CONCLUSIONES DEL ABOGADO GENERAL
SR. NIILO JÄÄSKINEN
presentadas el 25 de junio de 2013 ( 1 )
Asunto C‑131/12
Google Spain, S.L.,
Google Inc.
contra
Agencia Española de Protección de Datos (AEPD),
Mario Costeja González
(Petición de decisión prejudicial planteada por la Audiencia Nacional)
«World Wide Web — Datos personales — Motor de búsqueda en Internet — Directiva 95/46/CE sobre protección de datos — Interpretación de los artículos 2, letras b) y d), 4, apartado 1, letras a) y c), 12, letra b), y 14, letra a) — Ámbito territorial de aplicación — Concepto de establecimiento en territorio de un Estado miembro — Ámbito de aplicación ratione materiae — Concepto de tratamiento de datos personales — Concepto de responsable del tratamiento de datos personales — Derecho de supresión de datos personales y de oposición a éstos — “Derecho al olvido” — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8, 11 y 16»
I. Introducción
1. |
En 1890, en su seminal artículo publicado en la Harvard Law Review, titulado «The Right to Privacy», ( 2 ) Samuel D. Warren y Louis D. Brandeis se lamentaban de que «inventos recientes y modelos de negocios», como «las fotografías instantáneas y la prensa, han invadido los sagrados recintos de la vida privada y doméstica». En el mismo artículo se referían «al siguiente paso que es preciso dar para proteger a la persona». |
2. |
Hoy en día, la protección de los datos personales y de la privacidad de las personas físicas ha adquirido una importancia cada vez mayor. Cualquier contenido que incluya datos personales, sea en forma de textos o de material audiovisual, puede ponerse a disposición de manera instantánea y permanente en formato digital a nivel mundial. Internet ha revolucionado nuestras vidas al eliminar las barreras técnicas e institucionales para la difusión y la recepción de información y ha creado una plataforma para diversos servicios de la sociedad de la información, que benefician a los consumidores, a las empresas y a la sociedad en general. Ello ha hecho surgir una serie de circunstancias sin precedentes, en las que tiene que establecerse un equilibrio entre diversos derechos fundamentales, como la libertad de expresión, el derecho a la información y la libertad de empresa, por un lado, y la protección de los datos personales y la privacidad de los particulares, por otro. |
3. |
En el marco de Internet, deben distinguirse tres situaciones relacionadas con los datos personales. La primera es la publicación de datos personales en cualquier página web ( 3 ) (en lo sucesivo, «página web fuente»). ( 4 ) La segunda es el supuesto en que un motor de búsqueda en Internet proporciona resultados que dirigen al usuario de Internet a la página web fuente. La tercera operación, menos visible, se lleva a cabo cuando un usuario lleva a cabo una búsqueda mediante un motor de búsqueda en Internet, y algunos de sus datos personales, como la dirección IP desde la que se realiza la búsqueda, se transfieren automáticamente al proveedor de servicios de motor de búsqueda en Internet. ( 5 ) |
4. |
Por lo que se refiere a la primera situación, el Tribunal de Justicia ya declaró en la sentencia Lindqvist que la Directiva 95/46/CE ( 6 ) (en lo sucesivo, «Directiva sobre protección de datos» o «Directiva») es de aplicación. La tercera situación no forma parte del objeto del presente asunto, y existen procedimientos administrativos en curso incoados por las autoridades nacionales de protección de datos para clarificar el ámbito de aplicación de las normas de protección de datos de la Unión Europea a los usuarios de los motores de búsqueda en Internet. ( 7 ) |
5. |
El auto de remisión del presente asunto versa sobre la segunda situación. Ha planteado la petición la Audiencia Nacional, en el marco de un procedimiento entre Google Spain, S.L., y Google, Inc. (en lo sucesivo, individual o conjuntamente, «Google»), por un lado, y la Agencia Española de Protección de Datos (en lo sucesivo, «AEPD») y el Sr. Mario Costeja González (en lo sucesivo, «interesado»), por otro. El procedimiento versa sobre la aplicación de la Directiva sobre protección de datos a un motor de búsqueda en Internet que Google gestiona como proveedor de servicios. En el procedimiento nacional es pacífico que, en 1998, un periódico español publicó en dos ejemplares de su edición impresa, que posteriormente se publicaron en formato digital disponible en Internet, ciertos datos personales relativos al interesado. El interesado considera que esta información ya no debería mostrarse en los resultados de búsqueda ofrecidos por el motor de búsqueda en Internet gestionado por Google cuando se realiza en él una búsqueda de su nombre y apellidos. |
6. |
Las cuestiones planteadas al Tribunal de Justicia se incluyen en tres categorías. ( 8 ) El primer grupo de cuestiones versa sobre el ámbito territorial de aplicación de las normas de protección de datos de la Unión Europea. El segundo grupo aborda las cuestiones relativas a la posición jurídica de un proveedor de servicios de motor de búsqueda en Internet ( 9 ) a la luz de la Directiva, particularmente en términos de su ámbito de aplicación ratione materiae. Por último, la tercera cuestión se refiere al llamado derecho al olvido y a si los interesados pueden solicitar que algunos o todos los resultados de búsqueda que les conciernen ya no estén disponibles a través del motor de búsqueda. Todas estas cuestiones, que abordan además importantes aspectos de la protección de los derechos fundamentales, no han sido tratadas hasta ahora por el Tribunal de Justicia. |
7. |
Éste parece ser el primer asunto en el que se solicita al Tribunal de Justicia que interprete la Directiva en relación con los motores de búsqueda en Internet, una cuestión aparentemente tópica para las autoridades nacionales de protección de datos y los tribunales de los Estados miembros. De hecho, el tribunal remitente ha indicado que existen varios asuntos similares pendientes ante él. |
8. |
De entre las sentencias anteriores del Tribunal de Justicia en las que se trató la protección de datos e Internet, la más importante ha sido Lindqvist. ( 10 ) Sin embargo, en dicho asunto no estaban involucrados los motores de búsqueda. La propia Directiva ha sido interpretada en varias resoluciones, de las que Österreichischer Rundfunk ( 11 ), Satakunnan Markkinapörssi y Satamedia ( 12 ) y Volker und Markus Schecke y Eifert ( 13 ) tienen particular relevancia. El papel desempeñado por los motores de búsqueda en Internet en relación con los derechos de propiedad intelectual y la competencia de los tribunales también ha sido examinado en la jurisprudencia del Tribunal de Justicia, en las sentencias Google France y Google, Portakabin, L’Oréal y otros, Interflora e Interflora British Unit y Wintersteiger. ( 14 ) |
9. |
Desde la adopción de la Directiva, se ha incluido una disposición sobre la protección de datos personales en el artículo 16 TFUE y en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»). A mayor abundamiento, en 2012 la Comisión presentó una propuesta de reglamento general de protección de datos, ( 15 ) con el objetivo de sustituir la Directiva. No obstante, el caso de autos debe resolverse sobre la base del Derecho existente. |
10. |
La presente petición de decisión prejudicial se ve afectada por el hecho de que, cuando la Comisión elaboró la propuesta de Directiva, en 1990, Internet, en el sentido actual de World Wide Web, no existía, ni tampoco existían motores de búsqueda. En el momento de aprobación de la Directiva, en 1995, Internet apenas había comenzado y los primeros y rudimentarios motores de búsqueda comenzaban a surgir, pero nadie podía prever cuán profundamente iba a revolucionar el mundo. Hoy en día se puede considerar que casi cualquier persona que posea un smartphone o un ordenador desarrolla actividades en Internet a las que se podría aplicar potencialmente la Directiva. |
II. Marco legal
A. La Directiva sobre protección de datos
11. |
El artículo 1 de la Directiva obliga a los Estados miembros a proteger las libertades y de los derechos fundamentales de las personas físicas, y, en particular, el derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, con arreglo a las disposiciones de la Directiva. |
