que contienen datos personales
que se tratan automáticamente para su búsqueda y consulta en el marco de
actividades que no son exclusivamente personales o domésticas. De
hecho, hoy en día cualquier persona que lea un periódico en una tableta o
que siga redes sociales en un smartphone parece estar involucrado en el
tratamiento automatizado de datos personales y podría estar incluido en
el ámbito de aplicación de la Directiva, en la medida en que tiene
lugar fuera de su ámbito meramente privado. (20)
Además, la amplia interpretación dada por el Tribunal de Justicia al
derecho fundamental a la vida privada en el contexto de la protección de
datos parece someter a toda comunicación humana mediante medios
electrónicos a un análisis a la luz de este derecho.
30. En
la situación actual, las amplias definiciones de datos personales,
tratamiento de datos personales y responsable del tratamiento pueden
abarcar una variedad nunca vista de nuevas situaciones fácticas, a causa
del desarrollo de la tecnología. Ello es así porque muchas, si no
todas, las páginas web y los archivos a los que se puede acceder a
través de aquéllas incluyen datos personales, como los nombres de
personas físicas vivas. Esta situación obliga al Tribunal de Justicia a
aplicar un criterio, en otras palabras, el principio de
proporcionalidad, al interpretar el alcance de la Directiva a fin de
evitar consecuencias jurídicas poco razonables y excesivas. El Tribunal
de Justicia ya aplicó este enfoque moderado en la sentencia Lindqvist,
en la que rechazó una interpretación que podría haber conducido a un
ámbito de aplicación del artículo 25 de la Directiva sobre la
transmisión de datos personales a terceros países en Internet que
resultaba de una amplitud poco razonable. (21)
31. Por
consiguiente, en el presente asunto es necesario establecer un
equilibrio correcto, razonable y proporcionado entre la protección de
datos personales, la interpretación congruente de los objetivos de la
sociedad de la información y los intereses legítimos de los operadores
económicos y de los usuarios de Internet en general. Aunque la Directiva
no ha sido modificada desde su adopción en 1995, su aplicación a nuevas
situaciones ha sido inevitable. Es un área jurídica compleja en la que
se cruzan Derecho y tecnología. Las opiniones adoptadas por el Grupo del
artículo 29 ofrecen análisis de gran utilidad a este respecto. (22)
B. Motores de búsqueda en Internet y protección de datos
32. Al
analizar la posición legal de un motor de búsqueda en Internet en
relación con las normas de protección de datos, deben tenerse en cuenta
los siguientes elementos. (23)
33. En
primer lugar, en su forma básica, un motor de búsqueda en Internet, en
principio, no crea nuevo contenido autónomo. En su forma más simple,
únicamente indica dónde pueden encontrarse contenidos ya existentes,
puestos a disposición en Internet por terceros, proporcionando un
hipervínculo a la página web que contiene los términos buscados.
34. En
segundo lugar, los resultados que ofrece un motor de búsqueda en
Internet no se basan en una búsqueda instantánea de todo el World Wide
Web, sino que se compilan a partir del contenido que el motor de
búsqueda en Internet ha tratado previamente. Ello significa que el motor
de búsqueda en Internet ha recopilado contenidos a partir de páginas
web existentes y que ha copiado, analizado e indexado dicho contenido en
sus propios dispositivos. Este contenido recuperado contiene datos
personales si éstos figuran en alguna de las páginas web fuente.
35. En
tercer lugar, para que los resultados sean más fáciles de usar, los
motores de búsqueda normalmente muestran contenidos adicionales además
del enlace a las páginas web originales. Pueden ser extractos de texto,
contenido audiovisual o incluso instantáneas de las páginas web fuente.
Esta vista previa de la información puede, al menos en parte,
recuperarse a partir de los dispositivos del proveedor de servicios de
motor de búsqueda en Internet, y no instantáneamente desde la página web
original. Ello quiere decir que el proveedor del servicio está
realmente en posesión de la información expuesta de este modo.
C. Regulación de los motores de búsqueda en Internet
36. La
Unión Europea ha concedido gran importancia al desarrollo de la
sociedad de la información. En este marco, también se ha examinado el
papel de los intermediarios de la sociedad de la información. Estos
intermediarios tienden puentes entre proveedores de contenido y usuarios
de Internet. El papel específico de los intermediarios se ha
reconocido, por ejemplo, en la Directiva (en su considerando 47), en la
Directiva 2000/31/CE, (24)
(artículo 21, apartado 2, y considerando 18) y en el dictamen 1/2008
del Grupo del artículo 29. El rol de los proveedores de servicios de
Internet se ha considerado crucial para la sociedad de la información y
se ha limitado su responsabilidad respecto de los contenidos de terceros
que transfieren y/o almacenan a fin de facilitar sus actividades
legítimas.
37. El
papel y la posición jurídica de los proveedores de servicios de motores
de búsqueda en Internet no está regulado expresamente en la normativa de
la Unión. Como tales, los «servicios de instrumentos de localización de
la información» se prestan «a distancia, por vía electrónica y a
petición individual de un destinatario de servicios», y, por lo tanto,
equivalen a un servicio de la sociedad de la información consistente en
la provisión de herramientas que permiten buscar, acceder y obtener
datos. No obstante, los proveedores de servicios de motores de búsqueda
en Internet, como Google, que no prestan su servicio como contrapartida
de una remuneración por parte de los usuarios de Internet, parecen, por
su condición, estar excluidos del ámbito de aplicación de la Directiva
2000/31, sobre el comercio electrónico. (25)
38. A
pesar de ello, es necesario analizar su posición frente a los
principios jurídicos que subyacen a las limitaciones de la
responsabilidad de los proveedores de servicios de Internet. En otras
palabras, saber en qué medida son actividades desarrolladas por un
proveedor de servicios de motor de búsqueda en Internet, desde el punto
de vista de los principios de responsabilidad, análogas a los servicios
enumerados en la Directiva 2000/31, sobre el comercio electrónico,
(transferencia, mera memoria oculta, alojamiento) o servicios de
transmisión mencionados en el considerando 47 de la Directiva, y en qué
medida un proveedor de servicios de motor de búsqueda en Internet actúa
como proveedor de contenidos por derecho propio.
D. El papel y la responsabilidad de los editores de la página web fuente
39. El
Tribunal de Justicia declaró en la sentencia Lindqvist que «la conducta
que consiste en hacer referencia, en una página web, a datos personales
debe considerarse un tratamiento [de datos personales]». (26)
A mayor abundamiento, «difundir información en una página web implica,
de acuerdo con los procedimientos técnicos e informáticos que se aplican
actualmente, publicar dicha página en un servidor, así como realizar
las operaciones necesarias para que resulte accesible a las personas que
están conectadas a Internet. Estas operaciones se efectúan, al menos en
parte, de manera automatizada». El Tribunal de Justicia concluyó que
«la conducta que consiste en hacer referencia, en una página web, a
diversas personas y en identificarlas por su nombre o por otros medios,
constituye un “tratamiento total o parcialmente automatizado de datos
personales” en el sentido del artículo 3, apartado 1, de la Directiva».
40. Se
deduce de las apreciaciones antes mencionadas, realizadas en la
sentencia Lindqvist, que el editor de páginas web fuente que contienen
datos personales es responsable del tratamiento de datos personales, en
el sentido de la Directiva. Como tal, el editor está sometido a todas
las obligaciones que la Directiva impone a los responsables.
41. Las
páginas web fuente se almacenan en servidores de alojamiento conectados
a Internet. El editor de páginas web fuente puede utilizar «códigos de
exclusión» (27)
para el funcionamiento de los motores de búsqueda en Internet. Los
códigos de exclusión recomiendan a los motores de búsqueda que no
indexen o almacenen una página web fuente, o que no la muestren en los
resultados de la búsqueda. (28)
Su uso indica que el editor no desea que determinada información de la
página web fuente pueda ser recuperada para su difusión a través de
motores de búsqueda.
42. En
consecuencia, técnicamente, el editor tiene la posibilidad de incluir
en sus páginas web códigos de exclusión que restringen el indexado y el
archivo de la página y que, por tanto, incrementan la protección de
datos personales. En casos extremos, el editor puede retirar la página
web del servidor de alojamiento, volver a publicarla sin los datos
personales controvertidos y solicitar que se actualice la página en las
memorias ocultas de los motores de búsqueda.
43. Por
tanto, la persona que publica el contenido en la página web fuente es
responsable de los datos personales publicados en ésta por su condición
de responsable del tratamiento, y esta persona tiene varios medios a su
disposición para cumplir sus obligaciones a este respecto. Esta
canalización de la responsabilidad legal es conforme con los principios
establecidos de la responsabilidad del editor en el marco de los medios
de comunicación tradicionales. (29)
44. No
obstante, la responsabilidad del editor no garantiza que los problemas
de protección de datos puedan abordarse de manera definitiva recurriendo
sólo a los responsables del tratamiento de las páginas web fuente. Como
señaló el tribunal remitente, es posible que los mismos datos
personales hayan sido publicados en innúmeras páginas, lo que
convertiría el rastreo y el contacto con todos los editores relevantes
en misión difícil, si no imposible. Además, el editor puede residir en
un Estado tercero, y las páginas web de que se trata pueden estar
excluidas del ámbito de aplicación de las normas de la Unión Europea
sobre protección de datos. Pueden también existir obstáculos legales,
como en el presente asunto, en el que el mantenimiento de la publicación
original en Internet se ha considerado legal.
45. De
hecho, la accesibilidad universal de la información en Internet se basa
en los motores de búsqueda en Internet, ya que sin ellos hallar
información relevante sería demasiado complicado y difícil y produciría
resultados limitados. Como observa acertadamente el tribunal remitente,
obtener información sobre los anuncios de la subasta del bien del
interesado habría requerido en el pasado una visita a la hemeroteca del
periódico. Actualmente esta información puede obtenerse tecleando su
nombre en un motor de búsqueda en Internet, y ello hace que la búsqueda
de tales datos sea mucho más eficiente, y, al mismo tiempo, más molesta
para el interesado. Los motores de búsqueda en Internet pueden usarse
para elaborar un perfil muy completo de los particulares al buscar y
recopilar sus datos personales. Sin embargo, el temor a que se
elaboraran perfiles de particulares fue la inspiración del desarrollo de
la normativa moderna de protección de datos. (30)
46. Por
estos motivos, es importante examinar la responsabilidad de los
proveedores de servicios de motores de búsqueda en Internet respecto de
los datos personales publicados en las páginas web fuentes de terceros a
las que se puede acceder a través de sus motores de búsqueda. Dicho de
otro modo, el Tribunal de Justicia se enfrenta en el presente asunto a
la cuestión de la «responsabilidad secundaria» de este tipo de
proveedores de servicios de la sociedad de la información, análoga a la
que examinó en su justicia en materia de marcas y de comercio
electrónico. (31)
E. Actividades de un proveedor de servicios de motor de búsqueda en Internet
47. Un
proveedor de servicios de motor de búsqueda en Internet puede
desarrollar varios tipos de actividades. La naturaleza y el análisis de
estas actividades desde el punto de vista de la protección de datos
puede diferir.
48. Un
proveedor de servicios de motor de búsqueda en Internet puede adquirir
automáticamente datos personales relativos a sus usuarios, (32)
es decir, las personas que introducen términos de búsqueda en el motor
de búsqueda. En estos datos transmitidos automáticamente cabe incluir
sus direcciones IP, sus preferencias de uso (idioma, por ejemplo) y, por
supuesto, los propios términos de búsqueda, que, en el caso de las
denominadas búsquedas vanidosas (es decir, las búsquedas realizadas por
un usuario con su propio nombre) revelan con facilidad la identidad de
los usuarios. Además, en el caso de las personas que tienen cuentas de
usuario y que, por tanto, se han registrado, sus datos personales, como
nombre, dirección de correo electrónico y número de teléfono, acaban de
manera casi ineludible en manos del proveedor de servicios de motor de
búsqueda en Internet.
49. Los
ingresos que obtiene el proveedor de servicios de motor de búsqueda en
Internet no derivan de los usuarios que introducen los términos de
búsqueda en el motor de búsqueda, sino de los anunciantes que adquieren
términos de búsqueda como palabras clave, de manera que sus anuncios se
muestran al mismo tiempo que los resultados de búsqueda que emplean esa
palabra clave. (33)
Resulta obvio que los datos personales relativos a los clientes de los
servicios de publicidad llegan a estar en posesión del proveedor del
servicio.
50. Sin
embargo, la presente petición de decisión prejudicial se refiere a la
actividad de Google como mero proveedor de servicios de motor de
búsqueda en Internet en relación con datos, incluidos datos personales,
publicados en Internet por las páginas web fuente de terceros, tratadas e
indexadas por el motor de búsqueda de Google. Por ello, los problemas
de los usuarios y de los clientes del servicio de publicidad, a cuyos
datos se aplica sin lugar a dudas la Directiva en lo que atañe a su
relación con Google, no afectan al análisis del segundo grupo de
cuestiones prejudiciales. No obstante, en lo tocante a los problemas
relativos a la competencia judicial, que abordan el primer grupo de
cuestiones, estos grupos de clientes pueden ser relevantes.
V. Primer grupo de cuestiones, relativas al ámbito territorial de aplicación de la Directiva
A. Introducción
51. El
primer grupo de cuestiones prejudiciales versa sobre la interpretación
del artículo 4 de la Directiva, en relación con los criterios que
determinan el ámbito territorial de aplicación de la normativa nacional
de desarrollo.
52. El
tribunal remitente ha dividido sus cuestiones prejudiciales relativas a
la aplicación territorial de la normativa española en materia de
protección de datos en cuatro subcuestiones. La primera se refiere al
concepto de «establecimiento», en el sentido del artículo 4, apartado 1,
letra a), de la Directiva, y la segunda a las circunstancias en las que
existe «recurso a medios situados en el territorio de dicho Estado
miembro», en el sentido de su artículo 4, apartado 1, letra c). La
tercera subcuestión pregunta si es posible considerar recurso a medios
el almacenamiento temporal de la información indexada por los motores de
búsqueda en Internet, y en caso de que la respuesta a la subcuestión
sea afirmativa, si se puede presumir este factor de conexión cuando la
empresa se niega a revelar el lugar donde almacena estos índices. La
cuarta subcuestión pregunta si la normativa que traspone la Directiva
debe aplicarse, a la luz del artículo 8 de la Carta, en el Estado
miembro donde se localice el centro de gravedad del conflicto y sea
posible una tutela más eficaz de los derechos de los ciudadanos de la
Unión Europea.
53. Examinaré
primero la última subcuestión, que el tribunal nacional ha planteado
«con independencia de la respuesta a las preguntas anteriores y
especialmente en el caso en que se considerase por el [Tribunal de
Justicia] que no concurren los criterios de conexión previstos en el
art. 4[, apartado 1,] de la Directiva».
B. El centro geográfico de gravedad del conflicto no basta por sí mismo para que la Directiva sea de aplicación
54. De
acuerdo con su artículo 51, apartado 2, la Carta no amplía el ámbito de
aplicación del Derecho de la Unión más allá de las competencias de la
Unión, ni crea ninguna competencia o misión nuevas para la Unión, ni
modifica sus competencias y misiones tal como se definen en los
Tratados. (34)
Este principio se aplica también al artículo 8 de la Carta, sobre la
protección de datos personales. Entonces, la interpretación de la
Directiva conforme con la Carta no puede añadir ningún criterio nuevo
que pueda dar lugar a la aplicabilidad territorial de la normativa
nacional que desarrolla la Directiva a los establecidos en el artículo
4, apartado 1, de la Directiva. Por supuesto, el artículo 8 de la Carta
debe tenerse en cuenta al interpretar los conceptos empleados en el
artículo 4, apartado 1, de la Directiva, pero los criterios de conexión
definidos por el legislador de la Unión no pueden suplementarse con un
criterio totalmente nuevo establecido en función de ese derecho
fundamental. (35)
55. El
Grupo del artículo 29 puso énfasis correctamente en que determinan el
ámbito territorial de aplicación de la Directiva y de la normativa
nacional de desarrollo, bien la ubicación del establecimiento del
responsable del tratamiento, bien la ubicación de los medios o del
equipo que se esté utilizando cuando el responsable del tratamiento esté
establecido fuera del Espacio Económico Europeo. Ni la nacionalidad o
el lugar de residencia habitual de los interesados, ni la ubicación
física de los datos personales son decisivos. (36)
56. El
Grupo del artículo 29 ha propuesto que en la legislación futura se
tenga en cuenta la oportuna orientación hacia las personas por lo que se
refiere a los responsables del tratamiento que no están establecidos en
la Unión Europea. (37) En la propuesta de Reglamento general de protección de datos (2012), (38)
la oferta de bienes y servicios a los interesados que residan en la
Unión sería un factor por el cual la normativa de la Unión Europea en
materia de protección de datos resultaría aplicable a responsables del
tratamiento establecidos en países terceros. Tal enfoque, que vincula la
aplicabilidad territorial de la normativa de la Unión Europea al
público destinatario, es coherente con la jurisprudencia del Tribunal de
Justicia relativa a la aplicabilidad de la Directiva 2000/31, sobre el
comercio electrónico, (39) del Reglamento (CE) nº 44/2001 (40) y de la Directiva 2001/29/CE (41) a situaciones transfronterizas.
57.
En cambio, el criterio del público objetivo, en el presente asunto los
usuarios españoles del motor de búsqueda en Internet de Google, en cuya
opinión la reputación del interesado podía haberse visto menoscabada
como consecuencia de los anuncios controvertidos, no parece un factor
que dé lugar a la aplicación territorial de la Directiva y la normativa
nacional de desarrollo.
58. En
consecuencia, el hecho de que el centro de gravedad del litigio en
España no puede añadirse a los criterios establecidos en el artículo 4,
apartado 1, de la Directiva, que, en mi opinión, armoniza por completo
el ámbito territorial de aplicación de la normativa en materia de
protección de datos de los Estados miembros. Esto es de aplicación con
independencia de si tal centro de gravedad lo constituye la nacionalidad
o la residencia del interesado de que se trate, de la localización de
los datos personales controvertidos en la página web del periódico o del
hecho de que el sitio en Internet de Google se dirija específicamente
al público español. (42)
59. Por
estos motivos propongo que, si el Tribunal de Justicia considera
necesario dar respuesta a este supuesto, responda en sentido negativo a
la cuarta subcuestión.
C. La
aplicabilidad del criterio de «establecimiento en la Unión Europea» a
un proveedor de servicios de motor de búsqueda en Internet establecido
en un país tercero
60. En
virtud del artículo 4, apartado 1, de la Directiva, el factor primario
que da lugar a la aplicabilidad de la normativa nacional en materia de
protección de datos es el tratamiento de datos personales llevado a cabo
en el marco de las actividades de un establecimiento del responsable
del tratamiento situado en territorio del Estado miembro. A mayor
abundamiento, cuando un responsable del tratamiento no está establecido
en territorio de la Unión pero recurre a medios o a equipamiento (43)
situados en territorio del Estado miembro para tratar datos personales,
la normativa de dicho Estado miembro se aplica a menos que tal equipo o
medios se empleen sólo a efectos de tránsito a través de territorio de
la Unión.
61. Como
se ha señalado más arriba, la Directiva y su artículo 4 se adoptaron
con anterioridad a que diera comienzo la prestación a gran escala de
servicios online en Internet. Asimismo, a este respecto, su tenor no es
congruente y está incompleto. (44)
No resulta extraño que los expertos en protección de datos hayan tenido
dificultades considerables para interpretarlo en lo que atañe a
Internet. Los hechos del presente asunto ilustran estos problemas.
62. Google
Inc. es una empresa con domicilio social en California y con filiales
en varios Estados miembros de la Unión Europea. Sus operaciones en
Europa están coordinadas hasta cierto punto por su filial irlandesa.
Actualmente, tiene centros de datos al menos en Bélgica y en Finlandia.
La información acerca de la localización geográfica exacta de las
funciones relacionadas con su motor de búsqueda no es pública. Google
alega que no lleva a cabo ningún tratamiento de datos personales
relativo a su motor de búsqueda en España. Afirma que Google Spain actúa
como representante comercial de Google para sus actividades
publicitarias, y que en esta condición es responsable del tratamiento de
los datos personales relativos a sus clientes españoles de los
servicios publicitarios. Google niega que su motor de búsqueda lleve a
cabo operación alguna en los servidores de alojamiento de las páginas
web fuente, o que recopile información a través de cookies de usuarios
no registrados de su motor de búsqueda.
63. En
este contexto fáctico, el tenor del artículo 4, apartado 1, de la
Directiva no es muy útil. Google tiene varios establecimientos en
territorio de la Unión Europea. Este hecho, con arreglo a una
interpretación literal, excluiría la aplicabilidad del requisito del
equipo establecido en el artículo 4, apartado 1, letra c), de la
Directiva. Por otro lado, no está claro hasta qué punto y dónde el
tratamiento de datos personales de interesados residentes en la Unión
tiene lugar en el marco de sus filiales en la Unión Europea.
64. En
mi opinión, el Tribunal de Justicia debería examinar la cuestión de la
aplicabilidad territorial desde la perspectiva del modelo de negocio de
los proveedores de servicios de motores de búsqueda en Internet. Éste,
como ya he mencionado, se basa normalmente en la publicidad a partir de
palabras clave, que es la fuente de ingresos y, como tal, la razón de
ser económica para proveer una herramienta de localización de
información gratuita en forma de motor de búsqueda. La entidad
responsable de la publicidad a partir de palabras clave (denominada
«prestador del servicios de referenciación» en la jurisprudencia del
Tribunal de Justicia) (45)
está vinculada al motor de búsqueda en Internet. Dicha entidad necesita
tener presencia en los mercados nacionales del sector de la publicidad.
Por este motivo, Google ha creado filiales en muchos Estados miembros,
que claramente constituyen establecimientos, en el sentido del artículo
4, apartado 1, letra a), de la Directiva. También ha registrado dominios
nacionales, como google.es y google.fi. La actividad del motor de
búsqueda toma en consideración esta diversificación nacional de diversos
modos en relación con la disposición de los resultados de búsqueda, ya
que el modelo de financiación normal de la publicidad a partir de
palabras clave sigue el principio de pago por clic. (46)
65. Por
estos motivos, deseo adherirme a la conclusión del Grupo del artículo
29, según la cual el modelo de negocios de un proveedor de servicios de
motor de búsqueda en Internet debe tenerse en cuenta en el sentido de
que su establecimiento desempeña un importante papel en el tratamiento
de datos personales si está vinculado a un servicio que participa en la
venta de publicidad orientada a los habitantes de este Estado miembro. (47)
66. A
mayor abundamiento, aunque el artículo 4 de la Directiva se basa en un
único concepto de responsable del tratamiento por lo que se refiere a
sus disposiciones materiales, creo que, a los efectos de decidir sobre
la cuestión previa de la aplicabilidad territorial, un operador
económico debe considerarse una única unidad, y, por tanto, en esta fase
del análisis, no debe analizarse sobre la base de las actividades
individuales relacionadas con el tratamiento de datos personales o de
diferentes grupos de interesados con los que se relacionan sus
actividades.
67. En
conclusión, el tratamiento de datos personales tiene lugar en el marco
de un establecimiento del responsable del tratamiento si dicho
establecimiento actúa como un nexo para el servicio de referencia con el
mercado publicitario de tal Estado miembro, aunque las operaciones de
tratamiento técnico de los datos estén situadas en otro Estado miembro o
en países terceros.
68. Por
este motivo, propongo al Tribunal de Justicia que responda al primer
grupo de cuestiones prejudiciales en el sentido de que se lleva a cabo
tratamiento de datos personales en el marco de las actividades de un
«establecimiento» del responsable del tratamiento, en el sentido del
artículo 4, apartado 1, letra a), de la Directiva, cuando la empresa que
provee el motor de búsqueda establece en un Estado miembro, a fines de
promover y vender espacios publicitarios en su motor de búsqueda, una
oficina o una filial que orienta su actividad hacia los habitantes de
dicho Estado.
VI. Segundo grupo de cuestiones, relativas al ámbito de aplicación ratione materiae de la Directiva
69. El
segundo grupo de cuestiones versa sobre la posición jurídica, a la luz
de lo dispuesto en la Directiva, del proveedor de servicios de motor de
búsqueda en Internet que ofrece acceso a un motor de búsqueda en
Internet. El tribunal nacional las ha formulado en el sentido de que
atañen a los conceptos de «tratamiento» de datos personales (cuestión
2.1) y «responsable del tratamiento» (cuestión 2.2); a las competencias
de la autoridad nacional de protección de datos para requerir
directamente al proveedor de servicios de motor de búsqueda en Internet
(cuestión 2.3), y a la posible exclusión de la protección de datos
personales por parte del proveedor de servicios de motor de búsqueda en
Internet en el supuesto de información publicada lícitamente por
terceros en Internet (cuestión 2.4). Las dos últimas subcuestiones sólo
son relevantes si puede considerarse que el proveedor de servicios de
motor de búsqueda en Internet trata datos personales en páginas web
fuente de terceros y es responsable de su tratamiento.