12. |
El artículo 2 define, entre otros, los conceptos de «datos personales», «interesado», «tratamiento de datos personales», «responsable del tratamiento» y «tercero». |
13. |
Con arreglo al artículo 3, la Directiva se aplicará al tratamiento total o parcialmente automatizado de datos personales, y, en algunas circunstancias, al tratamiento no automatizado. |
14. |
En virtud del artículo 4, apartado 1, un Estado miembro aplicará las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando existe un establecimiento del responsable en su territorio, o, cuando el responsable no está establecido en la Unión, si recurre a medios situados en el territorio de dicho Estado miembro para el tratamiento de datos personales. |
15. |
El artículo 12 de la Directiva concede a los interesados un «derecho de acceso» a los datos personales tratados por el responsable, y el artículo 14 un «derecho de oposición» al tratamiento de datos personales en determinados supuestos. |
16. |
Mediante el artículo 29 de la Directiva, se crea un Grupo de trabajo consultivo e independiente, compuesto, en particular, por representantes de las autoridades de protección de datos de los Estados miembros (en lo sucesivo, «Grupo del artículo 29»). |
B. Derecho nacional
17. |
La Ley Orgánica 15/1999, de Protección de Datos, traspuso la Directiva al Derecho español. ( 16 ) |
III. Hechos y cuestiones prejudiciales planteadas
18. |
A comienzos de 1998, un periódico español de gran tirada publicó en su edición impresa dos anuncios relativos a una subasta de inmuebles relacionada con un embargo derivado de deudas a la Seguridad Social. Se mencionaba al interesado como propietario de éstos. En un momento posterior, la editorial puso a disposición del público una versión electrónica del periódico online. |
19. |
En noviembre de 2009, el interesado contactó con la editorial del periódico afirmando que, cuando introducía su nombre y apellidos en el motor de búsqueda de Google, aparecía la referencia a varias páginas del periódico que incluían los anuncios de la mencionada subasta de inmuebles. Alegó que el embargo estaba solucionado y resuelto desde hacía años y carecía de relevancia en aquel momento. La editorial le respondió que no procedía la cancelación de sus datos, dado que la publicación se había realizado por orden del Ministerio de Trabajo y Asuntos Sociales. |
20. |
En febrero de 2010, el interesado remitió escrito a Google Spain solicitando que al introducir su nombre y apellidos en el motor de búsqueda en Internet de Google no aparecieran en los resultados de búsqueda enlaces a ese periódico. Google Spain le remitió a Google Inc., con domicilio social en California, Estados Unidos, por entender que ésta era la empresa que presta el servicio de búsqueda en Internet. |
21. |
En consecuencia, el interesado interpuso una reclamación ante la AEPD solicitando que se exigiese a la editorial eliminar o modificar la publicación para que no apareciesen sus datos personales, o utilizar las herramientas facilitadas por los motores de búsqueda para proteger sus datos personales. También solicitaba que se exigiese a Google España o a Google que eliminaran u ocultaran sus datos para que dejaran de incluirse en sus resultados de búsqueda y ofrecer los enlaces al periódico. |
22. |
Mediante resolución de 30 de julio de 2010, el Director de la AEPD estimó la reclamación formulada por el interesado contra Google Spain y Google Inc., instándoles a adoptar las medidas necesarias para retirar los datos de su índice e imposibilitar el acceso futuro a los mismos, pero desestimó la reclamación contra la editorial porque la publicación de los datos en la prensa tenía justificación legal. Google Spain y Google Inc. interpusieron recursos ante el tribunal remitente en los que solicitaban la nulidad de la resolución de la AEPD. |
23. |
El tribunal remitente suspendió el procedimiento y planteó las siguientes cuestiones al Tribunal de Justicia:
|
24. |
Google, los Gobiernos español, griego, italiano, austriaco y polaco y la Comisión Europea presentaron observaciones escritas. A excepción del Gobierno polaco, todos ellos participaron en la vista, celebrada el 26 de febrero de 2013, al igual que el representante del interesado, y formularon observaciones orales. |
IV. Observaciones previas
A. Comentarios preliminares
25. |
El problema clave en el presente asunto es cómo debe interpretarse el papel de los proveedores de servicios de motores de búsqueda en Internet a la luz de la normativa de la Unión sobre protección de datos existente, en particular de la Directiva. Por tanto, es instructivo comenzar realizando algunas observaciones relacionadas con la evolución de la protección de datos, de Internet y de los motores de búsqueda en Internet. |
26. |
Cuando se negoció y adoptó la Directiva, en 1995, ( 17 ) se le dio un amplio ámbito de aplicación ratione materiae, a fin de adaptarse a la evolución de la tecnología relacionada con el tratamiento de datos realizado por parte de procesadores, más descentralizado que los ficheros automatizados basados en los tradicionales bancos de datos centralizados, y que también incluía nuevos tipos de datos personales, como imágenes, y técnicas de tratamiento, como las búsquedas de texto libre. ( 18 ) |
27. |
En 1995, el acceso generalizado a Internet era un fenómeno novedoso. Hoy en día, casi dos décadas después, el volumen de contenido digitalizado disponible online se ha multiplicado exponencialmente. Puede obtenerse, consultarse y difundirse fácilmente a través de las redes sociales, y descargarse a varios dispositivos, como las tabletas, los smartphones y los ordenadores portátiles. Sin embargo, está claro que el legislador comunitario no previó la evolución de Internet hacia un almacén global y exhaustivo de información a la que se accede, o se busca, en todo el mundo. |
28. |
El meollo de la presente petición de decisión prejudicial radica en el hecho de que Internet amplifica y facilita de un modo sin precedente la difusión de la información. ( 19 ) Del mismo modo que la invención de la imprenta en el siglo XV permitió la reproducción de un número ilimitado de copias, que anteriormente debían copiarse a mano, la carga de material en Internet permite el acceso masivo a información que antes tal vez sólo pudiera hallarse después de búsquedas exhaustivas, y en espacios físicos determinados. El acceso universal a la información en Internet es posible en todas partes, salvo en aquellos países en los que las autoridades han limitado, mediante diversos medios técnicos (como los cortafuegos electrónicos), el acceso a Internet o en los que el acceso a las telecomunicaciones está controlado o es escaso. |
29. |
Debido a esta evolución, el ámbito potencial de aplicación de la Directiva en el mundo actual ha pasado a ser sorprendentemente amplio. Supongamos que un catedrático de Derecho de la Unión Europea que ha descargado a partir de la página web del Tribunal de Justicia la jurisprudencia básica del Tribunal de Justicia en su ordenador portátil. Con arreglo a la Directiva, podría considerarse al catedrático un «responsable del tratamiento» de datos personales procedentes de un tercero. El catedrático está en posesión de archivos que contienen datos personales que se tratan automáticamente para su búsqueda y consulta en el marco de actividades que no son exclusivamente personales o domésticas. De hecho, hoy en día cualquier persona que lea un periódico en una tableta o que siga redes sociales en un smartphone parece estar involucrado en el tratamiento automatizado de datos personales y podría estar incluido en el ámbito de aplicación de la Directiva, en la medida en que tiene lugar fuera de su ámbito meramente privado. ( 20 ) Además, la amplia interpretación dada por el Tribunal de Justicia al derecho fundamental a la vida privada en el contexto de la protección de datos parece someter a toda comunicación humana mediante medios electrónicos a un análisis a la luz de este derecho. |
30. |