A. Tratamiento de datos personales por parte de un motor de búsqueda en Internet
70. La
primera subcuestión de este grupo afecta a la aplicabilidad de los
conceptos de «datos personales» y «tratamiento» de éstos a un proveedor
de servicios de motor de búsqueda en Internet, como Google, partiendo de
la base de que no se discute acerca de los datos personales de los
usuarios o los anunciantes, sino de datos personales publicados en
páginas web fuente de terceros, tratados por el motor de búsqueda en
Internet gestionado por el proveedor de servicios. El tribunal nacional
define este tratamiento como localizar la información publicada o
incluida en la red por terceros, indexarla de forma automática,
almacenarla temporalmente y finalmente ponerla a disposición de los
internautas con un cierto orden de preferencia.
71. A
mi juicio, la respuesta afirmativa a esta cuestión no requiere de mucha
discusión. La Directiva proporciona una amplia definición del concepto
de datos personales, y ésta ha sido aplicada por el Grupo del artículo
29 y confirmada por el Tribunal de Justicia. (48)
72. En
relación con el «tratamiento», las páginas web fuente en Internet
pueden incluir, y lo hacen con frecuencia, nombres, imágenes,
direcciones, números de teléfono, descripciones y otras indicaciones,
con la ayuda de las cuales puede identificarse a una persona física. El
que su carácter como datos personales pueda ser «desconocido» para el
proveedor de servicios de motor de búsqueda en Internet, cuyo motor de
búsqueda trabaja sin interacción humana alguna con los datos
recopilados, indexados y dispuestos a los efectos de la búsqueda, no
modifica esta afirmación. (49)
Lo mismo es de aplicación al hecho de que la presencia de datos
personales en las páginas web fuente es en cierta medida aleatoria para
el proveedor de servicios de motor de búsqueda en Internet, porque para
el proveedor de servicios, o, más concretamente, para las funciones de
rastreo, análisis e indexado del motor de búsqueda dirigidas a todas las
páginas web disponibles en Internet, pueden no existir diferencias
técnicas u operativas entre una página web fuente que contiene datos
personales y otra que no incluye este tipo de datos. (50) No obstante, a mi juicio estos hechos deben influir en la interpretación del concepto de «responsable del tratamiento».
73. La
función de rastreo del motor de búsqueda de Google, llamada
«googlebot», rastrea constante y sistemáticamente en Internet y, pasando
de una página a otra sobre la base de los hipervínculos entre páginas,
solicita a los sitios situados que le envíen una copia de la página
visitada. (51)
La función de indexación de Google analiza las copias de estas páginas
web fuente. Los reactivos (palabras clave, términos de búsqueda)
hallados en las páginas se registran en el índice del motor de
búsqueda. (52)
El elaborado algoritmo de búsqueda de Google también examina la
relevancia de los resultados de la búsqueda. Las combinaciones de estos
términos clave con las direcciones URL, cuando pueden hallarse, forman
el índice del motor de búsqueda. Las búsquedas iniciadas por los
usuarios se ejecutan dentro del índice. A los efectos de indexar y
disponer los resultados de búsqueda, se registra la copia de las páginas
en la memoria oculta del motor de búsqueda. (53)
74. Una
copia de la página web fuente buscada, almacenada en la memoria oculta,
puede mostrarse después de que el usuario haya llevado a cabo la
búsqueda. No obstante, el usuario puede acceder a la página original si,
por ejemplo, busca la presentación de fotos en la página web fuente. La
memoria oculta se actualiza con frecuencia, pero pueden darse casos en
los que la página mostrada por el motor de búsqueda no coincide con las
páginas web fuente del servidor de alojamiento, debido a que ha sufrido
cambios o ha sido eliminada. (54)
75. Resulta
obvio que las operaciones descritas en los puntos anteriores se
consideran «tratamiento» de datos personales en las páginas web fuente
copiadas, indexadas, almacenadas en la memoria oculta y mostradas por el
motor de búsqueda. Más concretamente, comprenden la recopilación,
grabación, organización y almacenamiento de tales datos personales, y
pueden entrañar su uso, revelación mediante transmisión, difusión o
puesta a disposición de algún otro modo y la combinación de datos
personales, en el sentido del artículo 2, letra b), de la Directiva.
B. El concepto de «responsable del tratamiento»
76. Con arreglo al artículo 2, letra d), de la Directiva, el responsable del tratamiento (55)
es «la persona física o jurídica […] que sólo o conjuntamente con otros
determine los fines y los medios del tratamiento de datos personales».
En mi opinión, el núcleo del problema en el presente asunto radica en si
un proveedor de servicios de motor de búsqueda en Internet está
incluido en esta definición, y en qué medida lo está.
77. Todas
las partes, salvo Google y el Gobierno helénico, sugieren una respuesta
afirmativa a esta cuestión, que puede defenderse fácilmente como una
conclusión lógica de la interpretación literal de la Directiva, y quizás
incluso de la teleológica, dado que las definiciones básicas de ésta se
formularon de manera amplia para cubrir nuevos desarrollos. A mi
juicio, no obstante, tal enfoque representaría un método que ignora por
completo el hecho de que cuando se redactó la Directiva no era posible
tener en cuenta el surgimiento de Internet y los diversos fenómenos
novedosos vinculados con él.
78. Cuando
se adoptó la Directiva, el World Wide Web era apenas una realidad, y
los motores de búsqueda acababan de nacer. Las disposiciones de la
Directiva simplemente no toman en consideración el que pueda accederse
desde cualquier parte del globo a inmensas masas de documentos y
archivos electrónicos alojados descentralizadamente, y que sus
contenidos pueden copiarse, analizarse y difundirse por partes que no
guardan relación alguna con sus autores o con quienes los han cargado en
un servidor de alojamiento conectado a Internet.
79. Deseo
recordar que en la sentencia Lindqvist el Tribunal de Justicia no
siguió el enfoque maximalista propuesto por la Comisión en relación con
la interpretación del concepto de transferencias de datos a países
terceros. El Tribunal de Justicia declaró que «teniendo en cuenta, por
un lado, el estado de desarrollo de Internet en el momento de la
elaboración de la [Directiva] y, por otro, la inexistencia, en su
capítulo IV, de criterios aplicables al uso de Internet, no cabe
presumir que el legislador comunitario tuviera la intención, en su
momento, de incluir en el concepto de “transferencia a un país tercero
de datos” la difusión de datos en una página web por parte de una
persona que se encuentre en la misma situación que la Sra. Lindqvist, ni
siquiera cuando dichos datos estén al alcance de personas de países
terceros que disponen de los medios técnicos para poder acceder a
ellos». (56)
A mi juicio, ello implica que, al interpretar la Directiva en relación
con nuevos fenómenos tecnológicos, el principio de proporcionalidad, los
objetivos de la Directiva y los medios que ésta proporciona para su
cumplimiento deben tenerse en cuenta para alcanzar un resultado
equilibrado y razonable.
80. En
mi opinión, la cuestión clave en el presente asunto es si tiene
importancia que dentro de la definición de responsable del tratamiento
la Directiva se refiera a éste como la persona que «determina los fines y
los medios del tratamiento de datos personales» (el subrayado es
mío). Las partes que consideran que Google es un responsable del
tratamiento basan su aserto en el hecho innegable de que el proveedor de
servicio que gestiona un motor de búsqueda en Internet determina las
finalidades y los medios del tratamiento de datos para sus propios fines.
81. Sin
embargo, dudo de que ello lleve a una interpretación veraz de la
Directiva en una situación en la que el objeto del tratamiento consiste
en archivos que contienen datos personales y otro tipo de datos
expuestos de manera descuidada, indiscriminada y aleatoria. ¿Determina
el catedrático de Derecho de la Unión mencionado en mi ejemplo contenido
en el punto 29 de las presentes conclusiones las finalidades y los
medios del tratamiento de datos personales incluidos en las
sentencias del Tribunal de Justicia que ha descargado en su ordenador
portátil? La afirmación del Grupo del artículo 29 según la cual «los
usuarios del motor de búsqueda podrían, en sentido estricto, ser también
considerados responsables del tratamiento» pone de manifiesto el
carácter poco razonable de la interpretación literal ciega de la
Directiva en el marco de Internet. (57)
El Tribunal de Justicia no debería aceptar una interpretación que
convierta en responsable del tratamiento de datos personales publicados
en Internet virtualmente a cualquier persona que posea un smartphone,
una tableta o un ordenador portátil.
82. En
mi opinión, el sistema general de la Directiva, la mayoría de las
versiones lingüísticas y las obligaciones individuales que impone al
responsable del tratamiento se basan en la idea de la responsabilidad del responsable del tratamiento en relación con los datos personales tratados, en el sentido de que el responsable del tratamiento
es consciente de la existencia de una categoría determinada de
información que contiene datos personales y el responsable del
tratamiento trata estos datos con una intención relacionada con su
tratamiento como datos personales. (58)
83. El
Grupo del artículo 29 señala correctamente que «el concepto de
responsable del tratamiento es un concepto funcional, destinado a
asignar responsabilidades en función de la capacidad de influencia de
hecho y, por tanto, está basado en un análisis de hecho más que
formal». (59) De ello deduce que «el responsable del tratamiento debe determinar qué datos deben procesarse para los fines previstos». (60)
Las disposiciones materiales de la Directiva, y más concretamente los
artículos 6, 7 y 8, se basan, a mi juicio, en la premisa de que el
responsable del tratamiento sabe lo que está haciendo en relación con
los datos personales de que se trata, en el sentido de que es consciente
de qué tipo de datos personales está tratando y por qué. En otras
palabras, el tratamiento de datos debe mostrársele como tratamiento de
datos personales, es decir, «información sobre una persona física
identificada o identificable», de un modo semánticamente relevante, y no
como un mero código informático. (61)
C. Un
proveedor de servicios de motor de búsqueda en Internet no es el
«responsable del tratamiento» de datos personales en páginas web fuente
de terceros
84. El
proveedor de servicios de motor de búsqueda en Internet que simplemente
proporciona una herramienta de localización de información no ejerce
ningún control sobre los datos personales incluidos en las páginas web
de terceros. El proveedor de servicios no es «consciente» de la
existencia de datos personales en un sentido distinto del hecho
estadístico de que las páginas web probablemente incluyen datos
personales. Al tratar las páginas web fuente a fines de rastreo,
análisis e indexado, los datos personales no se muestran como tales de
modo específico.
85. Por
este motivo, considero que el enfoque adoptado por el Grupo del
artículo 29 es adecuado, ya que busca trazar una distinción entre las
funciones totalmente pasivas y de intermediación de los motores de
búsqueda y las situaciones en las que su actividad representa un control
real sobre los datos personales tratados. (62) En aras de la exhaustividad, debe añadirse que la cuestión de si los datos personales se han hecho públicos (63) o de si han sido revelados legalmente en páginas web fuente de terceros carece de relevancia para aplicar la Directiva. (64)
86. El
proveedor de servicios de motor de búsqueda en Internet no tiene
relación con el contenido de páginas web fuente de terceros disponibles
en Internet en las que puedan aparecer datos personales. Más aún, ya que
el motor de búsqueda funciona sobre la base de copias de las páginas
web fuente que su función rastreadora ha encontrado y copiado, el
proveedor de servicios carece de medios para modificar la información en
los servidores de alojamiento. La puesta a disposición de una
herramienta de localización de información no implica control alguno
sobre el contenido. Tampoco permite al proveedor de servicios de motor
de búsqueda en Internet realizar distinciones entre datos personales en
el sentido de la Directiva, es decir, relacionados con una persona
física viva identificable, y otro tipo de datos.
87. Sobre
este punto me gustaría distanciarme del principio contenido en el
considerando 47 de la Directiva. Éste afirma que el responsable del
tratamiento de mensajes con datos personales transmitidos a través de un
servicio de telecomunicaciones o de correo electrónico cuyo único
objetivo sea transmitir mensajes de ese tipo, es la persona de quien procede el mensaje,
y no la que ofrece el servicio de transmisión. Este considerando, así
como las exenciones de responsabilidad establecidas en la Directiva
2000/31, sobre comercio electrónico (artículos 12, 13 y 14), se basa en
el principio jurídico según el cual las relaciones automáticas, técnicas
y pasivas con contenido almacenado o transmitido electrónicamente no
generan ni control de éste ni responsabilidad sobre él.
88. El
Grupo del artículo 29 ha puesto de manifiesto, en primer lugar y ante
todo, que la finalidad del concepto de responsable del tratamiento es
determinar quién debe ser responsable del cumplimiento de las normas de
protección de datos y asignar esta responsabilidad al lugar de la influencia de hecho. (65)
Según el Grupo del artículo 29, «el principio de proporcionalidad
requiere que, en la medida en que un proveedor de un motor de búsqueda
actúe exclusivamente como intermediario, no debe considerarse como
responsable principal del tratamiento de datos personales efectuado. En
este caso, los responsables principales del tratamiento de datos
personales son los proveedores de información». (66)
89. A
mi juicio, el proveedor de servicios de motor de búsqueda en Internet
no puede ni jurídicamente ni de hecho cumplir las obligaciones del
responsable del tratamiento establecidas en los artículos 6, 7 y 8 de la
Directiva en relación con los datos personales contenidos en páginas
web fuente alojadas en servidores de terceros. Por lo tanto, una
interpretación razonable de la Directiva requiere que no se considere
que el proveedor de servicios se encuentra con carácter general en esa
posición. (67)
90. La
opinión contraria entrañaría que los motores de búsqueda por Internet
son incompatibles con el Derecho de la Unión Europea, una conclusión que
a mi juicio es absurda. Más concretamente, si se considerara que los
proveedores de servicios de motor de búsqueda en Internet son
responsables del tratamiento de datos personales contenidos en páginas
web fuente de terceros, y si en alguna de estas páginas existiera alguna
de las «categorías especiales de datos» a las que se refiere el
artículo 8 de la Directiva (por ejemplo, datos personales que revelen
las opiniones políticas o las convicciones religiosas, o datos relativos
a la salud o a la sexualidad de las personas), la actividad del
proveedor de servicios de motor de búsqueda en Internet sería
automáticamente ilegal si no se cumplen los estrictos requisitos
establecidos en dicho artículo para el tratamiento de tales datos.
D. Circunstancias en las que el proveedor de servicios de motor de búsqueda en Internet es un «responsable del tratamiento»
91. Está
claro que los proveedores de servicios de motor de búsqueda en Internet
controlan el índice del motor de búsqueda que enlaza los términos clave
con las direcciones URL relevantes. El proveedor del servicio determina
cómo se estructura el índice y puede bloquear técnicamente algunos
resultados, por ejemplo no mostrando direcciones URL de determinados
países o dominios en los resultados de la búsqueda. (68)
Además, el proveedor de servicios de motor de búsqueda en Internet
controla su índice, en el sentido de que decide si los códigos de
exclusión (69) de la página web fuente han de cumplirse o no.
92. En
cambio, no puede considerarse que los contenidos de la memoria oculta
del motor de búsqueda en Internet estén bajo el control del proveedor
del servicio, porque la memoria oculta es el resultado de procesos
técnicamente complejos y automatizados que producen un reflejo de los
datos textuales de las páginas web rastreadas, salvo los datos excluidos
de la indexación y del archivo. Es interesante el que algunos Estados
miembros parezcan establecer excepciones horizontales especiales en
relación con la responsabilidad de los motores de búsqueda análogas a la
excepción dispuesta en la Directiva 2000/31, sobre el comercio
electrónico, en relación con proveedores de determinados servicios de la
sociedad de la información. (70)
93. Sin
embargo, por lo que respecta a los contenidos de la memoria oculta, la
decisión de no respetar los códigos de exclusión (71)
en una página web entraña en mi opinión la existencia de
responsabilidad, en el sentido de la Directiva, sobre tales datos
personales. Lo mismo se aplica a las situaciones en las que el proveedor
de servicios de motor de búsqueda en Internet no actualiza una página
web en su memoria oculta, a pesar de que el sitio en Internet así lo
solicite.
E. Las obligaciones del proveedor de servicios de motor de búsqueda en Internet como «responsable del tratamiento»
94. Resulta
obvio que si el proveedor de servicios de motor de búsqueda en Internet
puede considerarse «responsable del tratamiento», cuando así sea deberá
cumplir las obligaciones que establece la Directiva.
95. Por
lo que atañe a los criterios relacionados con la legitimación del
tratamiento de datos en el supuesto de que no exista consentimiento del
interesado [artículo 7, letra a), de la Directiva], parece obvio que la
prestación de servicios de motor de búsqueda en Internet persigue
intereses legítimos [artículo 7, letra f), de la Directiva],
concretamente i) facilitar a los usuarios de Internet el acceso a la
información; ii) conseguir que la información cargada en Internet se
difunda de modo más efectivo, y iii) poner en marcha diversos servicios
de la sociedad de la información proporcionados por el proveedor de
servicios de motor de búsqueda en Internet subsidiarios respecto al
motor de búsqueda, como la provisión de publicidad mediante palabras
clave. Estas tres finalidades están relacionadas con tres derechos
fundamentales protegidos por la Carta, concretamente la libertad de
información y la libertad de expresión (ambas recogidas en el artículo
11) y la libertad de empresa (artículo 16), respectivamente. Por
consiguiente, un proveedor de servicios de motor de búsqueda en Internet
persigue intereses legítimos, en el sentido del artículo 7, letra f),
de la Directiva, cuando trata datos disponibles en Internet, incluidos
datos personales.
96. Como
responsable del tratamiento, un proveedor de servicios de motor de
búsqueda en Internet debe cumplir los requisitos establecidos en el
artículo 6 de la Directiva. En particular, los datos personales deben
ser adecuados y relevantes, no ser excesivos en relación con los fines
para los que se recogen y estar actualizados, no obsoletos, en relación
con las finalidades para las que se recogen. Además, han de ponderarse
los intereses del «responsable del tratamiento», o de los terceros en
cuyo interés se lleva a cabo el tratamiento, y los de los interesados.
97. En
el litigio principal, la pretensión del interesado tiene por objeto que
se elimine del índice de Google la indexación de su nombre y apellidos
con las direcciones URL del periódico que muestran los datos personales
que desea que se cancelen. De hecho, los nombres de personas se usan
como términos de búsqueda, y se registran como términos clave en los
índices de los motores de búsqueda. Aun así, normalmente un nombre no
basta para identificar directamente a una persona física en
Internet, ya que, a escala mundial, existen varias personas, incluso
miles o millones de ellas, que comparten el mismo nombre o la
combinación de nombre (o nombres) y apellidos. (72)
Sin embargo, considero que en la mayoría de los casos la combinación de
nombre y apellidos como término de búsqueda permite una identificación indirecta de
una persona física, en el sentido del artículo 2, letra a), de la
Directiva, ya que el resultado de la búsqueda en un índice de un motor
de búsqueda revela un número de enlaces limitado que permite al usuario
de Internet distinguir entre personas que comparten el mismo nombre.
98.
Un índice de un motor de búsqueda vincula nombres y otros
identificadores usados como términos de búsqueda con uno o varios
enlaces a páginas web. En la medida en que el enlace es adecuado, en el
sentido de que los datos correspondientes al término de búsqueda
aparecen realmente o han aparecido en las páginas web enlazadas, a mi
juicio el índice cumple los criterios de adecuación, relevancia,
proporcionalidad, exactitud y completitud, establecidos en el artículo
6, letras c) y d), de la Directiva. En lo que respecta a los aspectos
temporales a los que se refiere el artículo 6, letras d) y e), de la
Directiva (los datos personales han de estar actualizados y no deben
almacenarse más tiempo del necesario), estas cuestiones también deben
examinarse desde el punto de vista del tratamiento de que se trata, es
decir, la provisión del servicio de localización de la información, y no
como una cuestión relacionada con el contenido de las páginas web
fuente. (73)
F. Conclusión sobre el segundo grupo de cuestiones
99. Sobre
la base de este razonamiento, considero que una autoridad nacional de
protección de datos no puede requerir a un proveedor de servicios de
motor de búsqueda en Internet que retire información de su índice, salvo
en los supuestos en que el proveedor de servicios no ha respetado los
códigos de exclusión (74)
o en los que no se ha dado cumplimiento a una solicitud emanada de la
página web relativa a la actualización de la memoria oculta. Este
supuesto no parece pertinente en relación con la presente petición de
decisión prejudicial. La existencia de un procedimiento de «detección y
retirada» (75)
que afecte a enlaces de las páginas web fuente con contenidos ilícitos o
inapropiados es una cuestión regulada por el Derecho nacional, la
responsabilidad civil basada en motivos distintos de la protección de
datos personales. (76)
100. Por
estos motivos, propongo al Tribunal de Justicia que responda al segundo
grupo de cuestiones en el sentido de que, con arreglo a las
circunstancias del auto de remisión, un proveedor de servicios de motor
de búsqueda en Internet «trata» datos personales, en el sentido del
artículo 2, letra b), de la Directiva. Sin embargo, no se puede
considerar al proveedor de servicios «responsable del tratamiento» de
tales datos personales, en el sentido del artículo 2, letra d), de la
Directiva, salvo que estemos ante la excepción antes explicada.
VII. Tercera cuestión, relativa al posible «derecho al olvido» del interesado
A. Observaciones previas
101. La
tercera cuestión prejudicial es relevante únicamente si el Tribunal de
Justicia rechaza la conclusión a la que he llegado más arriba, de que
Google no puede considerarse con carácter general «responsable del
tratamiento» con arreglo al artículo 2, letra d), de la Directiva, o
bien si el Tribunal de Justicia acepta mi postura de que existen casos
en los que podría estimarse que un proveedor de servicios de motor de
búsqueda en Internet como Google tiene tal condición. De no ser así, la
siguiente sección es redundante.
102. En
cualquier caso, mediante su tercera cuestión el tribunal remitente
desea saber si los derechos de cancelación y bloqueo de datos,
establecidos en el artículo 12, letra b), de la Directiva, y el derecho
de oposición, recogido en el artículo 14, letra a), de la Directiva,
extienden su ámbito de aplicación para permitir al interesado contactar
con los proveedores del servicio de motor de búsqueda en Internet para
evitar la indexación de la información que le afecta personalmente que
ha sido publicada en páginas web de terceros. Al hacer esto, un
interesado busca impedir que información potencialmente perjudicial sea
conocida por parte de los usuarios de Internet, o está expresando un
deseo de que esa información sea condenada al olvido, aun cuando la
información de que se trate haya sido publicada legalmente por terceros.
En otras palabras, el tribunal nacional desea saber, en esencia, si
puede fundarse un «derecho al olvido» en los artículos 12, letra b), y
14, letra a), de la Directiva. Ésta es la primera cuestión que debe
examinarse en el siguiente análisis, y se basará en el tenor y los
objetivos de estas disposiciones.
103. Si
llego a la conclusión de que los artículos 12, letra b), y 14,
letra a), de la Directiva, en sí mismos y por sí mismos, no conceden
esta protección, entonces pasaré a analizar si tal interpretación es
compatible con la Carta. (77)
Ello requerirá examinar el derecho a la protección de los datos
personales consagrado en el artículo 8, el derecho al respeto de la vida
privada y familiar, establecido en el artículo 7, las libertades de
expresión e información protegidas en el artículo 11 (ambas con respecto
a la libertad de expresión de los editores de páginas web y a la
libertad de los usuarios de Internet de recibir información), y la
libertad de empresa, recogida en el artículo 16. De hecho, los derechos
de los interesados dispuestos en los artículos 7 y 8 deberán
contraponerse a los derechos, protegidos por los artículos 11 y 16, de
aquellos que desean difundir los datos o acceder a ellos.
B. ¿Equivalen
los derechos de rectificación, supresión, bloqueo y oposición
establecidos en la Directiva a un «derecho al olvido» del interesado?
104. Los
derechos de rectificación, supresión y bloqueo de datos establecidos en
el artículo 12, letra b), de la Directiva se refieren a datos cuyo
tratamiento no cumple lo dispuesto en la Directiva, en particular debido al carácter incompleto o inexacto de los datos (el subrayado es mío).