En la situación actual, las amplias definiciones de datos personales, tratamiento de datos personales y responsable del tratamiento pueden abarcar una variedad nunca vista de nuevas situaciones fácticas, a causa del desarrollo de la tecnología. Ello es así porque muchas, si no todas, las páginas web y los archivos a los que se puede acceder a través de aquéllas incluyen datos personales, como los nombres de personas físicas vivas. Esta situación obliga al Tribunal de Justicia a aplicar un criterio, en otras palabras, el principio de proporcionalidad, al interpretar el alcance de la Directiva a fin de evitar consecuencias jurídicas poco razonables y excesivas. El Tribunal de Justicia ya aplicó este enfoque moderado en la sentencia Lindqvist, en la que rechazó una interpretación que podría haber conducido a un ámbito de aplicación del artículo 25 de la Directiva sobre la transmisión de datos personales a terceros países en Internet que resultaba de una amplitud poco razonable. ( 21 ) |
31. |
Por consiguiente, en el presente asunto es necesario establecer un equilibrio correcto, razonable y proporcionado entre la protección de datos personales, la interpretación congruente de los objetivos de la sociedad de la información y los intereses legítimos de los operadores económicos y de los usuarios de Internet en general. Aunque la Directiva no ha sido modificada desde su adopción en 1995, su aplicación a nuevas situaciones ha sido inevitable. Es un área jurídica compleja en la que se cruzan Derecho y tecnología. Las opiniones adoptadas por el Grupo del artículo 29 ofrecen análisis de gran utilidad a este respecto. ( 22 ) |
B. Motores de búsqueda en Internet y protección de datos
32. |
Al analizar la posición legal de un motor de búsqueda en Internet en relación con las normas de protección de datos, deben tenerse en cuenta los siguientes elementos. ( 23 ) |
33. |
En primer lugar, en su forma básica, un motor de búsqueda en Internet, en principio, no crea nuevo contenido autónomo. En su forma más simple, únicamente indica dónde pueden encontrarse contenidos ya existentes, puestos a disposición en Internet por terceros, proporcionando un hipervínculo a la página web que contiene los términos buscados. |
34. |
En segundo lugar, los resultados que ofrece un motor de búsqueda en Internet no se basan en una búsqueda instantánea de todo el World Wide Web, sino que se compilan a partir del contenido que el motor de búsqueda en Internet ha tratado previamente. Ello significa que el motor de búsqueda en Internet ha recopilado contenidos a partir de páginas web existentes y que ha copiado, analizado e indexado dicho contenido en sus propios dispositivos. Este contenido recuperado contiene datos personales si éstos figuran en alguna de las páginas web fuente. |
35. |
En tercer lugar, para que los resultados sean más fáciles de usar, los motores de búsqueda normalmente muestran contenidos adicionales además del enlace a las páginas web originales. Pueden ser extractos de texto, contenido audiovisual o incluso instantáneas de las páginas web fuente. Esta vista previa de la información puede, al menos en parte, recuperarse a partir de los dispositivos del proveedor de servicios de motor de búsqueda en Internet, y no instantáneamente desde la página web original. Ello quiere decir que el proveedor del servicio está realmente en posesión de la información expuesta de este modo. |
C. Regulación de los motores de búsqueda en Internet
36. |
La Unión Europea ha concedido gran importancia al desarrollo de la sociedad de la información. En este marco, también se ha examinado el papel de los intermediarios de la sociedad de la información. Estos intermediarios tienden puentes entre proveedores de contenido y usuarios de Internet. El papel específico de los intermediarios se ha reconocido, por ejemplo, en la Directiva (en su considerando 47), en la Directiva 2000/31/CE, ( 24 ) (artículo 21, apartado 2, y considerando 18) y en el dictamen 1/2008 del Grupo del artículo 29. El rol de los proveedores de servicios de Internet se ha considerado crucial para la sociedad de la información y se ha limitado su responsabilidad respecto de los contenidos de terceros que transfieren y/o almacenan a fin de facilitar sus actividades legítimas. |
37. |
El papel y la posición jurídica de los proveedores de servicios de motores de búsqueda en Internet no está regulado expresamente en la normativa de la Unión. Como tales, los «servicios de instrumentos de localización de la información» se prestan «a distancia, por vía electrónica y a petición individual de un destinatario de servicios», y, por lo tanto, equivalen a un servicio de la sociedad de la información consistente en la provisión de herramientas que permiten buscar, acceder y obtener datos. No obstante, los proveedores de servicios de motores de búsqueda en Internet, como Google, que no prestan su servicio como contrapartida de una remuneración por parte de los usuarios de Internet, parecen, por su condición, estar excluidos del ámbito de aplicación de la Directiva 2000/31, sobre el comercio electrónico. ( 25 ) |
38. |
A pesar de ello, es necesario analizar su posición frente a los principios jurídicos que subyacen a las limitaciones de la responsabilidad de los proveedores de servicios de Internet. En otras palabras, saber en qué medida son actividades desarrolladas por un proveedor de servicios de motor de búsqueda en Internet, desde el punto de vista de los principios de responsabilidad, análogas a los servicios enumerados en la Directiva 2000/31, sobre el comercio electrónico, (transferencia, mera memoria oculta, alojamiento) o servicios de transmisión mencionados en el considerando 47 de la Directiva, y en qué medida un proveedor de servicios de motor de búsqueda en Internet actúa como proveedor de contenidos por derecho propio. |
D. El papel y la responsabilidad de los editores de la página web fuente
39. |
El Tribunal de Justicia declaró en la sentencia Lindqvist que «la conducta que consiste en hacer referencia, en una página web, a datos personales debe considerarse un tratamiento [de datos personales]». ( 26 ) A mayor abundamiento, «difundir información en una página web implica, de acuerdo con los procedimientos técnicos e informáticos que se aplican actualmente, publicar dicha página en un servidor, así como realizar las operaciones necesarias para que resulte accesible a las personas que están conectadas a Internet. Estas operaciones se efectúan, al menos en parte, de manera automatizada». El Tribunal de Justicia concluyó que «la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, constituye un “tratamiento total o parcialmente automatizado de datos personales” en el sentido del artículo 3, apartado 1, de la Directiva». |
40. |
Se deduce de las apreciaciones antes mencionadas, realizadas en la sentencia Lindqvist, que el editor de páginas web fuente que contienen datos personales es responsable del tratamiento de datos personales, en el sentido de la Directiva. Como tal, el editor está sometido a todas las obligaciones que la Directiva impone a los responsables. |
41. |
Las páginas web fuente se almacenan en servidores de alojamiento conectados a Internet. El editor de páginas web fuente puede utilizar «códigos de exclusión» ( 27 ) para el funcionamiento de los motores de búsqueda en Internet. Los códigos de exclusión recomiendan a los motores de búsqueda que no indexen o almacenen una página web fuente, o que no la muestren en los resultados de la búsqueda. ( 28 ) Su uso indica que el editor no desea que determinada información de la página web fuente pueda ser recuperada para su difusión a través de motores de búsqueda. |
42. |
En consecuencia, técnicamente, el editor tiene la posibilidad de incluir en sus páginas web códigos de exclusión que restringen el indexado y el archivo de la página y que, por tanto, incrementan la protección de datos personales. En casos extremos, el editor puede retirar la página web del servidor de alojamiento, volver a publicarla sin los datos personales controvertidos y solicitar que se actualice la página en las memorias ocultas de los motores de búsqueda. |
43. |