105. El
auto de remisión reconoce que la información que aparece en las páginas
web de que se trata no puede considerarse incompleta o inexacta. Menos
aún se afirma que el índice de Google o los contenidos de su memoria
oculta que incluyen estos datos puedan describirse de este modo. Por
tanto, el derecho a rectificación, supresión o bloqueo, al que se
refiere el artículo 12, letra b), de la Directiva, sólo surgirá si el
tratamiento por parte de Google de datos personales procedentes de
terceros es incompatible con la Directiva por otros motivos.
106. El
artículo 14, letra a), de la Directiva obliga a los Estados miembros a
reconocer al interesado el derecho a oponerse, en cualquier momento y
por razones legítimas propias de su situación particular, a que los
datos que le conciernan sean objeto de tratamiento, salvo cuando la
legislación nacional disponga otra cosa. Ello es de aplicación en
particular a los casos contemplados en las letras e) y f) del artículo
7, esto es, cuando el tratamiento es necesario en relación con un
interés público o para la satisfacción del interés legítimo perseguido
por el responsable del tratamiento o por terceros. Además, en virtud del
artículo 14, letra a), en caso de oposición justificada, «el
tratamiento que efectúe el responsable» no podrá referirse ya a esos
datos.
107. En las
situaciones en las que se considera que los proveedores de servicios de
motor de búsqueda en Internet son responsables del tratamiento de datos
personales, el artículo 6, apartado 2, de la Directiva les obliga a
ponderar los intereses del responsable del tratamiento de los datos, o
de los terceros en cuyo interés se tratan los datos, con los del
interesado. Como observó el Tribunal de Justicia en la sentencia ASNEF y
FECEMD, a la hora de realizar la ponderación es relevante que los datos
controvertidos hayan aparecido ya o no en fuentes públicas. (78)
108. No
obstante, como han afirmado casi todas las partes que han presentado
observaciones escritas en el presente asunto, considero que la Directiva
no establece un derecho general al olvido, en el sentido de que un
interesado esté facultado para restringir o poner fin a la difusión de
datos personales que considera lesivos o contrarios a sus intereses. La
finalidad del tratamiento y los intereses a los que sirve, al compararse
con los del interesado, son los criterios que han de aplicarse cuando
se procesan datos sin el consentimiento del interesado, y no las
preferencias subjetivas de éste. Una preferencia subjetiva por sí sola
no equivale a una razón legítima, en el sentido del artículo 14,
letra a), de la Directiva.
109. Aunque
el Tribunal de Justicia declarase que los proveedores de servicios de
motor de búsqueda en Internet se responsabilizan, como responsables del
tratamiento, quod non, de los datos personales contenidos en las
páginas web fuente de terceros, un interesado tampoco tendría un
«derecho al olvido» absoluto que pudiera invocar frente a los
proveedores de servicios. Sin embargo, el proveedor de servicios
necesitaría ponerse en la posición del editor de la página web fuente y
comprobar si la difusión de los datos personales en la página web podría
considerarse legal y legítima a los efectos de la Directiva. Dicho de
otro modo, el proveedor de servicios necesitaría abandonar su función de
intermediario entre usuario y editor y asumir la responsabilidad por el
contenido de la página web fuente y, cuando resultase necesario,
censurar el contenido evitando o limitando el acceso a éste.
110. En
aras de la exhaustividad, resulta útil recordar que la propuesta de la
Comisión de Reglamento general de protección de datos establece en su
artículo 17 un derecho al olvido. No obstante, la propuesta parece
haberse enfrentado a una oposición considerable, y no pretende
representar la codificación del Derecho actual, sino una innovación
legal importante. Por tanto, no parece afectar a la respuesta que ha de
darse a la cuestión prejudicial. Dicho esto, es interesante que, con
arreglo al artículo 17, apartado 2, de la propuesta «cuando el
responsable del tratamiento […] haya hecho públicos los datos
personales, adoptará todas las medidas razonables […] en lo que respecta
a los datos de cuya publicación sea responsable, con miras a informar a
los terceros que estén tratando dichos datos de que un interesado les
solicita que supriman cualquier enlace a esos datos personales, o
cualquier copia o réplica de los mismos». Este texto parece considerar a
los proveedores de servicios de motor de búsqueda en Internet terceros,
más que responsables del tratamiento por derecho propio.
111. Por
consiguiente, llegó a la conclusión de que los artículos 12, letra b), y
14, letra a), de la Directiva no establecen un derecho al olvido. Ahora
pasaré a examinar si la interpretación de estas disposiciones es
conforme con la Carta.
C. Los derechos fundamentales controvertidos
112. El
artículo 8 de la Carta garantiza a toda persona el derecho a la
protección de sus datos personales. Estos datos se tratarán de modo
leal, para fines concretos y sobre la base del consentimiento de la
persona afectada o en virtud de otro fundamento legítimo previsto por la
ley. Toda persona tiene derecho a acceder a los datos recogidos que le
conciernan y a obtener su rectificación. El respeto de estas normas
quedará sujeto al control de una autoridad independiente.
113. En
mi opinión, este derecho fundamental, que es una reafirmación del
acervo de la Unión Europea y del Consejo de Europa en la materia, pone
énfasis en la importancia de la protección de datos personales, pero, en
tanto que tal, no añade ningún elemento nuevo significativo a la
interpretación de la Directiva.
114. A
tenor del artículo 7, de la Carta, toda persona tiene derecho al
respeto de su vida privada y familiar, de su domicilio y de sus
comunicaciones. Esta disposición, en esencia idéntica al artículo 8 del
Convenio Europeo para la Protección de los Derechos Humanos y de las
Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950 (en
lo sucesivo, «CEDH»), debe tenerse en cuenta al interpretar las
disposiciones relevantes de la Directiva, que obligan a los Estados
miembros a proteger, en particular, el derecho a la vida privada.
115. Deseo
recordar que, en el marco del CEDH, su artículo 8 también cubre las
cuestiones relativas a la protección de datos personales. Por este
motivo, y de conformidad con el artículo 52, apartado 3, de la Carta, la
jurisprudencia del Tribunal Europeo de Derechos Humanos relativa al
artículo 8 CEDH es relevante, tanto para la interpretación del artículo 7
de la Carta como para la aplicación de la Directiva de conformidad con
el artículo 8 de la Carta.
116. El
Tribunal Europeo de Derechos Humanos afirmó en la sentencia Niemietz
que las actividades profesionales y empresariales de una persona pueden
estar incluidas en el concepto de vida privada, tal como la protege el
artículo 8 CEDH. La misma orientación se ha seguido en posteriores
pronunciamientos de dicho Tribunal. (79)
117. A mayor abundamiento, el Tribunal de Justicia declaró en la sentencia Volker und Markus Schecke y Eifert (80)
que «el respeto del derecho a la vida privada en lo que respecta al
tratamiento de los datos de carácter personal, reconocido por los
artículos 7 y 8 de la Carta, se aplica a toda información [el
subrayado es mío] sobre una persona física identificada o identificable
[…], y […] que las limitaciones al derecho a la protección de los datos
de carácter personal que pueden establecerse legítimamente corresponden a
las toleradas en el contexto del artículo 8 del CEDH».
118. Sobre
la base de la sentencia Volker und Markus Schecke y Eifert, llego a la
conclusión de que la protección de la vida privada con arreglo a la
Carta, por lo que se refiere al tratamiento de datos personales, cubre
toda información relativa a una persona física, con independencia de si
actúa en la esfera meramente privada o como operador económico, o, por
ejemplo, como político. A la luz de los amplios conceptos de datos
personales y tratamiento en el Derecho de la Unión, parece desprenderse
de la jurisprudencia antes mencionada que cualquier acto de comunicación
basado en medios automáticos, como las telecomunicaciones, el email o
las redes sociales, relativo a una persona física constituye una
interferencia putativa tal de este derecho fundamental que requiere
justificarse. (81)
119. En
el punto 75 he llegado a la conclusión que un proveedor de servicios de
motor de búsqueda en Internet lleva a cabo un tratamiento de datos
personales mostrados en páginas web fuente de terceros. Por ello, se
desprende de la sentencia del Tribunal de Justicia en el asunto Volker
und Markus Schecke y Eifert que, con independencia de cómo se clasifica
su papel con arreglo a la Directiva, existe una interferencia con el
derecho, recogido en el artículo 7 de la Carta, a la vida privada de los
interesados de que se trate. De acuerdo con el CEDH y con la Carta,
toda interferencia en el ejercicio de los derechos reconocidos deberá
ser establecida por la ley y ser necesaria en una sociedad democrática.
En el presente asunto no estamos ante una interferencia de las
autoridades pública que necesite una justificación, sino ante la
cuestión de hasta qué punto debe tolerarse una interferencia de personas
de Derecho privado. Los límites están establecidos en la Directiva, y
por tanto, por la ley, como requiere el CEDH. Por ello, cuando se
interpreta la Directiva, la labor versa precisamente sobre la
interpretación de los límites fijados al tratamiento de datos por parte
de personas de Derecho privado a la luz de la Carta. De ello se deriva
la cuestión de si existe una obligación positiva de la Unión Europea y
de sus Estados miembros de aplicar un derecho al olvido frente a los
proveedores de servicios de motor de búsqueda en Internet, que son
personas de Derecho privado. (82)
Esto lleva a su vez plantearse si existe justificación de la
interferencia en los artículos 7 y 8 de la Carta y a examinar la
relación con los derechos concurrentes de libertad de expresión y de
información y con la libertad de empresa.
D. Derechos de libertad de expresión e información y libertad de empresa
120. El
presente asunto afecta, desde múltiples puntos de vista, a la libertad
de expresión e información consagrada en el artículo 11 de la Carta,
concordante con el artículo 10 CEDH. El artículo 11, apartado 1, de la
Carta establece que «toda persona tiene derecho a la libertad de
expresión. Este derecho comprende la libertad de opinión y la libertad
de recibir o comunicar informaciones o ideas sin que pueda haber
injerencia de autoridades públicas y sin consideración de fronteras.» (83)
121. El
derecho de los usuarios de Internet a buscar o recibir información
disponible en Internet está protegido por el artículo 11 de la Carta. (84)
Afecta tanto a la información contenida en las páginas web fuente
cuanto a la información proporcionada por los motores de búsqueda. Como
ya he mencionado, Internet ha revolucionado el acceso a todo tipo de
información y su difusión, y ha puesto en marcha nuevos medios de
comunicación y de interacción social entre particulares. A mi juicio, el
derecho fundamental a la información merece protección particular en
Derecho de la Unión Europea, particularmente a la luz de la tendencia
cada vez mayor de los regímenes autoritarios en todo el mundo a limitar
el acceso a Internet o a censurar el contenido disponible en él. (85)
122. Los
editores de páginas web disfrutan igualmente de protección con arreglo
al artículo 11 de la Carta. Poner contenidos a disposición del público
en Internet equivale, como tal, a la libertad de expresión, (86)
máxime cuando el editor ha enlazado su página a otras y no ha limitado
su indexación o archivo por parte de los motores de búsqueda, indicando
de este modo su deseo de que su contenido se difunda ampliamente. La
publicación en la web es un medio para que los particulares participen
en debates o difundan sus propios contenidos, o contenidos cargados por
otros, en Internet. (87)
123. En
particular, la presente petición de decisión prejudicial versa sobre
datos personales publicados en la hemeroteca de un periódico. En la
sentencia Times Newspapers Ltd v. Reino Unido (nº 1 y 2), el Tribunal
Europeo de Derechos Humanos observó que los archivos en Internet
realizan una contribución sustancial a la preservación y a la puesta a
disposición de noticias e información: «tales archivos constituyen una
fuente importante para la educación y la investigación histórica, en
especial cuando están disponibles al público y son gratuitos con
carácter general [...] Sin embargo, el margen de apreciación concedido a
los Estados para ponderar los derechos en liza es más probable que sea
mayor cuando se trata de archivos de noticas relativas a eventos
pasados, más que a noticias que cubren asuntos de actualidad. Más
concretamente, el deber de la prensa de actuar de acuerdo con los
principios de periodismo responsable al garantizar la exactitud [el
subrayado es mío] de la información histórica, antes que de la actual,
puede ser más estricto a falta de toda urgencia a la hora de publicar el
material». (88)
124. Los
proveedores de servicios de motor de búsqueda en Internet comerciales
ofrecen sus servicios de localización de información en el marco de
actividad empresarial que tiene por objeto obtener beneficios de la
publicidad a partir de palabras clave. Ello los convierte en empresas,
cuya libertad reconoce el artículo 16 de la Carta con arreglo al Derecho
de la Unión Europea y al Derecho nacional. (89)
125. Además,
debe recordarse que ninguno de los derechos controvertidos en el
presente asunto es absoluto. Pueden limitarse, siempre que exista una
justificación aceptable a la luz de los requisitos establecidos en el
artículo 52, apartado 1, de la Carta. (90)
E. ¿Puede derivarse un «derecho al olvido» de un interesado del artículo 7 de la Carta?
126. Por
último, es necesario considerar si la interpretación de los artículos
12, letra b), y 14, letra a), de la Directiva, realizada a la luz de la
Carta, y más concretamente de su artículo 7, puede llevar al
reconocimiento de un «derecho al olvido», en el sentido al que se
refiere el tribunal nacional. En principio, esta afirmación no sería
contraria al artículo 51, apartado 2, de la Carta, ya que afectaría a la
precisión del alcance del derecho de acceso y el derecho de oposición
del interesado ya reconocidos por la Directiva, no a la creación de
nuevos derechos o la ampliación del ámbito de aplicación del Derecho de
la Unión.