Por tanto, la persona que publica el contenido en la página web fuente es responsable de los datos personales publicados en ésta por su condición de responsable del tratamiento, y esta persona tiene varios medios a su disposición para cumplir sus obligaciones a este respecto. Esta canalización de la responsabilidad legal es conforme con los principios establecidos de la responsabilidad del editor en el marco de los medios de comunicación tradicionales. ( 29 ) |
44. |
No obstante, la responsabilidad del editor no garantiza que los problemas de protección de datos puedan abordarse de manera definitiva recurriendo sólo a los responsables del tratamiento de las páginas web fuente. Como señaló el tribunal remitente, es posible que los mismos datos personales hayan sido publicados en innúmeras páginas, lo que convertiría el rastreo y el contacto con todos los editores relevantes en misión difícil, si no imposible. Además, el editor puede residir en un Estado tercero, y las páginas web de que se trata pueden estar excluidas del ámbito de aplicación de las normas de la Unión Europea sobre protección de datos. Pueden también existir obstáculos legales, como en el presente asunto, en el que el mantenimiento de la publicación original en Internet se ha considerado legal. |
45. |
De hecho, la accesibilidad universal de la información en Internet se basa en los motores de búsqueda en Internet, ya que sin ellos hallar información relevante sería demasiado complicado y difícil y produciría resultados limitados. Como observa acertadamente el tribunal remitente, obtener información sobre los anuncios de la subasta del bien del interesado habría requerido en el pasado una visita a la hemeroteca del periódico. Actualmente esta información puede obtenerse tecleando su nombre en un motor de búsqueda en Internet, y ello hace que la búsqueda de tales datos sea mucho más eficiente, y, al mismo tiempo, más molesta para el interesado. Los motores de búsqueda en Internet pueden usarse para elaborar un perfil muy completo de los particulares al buscar y recopilar sus datos personales. Sin embargo, el temor a que se elaboraran perfiles de particulares fue la inspiración del desarrollo de la normativa moderna de protección de datos. ( 30 ) |
46. |
Por estos motivos, es importante examinar la responsabilidad de los proveedores de servicios de motores de búsqueda en Internet respecto de los datos personales publicados en las páginas web fuentes de terceros a las que se puede acceder a través de sus motores de búsqueda. Dicho de otro modo, el Tribunal de Justicia se enfrenta en el presente asunto a la cuestión de la «responsabilidad secundaria» de este tipo de proveedores de servicios de la sociedad de la información, análoga a la que examinó en su justicia en materia de marcas y de comercio electrónico. ( 31 ) |
E. Actividades de un proveedor de servicios de motor de búsqueda en Internet
47. |
Un proveedor de servicios de motor de búsqueda en Internet puede desarrollar varios tipos de actividades. La naturaleza y el análisis de estas actividades desde el punto de vista de la protección de datos puede diferir. |
48. |
Un proveedor de servicios de motor de búsqueda en Internet puede adquirir automáticamente datos personales relativos a sus usuarios, ( 32 ) es decir, las personas que introducen términos de búsqueda en el motor de búsqueda. En estos datos transmitidos automáticamente cabe incluir sus direcciones IP, sus preferencias de uso (idioma, por ejemplo) y, por supuesto, los propios términos de búsqueda, que, en el caso de las denominadas búsquedas vanidosas (es decir, las búsquedas realizadas por un usuario con su propio nombre) revelan con facilidad la identidad de los usuarios. Además, en el caso de las personas que tienen cuentas de usuario y que, por tanto, se han registrado, sus datos personales, como nombre, dirección de correo electrónico y número de teléfono, acaban de manera casi ineludible en manos del proveedor de servicios de motor de búsqueda en Internet. |
49. |
Los ingresos que obtiene el proveedor de servicios de motor de búsqueda en Internet no derivan de los usuarios que introducen los términos de búsqueda en el motor de búsqueda, sino de los anunciantes que adquieren términos de búsqueda como palabras clave, de manera que sus anuncios se muestran al mismo tiempo que los resultados de búsqueda que emplean esa palabra clave. ( 33 ) Resulta obvio que los datos personales relativos a los clientes de los servicios de publicidad llegan a estar en posesión del proveedor del servicio. |
50. |
Sin embargo, la presente petición de decisión prejudicial se refiere a la actividad de Google como mero proveedor de servicios de motor de búsqueda en Internet en relación con datos, incluidos datos personales, publicados en Internet por las páginas web fuente de terceros, tratadas e indexadas por el motor de búsqueda de Google. Por ello, los problemas de los usuarios y de los clientes del servicio de publicidad, a cuyos datos se aplica sin lugar a dudas la Directiva en lo que atañe a su relación con Google, no afectan al análisis del segundo grupo de cuestiones prejudiciales. No obstante, en lo tocante a los problemas relativos a la competencia judicial, que abordan el primer grupo de cuestiones, estos grupos de clientes pueden ser relevantes. |
V. Primer grupo de cuestiones, relativas al ámbito territorial de aplicación de la Directiva
A. Introducción
51. |
El primer grupo de cuestiones prejudiciales versa sobre la interpretación del artículo 4 de la Directiva, en relación con los criterios que determinan el ámbito territorial de aplicación de la normativa nacional de desarrollo. |
52. |
El tribunal remitente ha dividido sus cuestiones prejudiciales relativas a la aplicación territorial de la normativa española en materia de protección de datos en cuatro subcuestiones. La primera se refiere al concepto de «establecimiento», en el sentido del artículo 4, apartado 1, letra a), de la Directiva, y la segunda a las circunstancias en las que existe «recurso a medios situados en el territorio de dicho Estado miembro», en el sentido de su artículo 4, apartado 1, letra c). La tercera subcuestión pregunta si es posible considerar recurso a medios el almacenamiento temporal de la información indexada por los motores de búsqueda en Internet, y en caso de que la respuesta a la subcuestión sea afirmativa, si se puede presumir este factor de conexión cuando la empresa se niega a revelar el lugar donde almacena estos índices. La cuarta subcuestión pregunta si la normativa que traspone la Directiva debe aplicarse, a la luz del artículo 8 de la Carta, en el Estado miembro donde se localice el centro de gravedad del conflicto y sea posible una tutela más eficaz de los derechos de los ciudadanos de la Unión Europea. |
53. |
Examinaré primero la última subcuestión, que el tribunal nacional ha planteado «con independencia de la respuesta a las preguntas anteriores y especialmente en el caso en que se considerase por el [Tribunal de Justicia] que no concurren los criterios de conexión previstos en el art. 4[, apartado 1,] de la Directiva». |
B. El centro geográfico de gravedad del conflicto no basta por sí mismo para que la Directiva sea de aplicación
54. |
De acuerdo con su artículo 51, apartado 2, la Carta no amplía el ámbito de aplicación del Derecho de la Unión más allá de las competencias de la Unión, ni crea ninguna competencia o misión nuevas para la Unión, ni modifica sus competencias y misiones tal como se definen en los Tratados. ( 34 ) Este principio se aplica también al artículo 8 de la Carta, sobre la protección de datos personales. Entonces, la interpretación de la Directiva conforme con la Carta no puede añadir ningún criterio nuevo que pueda dar lugar a la aplicabilidad territorial de la normativa nacional que desarrolla la Directiva a los establecidos en el artículo 4, apartado 1, de la Directiva. Por supuesto, el artículo 8 de la Carta debe tenerse en cuenta al interpretar los conceptos empleados en el artículo 4, apartado 1, de la Directiva, pero los criterios de conexión definidos por el legislador de la Unión no pueden suplementarse con un criterio totalmente nuevo establecido en función de ese derecho fundamental. ( 35 ) |
55. |
El Grupo del artículo 29 puso énfasis correctamente en que determinan el ámbito territorial de aplicación de la Directiva y de la normativa nacional de desarrollo, bien la ubicación del establecimiento del responsable del tratamiento, bien la ubicación de los medios o del equipo que se esté utilizando cuando el responsable del tratamiento esté establecido fuera del Espacio Económico Europeo. Ni la nacionalidad o el lugar de residencia habitual de los interesados, ni la ubicación física de los datos personales son decisivos. ( 36 ) |
56. |
El Grupo del artículo 29 ha propuesto que en la legislación futura se tenga en cuenta la oportuna orientación hacia las personas por lo que se refiere a los responsables del tratamiento que no están establecidos en la Unión Europea. ( 37 ) En la propuesta de Reglamento general de protección de datos (2012), ( 38 ) la oferta de bienes y servicios a los interesados que residan en la Unión sería un factor por el cual la normativa de la Unión Europea en materia de protección de datos resultaría aplicable a responsables del tratamiento establecidos en países terceros. Tal enfoque, que vincula la aplicabilidad territorial de la normativa de la Unión Europea al público destinatario, es coherente con la jurisprudencia del Tribunal de Justicia relativa a la aplicabilidad de la Directiva 2000/31, sobre el comercio electrónico, ( 39 ) del Reglamento (CE) no 44/2001 ( 40 ) y de la Directiva 2001/29/CE ( 41 ) a situaciones transfronterizas. |
57. |
En cambio, el criterio del público objetivo, en el presente asunto los usuarios españoles del motor de búsqueda en Internet de Google, en cuya opinión la reputación del interesado podía haberse visto menoscabada como consecuencia de los anuncios controvertidos, no parece un factor que dé lugar a la aplicación territorial de la Directiva y la normativa nacional de desarrollo. |
58. |
En consecuencia, el hecho de que el centro de gravedad del litigio en España no puede añadirse a los criterios establecidos en el artículo 4, apartado 1, de la Directiva, que, en mi opinión, armoniza por completo el ámbito territorial de aplicación de la normativa en materia de protección de datos de los Estados miembros. Esto es de aplicación con independencia de si tal centro de gravedad lo constituye la nacionalidad o la residencia del interesado de que se trate, de la localización de los datos personales controvertidos en la página web del periódico o del hecho de que el sitio en Internet de Google se dirija específicamente al público español. ( 42 ) |
59. |
Por estos motivos propongo que, si el Tribunal de Justicia considera necesario dar respuesta a este supuesto, responda en sentido negativo a la cuarta subcuestión. |
C. La aplicabilidad del criterio de «establecimiento en la Unión Europea» a un proveedor de servicios de motor de búsqueda en Internet establecido en un país tercero
60. |
En virtud del artículo 4, apartado 1, de la Directiva, el factor primario que da lugar a la aplicabilidad de la normativa nacional en materia de protección de datos es el tratamiento de datos personales llevado a cabo en el marco de las actividades de un establecimiento del responsable del tratamiento situado en territorio del Estado miembro. A mayor abundamiento, cuando un responsable del tratamiento no está establecido en territorio de la Unión pero recurre a medios o a equipamiento ( 43 ) situados en territorio del Estado miembro para tratar datos personales, la normativa de dicho Estado miembro se aplica a menos que tal equipo o medios se empleen sólo a efectos de tránsito a través de territorio de la Unión. |
61. |
Como se ha señalado más arriba, la Directiva y su artículo 4 se adoptaron con anterioridad a que diera comienzo la prestación a gran escala de servicios online en Internet. Asimismo, a este respecto, su tenor no es congruente y está incompleto. ( 44 ) No resulta extraño que los expertos en protección de datos hayan tenido dificultades considerables para interpretarlo en lo que atañe a Internet. Los hechos del presente asunto ilustran estos problemas. |
62. |
Google Inc. es una empresa con domicilio social en California y con filiales en varios Estados miembros de la Unión Europea. Sus operaciones en Europa están coordinadas hasta cierto punto por su filial irlandesa. Actualmente, tiene centros de datos al menos en Bélgica y en Finlandia. La información acerca de la localización geográfica exacta de las funciones relacionadas con su motor de búsqueda no es pública. Google alega que no lleva a cabo ningún tratamiento de datos personales relativo a su motor de búsqueda en España. Afirma que Google Spain actúa como representante comercial de Google para sus actividades publicitarias, y que en esta condición es responsable del tratamiento de los datos personales relativos a sus clientes españoles de los servicios publicitarios. Google niega que su motor de búsqueda lleve a cabo operación alguna en los servidores de alojamiento de las páginas web fuente, o que recopile información a través de cookies de usuarios no registrados de su motor de búsqueda. |
63. |
En este contexto fáctico, el tenor del artículo 4, apartado 1, de la Directiva no es muy útil. Google tiene varios establecimientos en territorio de la Unión Europea. Este hecho, con arreglo a una interpretación literal, excluiría la aplicabilidad del requisito del equipo establecido en el artículo 4, apartado 1, letra c), de la Directiva. Por otro lado, no está claro hasta qué punto y dónde el tratamiento de datos personales de interesados residentes en la Unión tiene lugar en el marco de sus filiales en la Unión Europea. |
64. |
En mi opinión, el Tribunal de Justicia debería examinar la cuestión de la aplicabilidad territorial desde la perspectiva del modelo de negocio de los proveedores de servicios de motores de búsqueda en Internet. Éste, como ya he mencionado, se basa normalmente en la publicidad a partir de palabras clave, que es la fuente de ingresos y, como tal, la razón de ser económica para proveer una herramienta de localización de información gratuita en forma de motor de búsqueda. La entidad responsable de la publicidad a partir de palabras clave (denominada «prestador del servicios de referenciación» en la jurisprudencia del Tribunal de Justicia) ( 45 ) está vinculada al motor de búsqueda en Internet. Dicha entidad necesita tener presencia en los mercados nacionales del sector de la publicidad. Por este motivo, Google ha creado filiales en muchos Estados miembros, que claramente constituyen establecimientos, en el sentido del artículo 4, apartado 1, letra a), de la Directiva. También ha registrado dominios nacionales, como google.es y google.fi. La actividad del motor de búsqueda toma en consideración esta diversificación nacional de diversos modos en relación con la disposición de los resultados de búsqueda, ya que el modelo de financiación normal de la publicidad a partir de palabras clave sigue el principio de pago por clic. ( 46 ) |
65. |
Por estos motivos, deseo adherirme a la conclusión del Grupo del artículo 29, según la cual el modelo de negocios de un proveedor de servicios de motor de búsqueda en Internet debe tenerse en cuenta en el sentido de que su establecimiento desempeña un importante papel en el tratamiento de datos personales si está vinculado a un servicio que participa en la venta de publicidad orientada a los habitantes de este Estado miembro. ( 47 ) |
66. |
A mayor abundamiento, aunque el artículo 4 de la Directiva se basa en un único concepto de responsable del tratamiento por lo que se refiere a sus disposiciones materiales, creo que, a los efectos de decidir sobre la cuestión previa de la aplicabilidad territorial, un operador económico debe considerarse una única unidad, y, por tanto, en esta fase del análisis, no debe analizarse sobre la base de las actividades individuales relacionadas con el tratamiento de datos personales o de diferentes grupos de interesados con los que se relacionan sus actividades. |
67. |