127. El Tribunal Europeo de Derechos Humanos sostuvo en el asunto Aleksey Ovchinnikov (91)
que «una restricción a la reproducción de información que ya se ha
hecho pública puede estar justificada en determinadas circunstancias,
por ejemplo para impedir que se difundan más los detalles de la vida
privada de un particular que no guardan relación con un debate político o
público sobre cuestiones de importancia general». Por tanto, en
principio, el derecho fundamental a la protección de la vida privada
puede invocarse aunque la información de que se trate se haya ya hecho
pública.
128. Sin
embargo, el derecho de un interesado a la protección de su vida privada
debe ponerse en equilibrio con otros derechos fundamentales,
especialmente la libertad de expresión y la libertad de información.
129. La
libertad de información del editor de un periódico protege su derecho a
volver a publicar en formato digital en Internet su edición impresa. En
mi opinión, las autoridades, incluidas las de protección de datos, no
pueden censurar esta nueva publicación. La sentencia Times Newspapers
Ltd v. Reino Unido (nº 1 y 2) del Tribunal Europeo de Derechos Humanos (92) demuestra que la responsabilidad del editor por lo que respecta a la exactitud de las publicaciones históricas puede ser más amplia que la de las noticias actuales, y puede requerir el uso de reservas apropiadas que complementen
el contenido controvertido. Sin embargo, en mi opinión no cabría
justificación al hecho de exigir que la nueva publicación digital de un
número de un periódico tenga un contenido distinto del publicado
originalmente. Ello equivaldría a falsificar la historia.
130. El
problema de protección de datos que constituye el núcleo del presente
asunto sólo surge si un usuario de Internet introduce el nombre y
apellidos del interesado en el motor de búsqueda. En tal situación, el
usuario de Internet está haciendo uso activo de su derecho a recibir información relativa al interesado desde fuentes públicas por motivos que sólo él conoce. (93)
131. En
la sociedad de la información actual, el derecho a la búsqueda de
información publicada en Internet mediante motores de búsqueda es una de
las formas más importantes de ejercitar este derecho fundamental. Este
derecho cubre sin lugar a dudas el derecho a buscar información
relacionada con otras personas que está, en principio, protegida por el
derecho a la vida privada, como la información disponible en Internet
sobre las actividades de un particular en su condición de empresario o
político. El derecho a la información de un usuario de Internet se vería
comprometido si su búsqueda de información relativa a una persona
física no generara resultados que ofrezcan un reflejo veraz de las
páginas web relevantes, sino una versión «bowdlerizada» (94) de las mismas.
132. Un
proveedor de servicios de motor de búsqueda en Internet ejerce
legalmente tanto su libertad de empresa como su libertad de expresión
cuando pone a disposición del público herramientas de localización de
información en Internet basadas en un motor de búsqueda.
133. La
pléyade particularmente compleja y difícil de derechos fundamentales
que presenta el caso de autos impide que deba justificarse el refuerzo
de la situación jurídica de los interesados con arreglo a la Directiva, e
imbuirla del derecho al olvido. Ello entrañaría sacrificar derechos
básicos, como la libertad de expresión e información. También
desaconsejaría al Tribunal de Justicia que declarara que estos intereses
en conflicto pueden equilibrarse de modo satisfactorio en cada
situación concreta sobre una base casuística, dejando la decisión en
manos del proveedor de servicios de motor de búsqueda en Internet. Es
posible que tales «procedimientos de detección y retirada», si los exige
el Tribunal de Justicia, conduzcan a una retirada automática de enlaces
a todo contenido controvertido o a un número de solicitudes inmanejable
formuladas por los proveedores de servicios de motor de búsqueda en
Internet más populares y más importantes. (95)
En este marco, es preciso recordar que los «procedimientos de detección
y retirada» recogidos en la Directiva 2000/31, sobre el comercio
electrónico, están relacionados con los contenidos ilegales, pero en el
marco del presente asunto nos enfrentamos a una solicitud de eliminación
de información legítima y legal que se ha hecho pública.
134. Más
concretamente, los proveedores de servicios de motor de búsqueda en
Internet no deben verse frenados por tal obligación. Ello traería
consigo una interferencia en la libertad de expresión del editor de la
página web, que no disfrutaría de una protección legal adecuada en tal
situación, dado que cualquier «procedimiento de detección y retirada»
que no esté regulado es una cuestión privada entre el interesado y el
proveedor de servicios de motor de búsqueda. (96) Equivaldría a una censura del contenido publicado realizada por un tercero. (97)
Constituye una cuestión completamente distinta el que los Estados
tengan obligaciones positivas de establecer un recurso adecuado contra
el editor que vulnera el derecho a la vida privada, lo que en el marco
de Internet afectaría al editor de la página web.
135. Como
ha observado el Grupo del artículo 29, es posible que la
responsabilidad secundaria de los proveedores de servicio de motor de
búsqueda con arreglo al Derecho nacional implique la existencia de
deberes que exijan bloquear el acceso a páginas web de terceros con
contenidos ilegales, como las páginas web que vulneran derechos de
propiedad intelectual, o que muestran información injuriosa o
delictiva. (98)
136. Por
el contrario, no puede invocarse frente a ellos ningún derecho
generalizado al olvido sobre la base de la Directiva, aun cuando se
interprete de acuerdo con la Carta.
137. Por
estos motivos, propongo al Tribunal de Justicia que responda a la
tercera cuestión en el sentido de que los derechos de supresión y
cancelación de datos, establecidos en el artículo 12, letra b), y el
derecho de oposición, recogido en el artículo 14, letra a), de la
Directiva no se extienden a un derecho al olvido como el descrito en el
auto de remisión.
VIII. Conclusión
138. A
la luz de las observaciones precedentes, propongo al Tribunal de
Justicia que responda del siguiente modo a las cuestiones prejudiciales
planteadas por la Audiencia Nacional:
«1) Se
lleva a cabo tratamiento de datos personales en el marco de las
actividades de un «establecimiento» del responsable del tratamiento, en
el sentido del artículo 4, apartado 1, letra a), de la Directiva
95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,
relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos,
cuando la empresa que provee el motor de búsqueda establece en un
Estado miembro, con el fin de promover y vender espacios publicitarios
en su motor de búsqueda, una oficina o una filial que orienta su
actividad hacia los habitantes de dicho Estado.
2) Un
proveedor de servicios de motor de búsqueda en Internet cuyo motor de
búsqueda localiza información publicada o incluida en Internet por
terceros, la indexa automáticamente, la almacena con carácter temporal
y, por último, la pone a disposición de los usuarios de Internet,
«trata» datos personales, en el sentido del artículo 2, letra b), de la
Directiva 95/46 cuando esta información contiene datos personales.
Sin
embargo, no se puede considerar al proveedor de servicios «responsable
del tratamiento» de tales datos personales, en el sentido del artículo
2, letra d), de la Directiva 95/46, a excepción de los contenidos del
índice de su motor de búsqueda, siempre que el proveedor del servicio no
indexe o archive datos personales en contra de las instrucciones o las
peticiones del editor de la página web.
3) Los
derechos de cancelación y bloqueo de datos, establecidos en el artículo
12, letra b), y el derecho de oposición, establecido en el artículo 14,
letra a), de la Directiva 95/46, no confieren al interesado el derecho a
dirigirse a un proveedor de servicios de motor de búsqueda para impedir
que se indexe información que le afecta personalmente, publicada
legalmente en páginas web de terceros, invocando su deseo de que los
usuarios de Internet no conozcan tal información si considera que le es
perjudicial o desea que se condene al olvido.»
1 – Lengua original: inglés.
2 – Harvard Law Review, vol. IV, nº 5, 15 de diciembre de 1890.
3 – De
hecho, «Internet» incluye dos servicios principales, es decir, el World
Wide Web y el servicio de correo electrónico. Mientras que Internet,
como red de ordenadores interconectados, ya venía existiendo en
distintas formas durante algún tiempo, comenzando por Arpanet (Estados
Unidos), la red abierta de libre acceso mediante direcciones www y una
estructura de código común sólo comenzó a inicios de los años noventa.
Parece ser que el término históricamente correcto sería World Wide Web.
Sin embargo, dado el uso común y las elecciones en materia de
terminología de la jurisprudencia del Tribunal de Justicia, en el resto
del texto el término «Internet» se empleará principalmente para
referirse a la parte World Wide Web de la red.
4 –
La localización de las páginas se identifica con una dirección
individual, la «URL» Uniform Resource Locator), sistema creado en 1994.
Puede accederse a una página web tecleando su URL en el navegador,
directamente o mediante la ayuda de un nombre de dominio. Las páginas
web deben codificarse mediante algún lenguaje de marcado. HyperText
Markup Language (HTML) es el principal lenguaje de marcado para crear
páginas web y otra información que puede mostrarse en un navegador.
5 – Ilustra
el ámbito respectivo de estas situaciones la siguiente información
(aunque no existen cifras exactas disponibles). En primer lugar, se
calcula que pueden existir más de 600 millones de sitios de Internet. En
ellos parece haber más de 40.000 millones de páginas web. En segundo
lugar, en relación con los motores de búsqueda, su número es mucho más
limitado: a lo que parece, existen menos de 100 motores de búsqueda
importantes, y actualmente Google parece tener una enorme cuota en
muchos mercados. Se dice que el éxito del motor de búsqueda de Google
radica en sus muy potentes rastreadores, sus eficientes sistemas de
indexación y en una tecnología que permite que los resultados de
búsqueda se ordenen de acuerdo con la relevancia que tienen para el
usuario (incluido el algoritmo patentado PageRank). Véase López
Tarruella, A. «Introduction: Google Pushing the Boundaries of Law», en Google and the Law. Empirical Approaches to Legal Aspects of Knowledge Economy Business Models, Ed. Lopez Tarruella, A., T.M.C. Asser Press, The Hague, 2012, pp. 1 a 8, especialmente p. 2. En tercer lugar,
más de tres cuartas partes de la población europea hace uso de Internet
y, en la medida en que utilizan los motores de búsqueda, sus datos
personales, como usuarios de los motores de búsqueda en Internet, pueden
ser recopilados y procesados por el motor de búsqueda en Internet
que usen.
6
– Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de
1995, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de
estos datos (DO L 281, p. 31).
7 –
Véase, con carácter general, el dictamen 1/2008, sobre cuestiones de
protección de datos relacionadas con motores de búsqueda (WP 148), del
Grupo del artículo 29. La política de privacidad de Google, por lo que
se refiere a los usuarios de su motor de búsqueda en Internet, está
siendo objeto de examen por parte de las autoridades de protección de
datos de los Estados miembros. A la cabeza se halla la autoridad
francesa de protección de datos, la CNIL. Acerca de la evolución
reciente de esta cuestión, véase el escrito de 16 de octubre de 2012 del
Grupo del artículo 29 a Google, disponible en la página web mencionada
en la nota 22 infra.
8 – Véase el punto 19 de las presentes conclusiones.
9
– En lo sucesivo, por «motor de búsqueda en Internet» se entiende la
combinación de software y equipamiento que permite la búsqueda de texto y
de contenido audiovisual en Internet. Las cuestiones específicas
relativas a los motores de búsqueda que operan en un dominio en Internet
(o página web) determinado, como http://curia.europa.eu, no son objeto
de las presentes conclusiones. Por «proveedor de servicios de motor de
búsqueda en Internet» se entiende el operador económico que da acceso a
un motor de búsqueda. En el presente asunto, Google Inc. parece ser el
proveedor del servicio de acceso al motor de búsqueda de Google y a
muchas funciones adicionales de búsqueda, como maps.google.com y
news.google.com.