En conclusión, el tratamiento de datos personales tiene lugar en el marco de un establecimiento del responsable del tratamiento si dicho establecimiento actúa como un nexo para el servicio de referencia con el mercado publicitario de tal Estado miembro, aunque las operaciones de tratamiento técnico de los datos estén situadas en otro Estado miembro o en países terceros. |
68. |
Por este motivo, propongo al Tribunal de Justicia que responda al primer grupo de cuestiones prejudiciales en el sentido de que se lleva a cabo tratamiento de datos personales en el marco de las actividades de un «establecimiento» del responsable del tratamiento, en el sentido del artículo 4, apartado 1, letra a), de la Directiva, cuando la empresa que provee el motor de búsqueda establece en un Estado miembro, a fines de promover y vender espacios publicitarios en su motor de búsqueda, una oficina o una filial que orienta su actividad hacia los habitantes de dicho Estado. |
VI. Segundo grupo de cuestiones, relativas al ámbito de aplicación ratione materiae de la Directiva
69. |
El segundo grupo de cuestiones versa sobre la posición jurídica, a la luz de lo dispuesto en la Directiva, del proveedor de servicios de motor de búsqueda en Internet que ofrece acceso a un motor de búsqueda en Internet. El tribunal nacional las ha formulado en el sentido de que atañen a los conceptos de «tratamiento» de datos personales (cuestión 2.1) y «responsable del tratamiento» (cuestión 2.2); a las competencias de la autoridad nacional de protección de datos para requerir directamente al proveedor de servicios de motor de búsqueda en Internet (cuestión 2.3), y a la posible exclusión de la protección de datos personales por parte del proveedor de servicios de motor de búsqueda en Internet en el supuesto de información publicada lícitamente por terceros en Internet (cuestión 2.4). Las dos últimas subcuestiones sólo son relevantes si puede considerarse que el proveedor de servicios de motor de búsqueda en Internet trata datos personales en páginas web fuente de terceros y es responsable de su tratamiento. |
A. Tratamiento de datos personales por parte de un motor de búsqueda en Internet
70. |
La primera subcuestión de este grupo afecta a la aplicabilidad de los conceptos de «datos personales» y «tratamiento» de éstos a un proveedor de servicios de motor de búsqueda en Internet, como Google, partiendo de la base de que no se discute acerca de los datos personales de los usuarios o los anunciantes, sino de datos personales publicados en páginas web fuente de terceros, tratados por el motor de búsqueda en Internet gestionado por el proveedor de servicios. El tribunal nacional define este tratamiento como localizar la información publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y finalmente ponerla a disposición de los internautas con un cierto orden de preferencia. |
71. |
A mi juicio, la respuesta afirmativa a esta cuestión no requiere de mucha discusión. La Directiva proporciona una amplia definición del concepto de datos personales, y ésta ha sido aplicada por el Grupo del artículo 29 y confirmada por el Tribunal de Justicia. ( 48 ) |
72. |
En relación con el «tratamiento», las páginas web fuente en Internet pueden incluir, y lo hacen con frecuencia, nombres, imágenes, direcciones, números de teléfono, descripciones y otras indicaciones, con la ayuda de las cuales puede identificarse a una persona física. El que su carácter como datos personales pueda ser «desconocido» para el proveedor de servicios de motor de búsqueda en Internet, cuyo motor de búsqueda trabaja sin interacción humana alguna con los datos recopilados, indexados y dispuestos a los efectos de la búsqueda, no modifica esta afirmación. ( 49 ) Lo mismo es de aplicación al hecho de que la presencia de datos personales en las páginas web fuente es en cierta medida aleatoria para el proveedor de servicios de motor de búsqueda en Internet, porque para el proveedor de servicios, o, más concretamente, para las funciones de rastreo, análisis e indexado del motor de búsqueda dirigidas a todas las páginas web disponibles en Internet, pueden no existir diferencias técnicas u operativas entre una página web fuente que contiene datos personales y otra que no incluye este tipo de datos. ( 50 ) No obstante, a mi juicio estos hechos deben influir en la interpretación del concepto de «responsable del tratamiento». |
73. |
La función de rastreo del motor de búsqueda de Google, llamada «googlebot», rastrea constante y sistemáticamente en Internet y, pasando de una página a otra sobre la base de los hipervínculos entre páginas, solicita a los sitios situados que le envíen una copia de la página visitada. ( 51 ) La función de indexación de Google analiza las copias de estas páginas web fuente. Los reactivos (palabras clave, términos de búsqueda) hallados en las páginas se registran en el índice del motor de búsqueda. ( 52 ) El elaborado algoritmo de búsqueda de Google también examina la relevancia de los resultados de la búsqueda. Las combinaciones de estos términos clave con las direcciones URL, cuando pueden hallarse, forman el índice del motor de búsqueda. Las búsquedas iniciadas por los usuarios se ejecutan dentro del índice. A los efectos de indexar y disponer los resultados de búsqueda, se registra la copia de las páginas en la memoria oculta del motor de búsqueda. ( 53 ) |
74. |
Una copia de la página web fuente buscada, almacenada en la memoria oculta, puede mostrarse después de que el usuario haya llevado a cabo la búsqueda. No obstante, el usuario puede acceder a la página original si, por ejemplo, busca la presentación de fotos en la página web fuente. La memoria oculta se actualiza con frecuencia, pero pueden darse casos en los que la página mostrada por el motor de búsqueda no coincide con las páginas web fuente del servidor de alojamiento, debido a que ha sufrido cambios o ha sido eliminada. ( 54 ) |
75. |
Resulta obvio que las operaciones descritas en los puntos anteriores se consideran «tratamiento» de datos personales en las páginas web fuente copiadas, indexadas, almacenadas en la memoria oculta y mostradas por el motor de búsqueda. Más concretamente, comprenden la recopilación, grabación, organización y almacenamiento de tales datos personales, y pueden entrañar su uso, revelación mediante transmisión, difusión o puesta a disposición de algún otro modo y la combinación de datos personales, en el sentido del artículo 2, letra b), de la Directiva. |
B. El concepto de «responsable del tratamiento»
76. |
Con arreglo al artículo 2, letra d), de la Directiva, el responsable del tratamiento ( 55 ) es «la persona física o jurídica […] que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales». En mi opinión, el núcleo del problema en el presente asunto radica en si un proveedor de servicios de motor de búsqueda en Internet está incluido en esta definición, y en qué medida lo está. |
77. |
Todas las partes, salvo Google y el Gobierno helénico, sugieren una respuesta afirmativa a esta cuestión, que puede defenderse fácilmente como una conclusión lógica de la interpretación literal de la Directiva, y quizás incluso de la teleológica, dado que las definiciones básicas de ésta se formularon de manera amplia para cubrir nuevos desarrollos. A mi juicio, no obstante, tal enfoque representaría un método que ignora por completo el hecho de que cuando se redactó la Directiva no era posible tener en cuenta el surgimiento de Internet y los diversos fenómenos novedosos vinculados con él. |
78. |
Cuando se adoptó la Directiva, el World Wide Web era apenas una realidad, y los motores de búsqueda acababan de nacer. Las disposiciones de la Directiva simplemente no toman en consideración el que pueda accederse desde cualquier parte del globo a inmensas masas de documentos y archivos electrónicos alojados descentralizadamente, y que sus contenidos pueden copiarse, analizarse y difundirse por partes que no guardan relación alguna con sus autores o con quienes los han cargado en un servidor de alojamiento conectado a Internet. |
79. |
Deseo recordar que en la sentencia Lindqvist el Tribunal de Justicia no siguió el enfoque maximalista propuesto por la Comisión en relación con la interpretación del concepto de transferencias de datos a países terceros. El Tribunal de Justicia declaró que «teniendo en cuenta, por un lado, el estado de desarrollo de Internet en el momento de la elaboración de la [Directiva] y, por otro, la inexistencia, en su capítulo IV, de criterios aplicables al uso de Internet, no cabe presumir que el legislador comunitario tuviera la intención, en su momento, de incluir en el concepto de “transferencia a un país tercero de datos” la difusión de datos en una página web por parte de una persona que se encuentre en la misma situación que la Sra. Lindqvist, ni siquiera cuando dichos datos estén al alcance de personas de países terceros que disponen de los medios técnicos para poder acceder a ellos». ( 56 ) A mi juicio, ello implica que, al interpretar la Directiva en relación con nuevos fenómenos tecnológicos, el principio de proporcionalidad, los objetivos de la Directiva y los medios que ésta proporciona para su cumplimiento deben tenerse en cuenta para alcanzar un resultado equilibrado y razonable. |
80. |
En mi opinión, la cuestión clave en el presente asunto es si tiene importancia que dentro de la definición de responsable del tratamiento la Directiva se refiera a éste como la persona que «determina los fines y los medios del tratamiento de datos personales» (el subrayado es mío). Las partes que consideran que Google es un responsable del tratamiento basan su aserto en el hecho innegable de que el proveedor de servicio que gestiona un motor de búsqueda en Internet determina las finalidades y los medios del tratamiento de datos para sus propios fines. |
81. |
Sin embargo, dudo de que ello lleve a una interpretación veraz de la Directiva en una situación en la que el objeto del tratamiento consiste en archivos que contienen datos personales y otro tipo de datos expuestos de manera descuidada, indiscriminada y aleatoria. ¿Determina el catedrático de Derecho de la Unión mencionado en mi ejemplo contenido en el punto 29 de las presentes conclusiones las finalidades y los medios del tratamiento de datos personales incluidos en las sentencias del Tribunal de Justicia que ha descargado en su ordenador portátil? La afirmación del Grupo del artículo 29 según la cual «los usuarios del motor de búsqueda podrían, en sentido estricto, ser también considerados responsables del tratamiento» pone de manifiesto el carácter poco razonable de la interpretación literal ciega de la Directiva en el marco de Internet. ( 57 ) El Tribunal de Justicia no debería aceptar una interpretación que convierta en responsable del tratamiento de datos personales publicados en Internet virtualmente a cualquier persona que posea un smartphone, una tableta o un ordenador portátil. |
82. |
En mi opinión, el sistema general de la Directiva, la mayoría de las versiones lingüísticas y las obligaciones individuales que impone al responsable del tratamiento se basan en la idea de la responsabilidad del responsable del tratamiento en relación con los datos personales tratados, en el sentido de que el responsable del tratamiento es consciente de la existencia de una categoría determinada de información que contiene datos personales y el responsable del tratamiento trata estos datos con una intención relacionada con su tratamiento como datos personales. ( 58 ) |
83. |
El Grupo del artículo 29 señala correctamente que «el concepto de responsable del tratamiento es un concepto funcional, destinado a asignar responsabilidades en función de la capacidad de influencia de hecho y, por tanto, está basado en un análisis de hecho más que formal». ( 59 ) De ello deduce que «el responsable del tratamiento debe determinar qué datos deben procesarse para los fines previstos». ( 60 ) Las disposiciones materiales de la Directiva, y más concretamente los artículos 6, 7 y 8, se basan, a mi juicio, en la premisa de que el responsable del tratamiento sabe lo que está haciendo en relación con los datos personales de que se trata, en el sentido de que es consciente de qué tipo de datos personales está tratando y por qué. En otras palabras, el tratamiento de datos debe mostrársele como tratamiento de datos personales, es decir, «información sobre una persona física identificada o identificable», de un modo semánticamente relevante, y no como un mero código informático. ( 61 ) |
C. Un proveedor de servicios de motor de búsqueda en Internet no es el «responsable del tratamiento» de datos personales en páginas web fuente de terceros
84. |
El proveedor de servicios de motor de búsqueda en Internet que simplemente proporciona una herramienta de localización de información no ejerce ningún control sobre los datos personales incluidos en las páginas web de terceros. El proveedor de servicios no es «consciente» de la existencia de datos personales en un sentido distinto del hecho estadístico de que las páginas web probablemente incluyen datos personales. Al tratar las páginas web fuente a fines de rastreo, análisis e indexado, los datos personales no se muestran como tales de modo específico. |
85. |
Por este motivo, considero que el enfoque adoptado por el Grupo del artículo 29 es adecuado, ya que busca trazar una distinción entre las funciones totalmente pasivas y de intermediación de los motores de búsqueda y las situaciones en las que su actividad representa un control real sobre los datos personales tratados. ( 62 ) En aras de la exhaustividad, debe añadirse que la cuestión de si los datos personales se han hecho públicos ( 63 ) o de si han sido revelados legalmente en páginas web fuente de terceros carece de relevancia para aplicar la Directiva. ( 64 ) |
86. |
El proveedor de servicios de motor de búsqueda en Internet no tiene relación con el contenido de páginas web fuente de terceros disponibles en Internet en las que puedan aparecer datos personales. Más aún, ya que el motor de búsqueda funciona sobre la base de copias de las páginas web fuente que su función rastreadora ha encontrado y copiado, el proveedor de servicios carece de medios para modificar la información en los servidores de alojamiento. La puesta a disposición de una herramienta de localización de información no implica control alguno sobre el contenido. Tampoco permite al proveedor de servicios de motor de búsqueda en Internet realizar distinciones entre datos personales en el sentido de la Directiva, es decir, relacionados con una persona física viva identificable, y otro tipo de datos. |
87. |
Sobre este punto me gustaría distanciarme del principio contenido en el considerando 47 de la Directiva. Éste afirma que el responsable del tratamiento de mensajes con datos personales transmitidos a través de un servicio de telecomunicaciones o de correo electrónico cuyo único objetivo sea transmitir mensajes de ese tipo, es la persona de quien procede el mensaje, y no la que ofrece el servicio de transmisión. Este considerando, así como las exenciones de responsabilidad establecidas en la Directiva 2000/31, sobre comercio electrónico (artículos 12, 13 y 14), se basa en el principio jurídico según el cual las relaciones automáticas, técnicas y pasivas con contenido almacenado o transmitido electrónicamente no generan ni control de éste ni responsabilidad sobre él. |
88. |
El Grupo del artículo 29 ha puesto de manifiesto, en primer lugar y ante todo, que la finalidad del concepto de responsable del tratamiento es determinar quién debe ser responsable del cumplimiento de las normas de protección de datos y asignar esta responsabilidad al lugar de la influencia de hecho. ( 65 ) Según el Grupo del artículo 29, «el principio de proporcionalidad requiere que, en la medida en que un proveedor de un motor de búsqueda actúe exclusivamente como intermediario, no debe considerarse como responsable principal del tratamiento de datos personales efectuado. En este caso, los responsables principales del tratamiento de datos personales son los proveedores de información». ( 66 ) |
89. |
A mi juicio, el proveedor de servicios de motor de búsqueda en Internet no puede ni jurídicamente ni de hecho cumplir las obligaciones del responsable del tratamiento establecidas en los artículos 6, 7 y 8 de la Directiva en relación con los datos personales contenidos en páginas web fuente alojadas en servidores de terceros. Por lo tanto, una interpretación razonable de la Directiva requiere que no se considere que el proveedor de servicios se encuentra con carácter general en esa posición. ( 67 ) |