10 – Sentencia de 6 de noviembre de 2003 (C‑101/01, Rec. p. I‑12971).
11 – Sentencia de 20 de mayo de 2003 (C‑465/00, C‑138/01 y C‑139/01, Rec. p. I‑4989).
12 – Auto de 12 de septiembre de 2007 (C‑73/07, Rec. p. I‑7075).
13 – Sentencia de 9 de noviembre de 2010 (C‑92/09 y C‑93/09, Rec. p. I‑11063).
14 –
Sentencias de 23 de marzo de 2010 (asuntos acumulados C‑236/08 a
C‑238/08, Rec. p. I‑2417); de 8 de julio de 2010, C‑558/08, Rec.
p. I‑6963); de 12 de julio de 2011 (C‑324/09, aún no publicada en la
Recopilación); de 22 de septiembre de 2011 (C‑323/09, aún no publicada
en la Recopilación), y de 19 de abril de 2012 (C‑523/10, aún no
publicada en la Recopilación).
15
– Propuesta de Reglamento del Parlamento Europeo y del Consejo
relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos
(Reglamento general de protección de datos), COM(2012) 11 final.
16 – BOE nº 298, de 14 de diciembre de 1999, p. 43088.
17
– En virtud de su undécimo considerando, «los principios de la
protección de los derechos y libertades de las personas y, en
particular, del respeto de la intimidad, contenidos en la presente
Directiva, precisan y amplían los del Convenio de 28 de enero de 1981
del Consejo de Europa para la protección de las personas en lo que
respecta al tratamiento automatizado de los datos personales».
18– Dictamen
1/2010 del Grupo del artículo 29, sobre los conceptos de «responsable
del tratamiento» y «encargado del tratamiento» (WP 169), pp. 3 y 4.
19 –
Véase, por ejemplo, la sentencia de 25 de octubre de 2011, eDate
Advertising y Martinez (C‑509/09 y C‑161/10 Aún no publicada en la
Recopilación), apartado 45.
20
– Un periódico incluye normalmente datos personales, como nombres de
personas físicas. Estos datos personales son objeto de tratamiento
cuando se consultan mediante medios automáticos. Este tratamiento está
incluido en el ámbito de aplicación de la Directiva a menos que se lleve
a cabo por una persona física en el ejercicio de actividades
exclusivamente personales o domésticas. Véanse los artículos 2,
letras a), y b), y 3, apartado 2, de la Directiva. Además, la lectura de
un documento o la presentación de imágenes que incluyen datos
personales también equivale a su tratamiento. Véase Dammann, U. y
Simitis, S.: EG‑Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden–Baden, 1997, p. 110.
21
– Véase la sentencia Lindqvist, antes citada, apartados 67 a 70, por lo
que se refiere a la interpretación del artículo 25 de la Directiva.
22 – Los dictámenes están disponibles en la siguiente dirección: http://ec.europa.eu/justice/data-protection/index_en.htm.
23 –
Los motores de búsqueda en Internet evolucionan constantemente y la
finalidad de estas conclusiones es únicamente proporcionar una visión
general de las características más notables que sean relevantes a los
efectos de las presentes conclusiones.
24
– Directiva del Parlamento Europeo y del Consejo, de 8 de junio de
2000, relativa a determinados aspectos jurídicos de los servicios de la
sociedad de la información, en particular el comercio electrónico en el
mercado interior (Directiva sobre el comercio electrónico) (DO L 178,
p. 1).
25
– Véanse el considerando 18 y el artículo 2, letra a), en relación con
el artículo 1, apartado 2, de la Directiva 98/34/CE, por la que se
establece un procedimiento de información en materia de las normas y
reglamentaciones técnicas (DO L 204, p. 37), en su versión modificada
por la Directiva 98/48/CE del Parlamento Europeo y del Consejo, de 20 de
julio de 1998 (DO L 217, p. 18).
26 – Sentencia Lindqvist, antes citada, apartados 25 a 27.
27 –
Un código típico de exclusión (o protocolo de la exclusión de robots)
se llama «robots.txt»; véase http://es.wikipedia.org/wiki/Robots.txt o
http://www.robotstxt.org/ (en inglés).
28
– Sin embargo, los códigos de exclusión no impiden técnicamente la
indexación o la presentación, sino que el proveedor del servicio que
gestiona un motor de búsqueda puede decidir ignorarlos. Los proveedores
de servicios de motor de búsqueda en Internet más importantes, Google
incluido, alegan que respetan tales códigos incluidos en la página web
fuente. Véase el dictamen 1/2008 del Grupo del artículo 29, p. 14.
29 –
Véase la sentencia del Tribunal Europeo de Derechos Humanos K.U. v
Finlandia, nº 2872/02, ECHR 2008), § 43 y 48, en la que dicho Tribunal
se refirió a la existencia de obligaciones positivas inherentes al
respeto efectivo de la vida privada o familiar. Estas obligaciones
pueden entrañar la adopción de medidas encaminadas a garantizar el
respeto de la vida privada aun en la esfera de las relaciones entre
particulares. En la sentencia K.U. v Finlandia se declaró que el Estado
tenía una obligación positiva de garantizar la existencia de un recurso
efectivo contra el editor.
30
– Sin embargo, Internet no es un único, inmenso, banco de datos creado
por el «Gran Hermano», sino un sistema descentralizado de información
generada por un sinfín de fuentes independientes en el que la
accesibilidad y la difusión de la información se basan en servicios
intermedios que, a este respecto, no tienen nada que ver con los
contenidos.
31 – Véanse,
sobre este particular, mis conclusiones presentadas en el asunto que
dio lugar a la sentencia L’Oréal y otros, antes citada, puntos 54 y ss.
32 – Ello corresponde con la tercera situación mencionada en el punto 3 de las presentes conclusiones.
33
– Como ejemplos de un sistema de publicidad a partir de palabras clave
(AdWords de Google), véanse las sentencias Google Francia y Google,
antes citada, apartados 22 y 23; de 25 de marzo de 2010, BergSpechte
(C‑278/08, Rec. p. I‑2517), apartados 5 a 7; de 8 de julio de 2010,
Portakabin, antes citada, apartados 8 a 10, e Interflora British Unit,
antes citada, apartados 9 a 13).
34 – Sentencias
del Tribunal de Justicia de 5 de octubre de 2010, McB. (C‑400/10 PPU,
Rec. p. I‑8965), apartados 51 y 59; de 15 de noviembre de 2011, Dereci y
otros, (C-256/11, aún no publicada en la Recopilación), apartados 71 y
72; de 8 de noviembre de 2012, Iida (C‑40/11, aún no publicada en la
Recopilación), apartado 78, y de 26 de febrero de 2013, Åkerberg
Fransson (C‑617/10, Rec. aún no publicada en la Recopilación),
apartado 23.
35 – Por
ejemplo, en la sentencia McB., antes citada, el Tribunal de Justicia
rechazó una interpretación, solicitada sobre la base del artículo 7 de
la Carta, del término «derechos de custodia», contenido en el artículo
2, número 9, del Reglamento (CE) nº 2201/2003 del Consejo, de 27 de
noviembre de 2003, relativo a la competencia, el reconocimiento y la
ejecución de resoluciones judiciales en materia matrimonial y de
responsabilidad parental, por el que se deroga el Reglamento (CE)
nº 1347/2000 (DO L 338, p. 1) que habría ampliado su contenido. Dicho
esto, es obvio que, si es imposible interpretar una disposición del
Derecho de la Unión con arreglo a los derechos fundamentales protegidos
por dicho Derecho, debe declararse la nulidad de la disposición. Véase
la sentencia de 1 de marzo de 2011 Association belge des Consommateurs
Test‑Achats y otros (C‑236/09, Rec. p. I‑773), apartados 30 a 34.
36 – Dictamen 8/2010, sobre el Derecho aplicable, del Grupo del artículo 29 (WP 179), p. 8.
37 – Dictamen 8/2010 del Grupo del artículo 29, pp. 24 y 31.
38 – Véase el artículo 3, apartado 2, letra a), de la Propuesta de la Comisión.
39 – Sentencia L’Oréal y otros, antes citada, y Directiva 2000/31, sobre el comercio electrónico.
40
– Reglamento del Consejo, de 22 de diciembre de 2000, relativo a la
competencia judicial, el reconocimiento y la ejecución de resoluciones
judiciales en materia civil y mercantil (DO 2001 L 12, p. 1). Véanse las
sentencias de 7 de diciembre de 2010, Pammer y Hotel Alpenhof (C‑585/08
y C‑144/09, Rec. p. I‑12527) y Wintersteiger, antes citada. Véase
también mis conclusiones presentadas en el asunto Pinckney, pendiente
ante el Tribunal de Justicia.
41
– Directiva del Parlamento Europeo y del Consejo, de 22 de mayo de
2001, relativa a la armonización de determinados aspectos de los
derechos de autor y derechos afines a los derechos de autor en la
sociedad de la información (DO L 167, p. 10), y sentencia de 21 de junio
de 2012, Donner (C‑5/11, aún no publicada en la Recopilación).
42 –
La resolución de remisión no especifica qué significa «centro de
gravedad», pero esta expresión fue empleada por el Abogado General Cruz
Villalón en sus conclusiones en el asunto que dio lugar a la sentencia
eDate Advertising y Martinez, antes citada, puntos 32 y 55.
43
– Dictamen 8/2010 del Grupo del artículo 29, pp. 8 y 9. El Grupo
también pone de manifiesto que el término «equipment» usado en la
versión en lengua inglesa de la Directiva es demasiado restrictivo, ya
que las otras versiones lingüísticas hablan de «medios», que incluye
dispositivos inmateriales, como las cookies (véase pp. 20 y 21).
44
– Véase, en particular, el dictamen 8/2010 del Grupo del artículo 29,
antes citado, p. 19, en donde se afirma que el artículo 4, apartado 1,
letra c), de la Directiva debería aplicarse, a pesar de su tenor, cuando
el responsable del tratamiento tiene establecimientos en la Unión
Europea pero sus actividades no guardan relación con el tratamiento de
datos personales concreto.
45 – Véase la sentencia Google France y Google, antes citada, apartado 23.
46
– Véanse la sentencia Google France y Google, antes citada, apartado
25, y el dictamen 1/2008 del Grupo del artículo 29, pp. 5 y 6. Resulta
sencillo comprobar que el uso de las mismas palabras clave en los
diferentes dominios nacionales de Google puede suponer que se muestren
distintos resultados y anuncios.
47 – Dictamen 1/2008 del Grupo del artículo 29, antes citado, p. 10.
48 –
Véase el artículo 2, letra a), de la Directiva, con arreglo al cual
datos personales significa «toda información sobre una persona física
identificada o identificable». El Grupo del artículo 29, en su dictamen
4/2007, sobre el concepto de datos personales (WP 136), ofrece una
amplia lista de ejemplos. El Tribunal de Justicia confirmó esta
interpretación extensiva en la sentencia Lindqvist, antes citada,
apartados 24 a 27. Véanse también la sentencia Österreichischer Rundfunk
y otros, antes citada, apartado 64; el auto Satakunnan Markkinapörssi y
Satamedia, antes citado, apartados 35 a 37; las sentencias de 16 de
diciembre de 2008, Huber, (C‑524/06, Rec. p. I‑9705), apartado 43; de 7
de mayo de 2009, Rijkeboer (C‑553/07, Rec. p. I‑3889), apartado 62; de
19 de abril de 2012, Bonnier Audio y otros (C‑461/10, aún no publicada
en la Recopilación), apartado 93, y Volker und Markus Schecke y Eifert,
antes citada, apartados 23, 55 y 56.
49
– El Grupo del artículo 29 recuerda que «para que la información sea
considerada como datos personales no es necesario que esté recogida en
una base de datos o en un fichero estructurado. También la información
contenida en un texto libre en un documento electrónico puede
calificarse como datos personales […]». Véase el dictamen 4/2007, p. 8.
50
– Existen motores de búsqueda o aplicaciones de los motores de búsqueda
que están especialmente dirigidos a datos personales, que, como tales,
pueden identificarse por su formato (como los números de afiliación a la
seguridad social) o su composición (cadenas de signos que se
corresponden con nombres y apellidos). Véase el dictamen 1/2008 del
Grupo del artículo 29, p 14. Tales motores de búsqueda pueden generar
problemas específicos de protección de datos que no forman parte del
objeto de las presentes conclusiones.
51
– Sin embargo, las llamadas páginas huérfanas, sin ningún enlace a
otras páginas web, son inaccesibles para el motor de búsqueda.
52
– Las páginas web halladas por el rastreador se almacenan en la base de
datos del índice de Google, que está organizado alfabéticamente por
términos de búsqueda, y cada entrada del índice almacena una lista de
documentos en los que aparece el término y su localización en el texto.
Algunas palabras, como artículos, pronombres y adverbios comunes, o
determinadas cifras y letras aisladas no se indexan. Véase
http://www.googleguide.com/google_works.html.
53
– Estas copias (las llamadas «instantáneas») de las páginas web
almacenadas en la memoria oculta de Google consisten únicamente de un
código html, y no de imágenes, que deben cargarse desde su localización
original. Véase Peguera, M.: «Copyright Issues Regarding Google Images
and Google Cache», en Google and the Law, antes citada, pp. 169 a 202, especialmente p. 174.
54
– Los proveedores de servicios de motor de búsqueda en Internet
permiten normalmente a los webmasters solicitar que se actualice la
copia de la página web en la memoria oculta. Las instrucciones para ello
pueden hallarse en la página Herramientas para webmasters de Google.
55 –
Parece ser que versiones lingüísticas de la Directiva distintas de la
inglesa, como la francesa, la alemana, la española, la sueca y la
neerlandesa hablan de «responsable del tratamiento», no de controlador.
Algunas versiones lingüísticas, como la finesa y la polaca, emplean
términos más neutrales («rekisterinpitäjä», en finés; «administrator
danych», en polaco).
56 – Sentencia antes citada, apartado 68.
57– Dictamen
1/2008 del Grupo del artículo 29, p. 14, nota 17. Con arreglo al
dictamen, el papel de los usuarios del motor de búsqueda no estará
regulado por la Directiva sobre protección de datos, puesto que se trata
de «actividades exclusivamente personales». En mi opinión, no puede
sostenerse esta afirmación. Normalmente, los usuarios de Internet
también usan los motores de búsqueda para realizar actividades que no
son exclusivamente personales, como el uso por motivos de trabajo,
estudios, actividad empresarial empresa o actividad del tercer sector.
58
– En su dictamen 4/2007, antes citado, el Grupo del artículo 29 ofrece
numerosos ejemplos en relación con el concepto de tratamiento de datos
personales, incluido el de responsable del tratamiento, y me parece que
en todos los ejemplos ofrecidos se cumple este requisito.
59 – Dictamen 1/2010 del Grupo del artículo 29, p. 9.
60 – Op.cit., p. 14.
61 – Dammann y Simitis (op. cit., p. 120) observan que el tratamiento mediante medios automáticos no sólo afecta al soporte en el que se registran los datos (Datenträger),
sino que además está relacionado con los datos en su dimensión
semántica o material. En mi opinión, es crucial que los datos personales
sean, de acuerdo con la Directiva, «información», es decir, contenido
semáticamente relevante.
62 – Dictamen 1/2008 del Grupo del artículo 29, p. 14.
63 – Sentencia Lindqvist, antes citada, apartado 27.
64 – Auto Satakunnan Markkinapörssi y Satamedia, antes citado, apartado 37.
65 – Dictamen 1/2010 del Grupo del artículo 29, pp. 4 y 9.
66 – Dictamen 1/2008 del Grupo del artículo 29, p. 14.
67 –
El dictamen 1/2008 del Grupo del artículo 29, p. 14, añade, no
obstante, que la medida en la que tiene una obligación de retirar o
bloquear datos personales puede depender de la legislación en materia de
responsabilidad civil y de las normas en materia de responsabilidad del
Estado miembro en cuestión. En algunos Estados miembros, para evitar
ser responsable civil se exige que el motor de búsqueda en Internet siga
unos procedimientos de «detección y retirada».
68 – Según
un autor, Google realiza este filtrado en casi todos los países, por
ejemplo en relación con las infracciones de los derechos de propiedad
intelectual. Además, en Estados Unidos se ha filtrado información
crítica en relación con la Cienciología. En Francia y Alemania, Google
filtra resultados relativos a «objetos vinculados al nazismo,
negacionistas, supremacistas blancos y sitios que difunden ideas
contrarias al orden constitucional democrático». Pueden verse más
ejemplos en Friedmann, D.: «Paradoxes, Google and China: How Censorship
can Harm and Intellectual Property can Harness Innovation», en Google and the Law, antes citado, pp. 303 a 327, especialmente p. 307.
69 – Véase el punto 41 de las presentes conclusiones.
70
– Primer informe sobre la aplicación de la [Directiva sobre el comercio
electrónico], COM(2003) 702 final, p. 13, nota 69, y dictamen 1/2008
del Grupo del artículo 29, p. 13, nota 16.
71 – Véase el punto 41 de las presentes conclusiones.
72
– La capacidad de un nombre propio de identificar a una persona física
depende del contexto. Un nombre de uso común puede no identificar a una
persona en Internet, pero sí, seguramente, por ejemplo, en una clase.
Durante el tratamiento informático de datos personales se asigna a cada
persona normalmente un identificador único para evitar la confusión
entre dos personas. Un ejemplo típico de estos identificadores son los
números de afiliación a la Seguridad Social. Sobre este particular,
véase el dictamen 4/2007 del Grupo del artículo 29, p. 13 y el dictamen
1/2008, p. 9 nota 11.
73 – No
obstante, es interesante señalar que, en el marco de los datos
almacenados por agencias gubernamentales, el Tribunal Europeo de
Derechos Humanos ha declarado que «el Derecho nacional debe garantizar,
en particular, que estos datos son relevantes y no son excesivos en
relación con el objetivo por el cual se almacenan, y que se conservan de
un modo que permite la identificación de los interesados por un lapso
de tiempo que no supere el requerido para alcanzar el objetivo por razón
del cual se almacenan» (S. y Marper v. Reino Unido, nos 30562/04
y 30566/04, §103, ECHR 2008; Segerstedt Wiberg y otros v. Suecia,
nº 62332/00, § 90, ECHR 2006 VII). Sin embargo, el Tribunal Europeo de
Derechos Humanos ha reconocido también, en el marco del artículo
10 CEDH, sobre el derecho a la libertad de expresión, «la contribución
sustancial realizada por los archivos en Internet a la preservación y la
puesta a disposición de noticias e información» (Times Newspapers Ltd
v. Reino Unido (nos 1 y 2), nos 3002/03, 23676/03, 3002/03 y 23676/03, § 4, ECHR 2009).
74 – Véase el punto 41 de las presentes conclusiones.
75 – Véase el artículo 14 de la Directiva sobre comercio electrónico.
76– Dictamen 1/2008 del Grupo del artículo 29, p. 14.
77 – Éste fue el enfoque aplicado por el Tribunal de Justicia en la sentencia McB., antes citada, apartados 44 y 49.
78 –
Sentencia de 24 de noviembre de 2011 (C‑468/10 y C‑469/10, aún no
publicada en la Recopilación), apartados 44 y 45. El Tribunal Europeo de
Derechos Humanos ha señalado que la publicación de datos personales
establece un límite al interés superior relativo a la protección de la
confidencialidad: Ovchinnikov v. Rusia, § 49, nº 24061/04, 16 de
diciembre de 2010.
79 –
Tribunal Europeo de Derechos Humanos, Niemietz v. Alemania,
nº 13710/88, 16 de diciembre de 1992, § 29, Serie A nº 251 B; Amann v.
Suiza, nº 27798/95, § 65, ECHR 2000‑II, y Rotaru v. Rumanía,
nº 28341/95, § 43,ECHR 2000 V.
80 – Antes citada, apartado 52.
81 –
En cambio, el Tribunal Europeo de Derechos Humanos ha declinado
proporcionar una definición de vida privada en términos positivos. De
acuerdo con dicho Tribunal, el concepto de vida privada es amplio y no
puede definirse de manera exhaustiva (véase Costello‑Roberts v. Reino
Unido, nº 13134/87, 25 de marzo de 1993, § 36, Serie A nº 247‑C).
82 –
Sobre las obligaciones positivas del Estado en aras de proteger la
privacidad, cuando se ve amenazada por particulares, y la necesidad de
ponderar estas obligaciones con el derecho a la libertad de expresión de
éste, véase, por ejemplo, Von Hannover v. Alemania, nº 59320/00, ECHR
2004–VI y Ageyevy v. Rusia, nº 7075/10, 18 de abril de 2013.
83 –
Tribunal Europeo de Derechos Humanos, Handyside, 7 de diciembre de
1976, § 49, Serie A nº 24; Müller y otros, 24 de mayo de 1988, § 33,
Serie A nº 133; Vogt v. Alemania, 26 de septiembre de 1995, § 52, Serie A
nº 323, y Guja v. Moldavia, nº 14277/04, § 69, ECHR 2008. Véanse
también la sentencia del Tribunal de Justicia de 6 de marzo de 2001,
Connolly/Comisión (C‑274/99 P, Rec. p. I‑1611), apartado 39, y las
conclusiones de la Abogado General Kokott presentadas en el asunto que
dio lugar al auto Satakunnan Markkinapörssi y Satamedia antes citado,
punto 38.
84 – Sentencia del Tribunal de Justicia de 16 de febrero de 2010, SABAM (C‑360/10, aún no publicada en la Recopilación), apartado 48.
85 –
Naciones Unidas, Informe del Relator Especial sobre el derecho a la
libertad de opinión y de expresión, Frank La Rue (documento
A/HRC/17/27), de 16 de mayo de 2011.
86 – Auto Satakunnan Markkinapörssi y Satamedia antes citado, apartado 60.
87 – Debe
recordarse aquí que la excepción relativa al periodismo contenida en el
artículo 9 de la Directiva se aplica «no sólo a las empresas de medios
de comunicación, sino también a toda persona que ejerza una actividad
periodística»; véase el auto Satakunnan Markkinapörssi y Satamedia, antes citado, apartado 58.
88 – Tribunal Europeo de Derechos Humanos, Times Newspapers Ltd, antes citada, § 45.
89 –
Sentencias del Tribunal de Justicia de 24 de noviembre de 2011, Scarlet
Extended (C‑70/10 aún no publicada en la Recopilación), apartado 46, y
SABAM, antes citada, apartado 44.
90 –
Véase también la sentencia del Tribunal de Justicia de 18 de marzo de
2010, Alassini y otros (C‑317/08 a 320/08, Rec. p. I-2213), apartado 63,
en la que se declaró que «según jurisprudencia reiterada, los derechos
fundamentales no constituyen prerrogativas absolutas, sino que pueden
ser objeto de restricciones, siempre y cuando éstas respondan
efectivamente a objetivos de interés general perseguidos por la medida
en cuestión y no impliquen, habida cuenta del objetivo perseguido, una
intervención desmesurada e intolerable que afecte a la propia esencia de
los derechos así garantizados (véanse, en este sentido, la sentencia
del Tribunal de Justicia de 15 de junio de 2006, Dokter y otros,
C‑28/05, Rec. p. I‑5431, apartado 75 y la jurisprudencia citada, y la
sentencia del TEDH Fogarty c. Reino Unido de 21 de noviembre de 2001,
Recueil des arrêts et décisions 2001-XI, § 33)».
91 – Antes citada, § 50.
92 – Antes citada.
93 – Sobre
el derecho a recibir información, véase TEDH, Observer and Guardian v.
Reino Unido, 26 de noviembre de 1991, § 60, Series A Nº 216, y Timpul
Info Magazin y Anghel v. Moldavia, nº 42864/05, § 34, 27 de noviembre
de 2007.
94 –
Thomas Bowdler (1754–1825) publicó una versión aséptica de la obra de
William Shakespeare que intentaba ser más adecuada para las mujeres y
los niños del s. XIX que la original.
95 – Véase la sentencia SABAM, antes citada, apartados 45 a 47.
96 – Véanse mis conclusiones presentadas en el asunto que dio lugar a la sentencia L’Oréal y otros, antes citada, punto 155.
97 – Véase la sentencia SABAM, antes citada, apartados 48 y 50.
98 – Grupo del artículo 29, dictamen 1/2008, pp. 14 y 15.