90. |
La opinión contraria entrañaría que los motores de búsqueda por Internet son incompatibles con el Derecho de la Unión Europea, una conclusión que a mi juicio es absurda. Más concretamente, si se considerara que los proveedores de servicios de motor de búsqueda en Internet son responsables del tratamiento de datos personales contenidos en páginas web fuente de terceros, y si en alguna de estas páginas existiera alguna de las «categorías especiales de datos» a las que se refiere el artículo 8 de la Directiva (por ejemplo, datos personales que revelen las opiniones políticas o las convicciones religiosas, o datos relativos a la salud o a la sexualidad de las personas), la actividad del proveedor de servicios de motor de búsqueda en Internet sería automáticamente ilegal si no se cumplen los estrictos requisitos establecidos en dicho artículo para el tratamiento de tales datos. |
D. Circunstancias en las que el proveedor de servicios de motor de búsqueda en Internet es un «responsable del tratamiento»
91. |
Está claro que los proveedores de servicios de motor de búsqueda en Internet controlan el índice del motor de búsqueda que enlaza los términos clave con las direcciones URL relevantes. El proveedor del servicio determina cómo se estructura el índice y puede bloquear técnicamente algunos resultados, por ejemplo no mostrando direcciones URL de determinados países o dominios en los resultados de la búsqueda. ( 68 ) Además, el proveedor de servicios de motor de búsqueda en Internet controla su índice, en el sentido de que decide si los códigos de exclusión ( 69 ) de la página web fuente han de cumplirse o no. |
92. |
En cambio, no puede considerarse que los contenidos de la memoria oculta del motor de búsqueda en Internet estén bajo el control del proveedor del servicio, porque la memoria oculta es el resultado de procesos técnicamente complejos y automatizados que producen un reflejo de los datos textuales de las páginas web rastreadas, salvo los datos excluidos de la indexación y del archivo. Es interesante el que algunos Estados miembros parezcan establecer excepciones horizontales especiales en relación con la responsabilidad de los motores de búsqueda análogas a la excepción dispuesta en la Directiva 2000/31, sobre el comercio electrónico, en relación con proveedores de determinados servicios de la sociedad de la información. ( 70 ) |
93. |
Sin embargo, por lo que respecta a los contenidos de la memoria oculta, la decisión de no respetar los códigos de exclusión ( 71 ) en una página web entraña en mi opinión la existencia de responsabilidad, en el sentido de la Directiva, sobre tales datos personales. Lo mismo se aplica a las situaciones en las que el proveedor de servicios de motor de búsqueda en Internet no actualiza una página web en su memoria oculta, a pesar de que el sitio en Internet así lo solicite. |
E. Las obligaciones del proveedor de servicios de motor de búsqueda en Internet como «responsable del tratamiento»
94. |
Resulta obvio que si el proveedor de servicios de motor de búsqueda en Internet puede considerarse «responsable del tratamiento», cuando así sea deberá cumplir las obligaciones que establece la Directiva. |
95. |
Por lo que atañe a los criterios relacionados con la legitimación del tratamiento de datos en el supuesto de que no exista consentimiento del interesado [artículo 7, letra a), de la Directiva], parece obvio que la prestación de servicios de motor de búsqueda en Internet persigue intereses legítimos [artículo 7, letra f), de la Directiva], concretamente i) facilitar a los usuarios de Internet el acceso a la información; ii) conseguir que la información cargada en Internet se difunda de modo más efectivo, y iii) poner en marcha diversos servicios de la sociedad de la información proporcionados por el proveedor de servicios de motor de búsqueda en Internet subsidiarios respecto al motor de búsqueda, como la provisión de publicidad mediante palabras clave. Estas tres finalidades están relacionadas con tres derechos fundamentales protegidos por la Carta, concretamente la libertad de información y la libertad de expresión (ambas recogidas en el artículo 11) y la libertad de empresa (artículo 16), respectivamente. Por consiguiente, un proveedor de servicios de motor de búsqueda en Internet persigue intereses legítimos, en el sentido del artículo 7, letra f), de la Directiva, cuando trata datos disponibles en Internet, incluidos datos personales. |
96. |
Como responsable del tratamiento, un proveedor de servicios de motor de búsqueda en Internet debe cumplir los requisitos establecidos en el artículo 6 de la Directiva. En particular, los datos personales deben ser adecuados y relevantes, no ser excesivos en relación con los fines para los que se recogen y estar actualizados, no obsoletos, en relación con las finalidades para las que se recogen. Además, han de ponderarse los intereses del «responsable del tratamiento», o de los terceros en cuyo interés se lleva a cabo el tratamiento, y los de los interesados. |
97. |
En el litigio principal, la pretensión del interesado tiene por objeto que se elimine del índice de Google la indexación de su nombre y apellidos con las direcciones URL del periódico que muestran los datos personales que desea que se cancelen. De hecho, los nombres de personas se usan como términos de búsqueda, y se registran como términos clave en los índices de los motores de búsqueda. Aun así, normalmente un nombre no basta para identificar directamente a una persona física en Internet, ya que, a escala mundial, existen varias personas, incluso miles o millones de ellas, que comparten el mismo nombre o la combinación de nombre (o nombres) y apellidos. ( 72 ) Sin embargo, considero que en la mayoría de los casos la combinación de nombre y apellidos como término de búsqueda permite una identificación indirecta de una persona física, en el sentido del artículo 2, letra a), de la Directiva, ya que el resultado de la búsqueda en un índice de un motor de búsqueda revela un número de enlaces limitado que permite al usuario de Internet distinguir entre personas que comparten el mismo nombre. |
98. |
Un índice de un motor de búsqueda vincula nombres y otros identificadores usados como términos de búsqueda con uno o varios enlaces a páginas web. En la medida en que el enlace es adecuado, en el sentido de que los datos correspondientes al término de búsqueda aparecen realmente o han aparecido en las páginas web enlazadas, a mi juicio el índice cumple los criterios de adecuación, relevancia, proporcionalidad, exactitud y completitud, establecidos en el artículo 6, letras c) y d), de la Directiva. En lo que respecta a los aspectos temporales a los que se refiere el artículo 6, letras d) y e), de la Directiva (los datos personales han de estar actualizados y no deben almacenarse más tiempo del necesario), estas cuestiones también deben examinarse desde el punto de vista del tratamiento de que se trata, es decir, la provisión del servicio de localización de la información, y no como una cuestión relacionada con el contenido de las páginas web fuente. ( 73 ) |
F. Conclusión sobre el segundo grupo de cuestiones
99. |
Sobre la base de este razonamiento, considero que una autoridad nacional de protección de datos no puede requerir a un proveedor de servicios de motor de búsqueda en Internet que retire información de su índice, salvo en los supuestos en que el proveedor de servicios no ha respetado los códigos de exclusión ( 74 ) o en los que no se ha dado cumplimiento a una solicitud emanada de la página web relativa a la actualización de la memoria oculta. Este supuesto no parece pertinente en relación con la presente petición de decisión prejudicial. La existencia de un procedimiento de «detección y retirada» ( 75 ) que afecte a enlaces de las páginas web fuente con contenidos ilícitos o inapropiados es una cuestión regulada por el Derecho nacional, la responsabilidad civil basada en motivos distintos de la protección de datos personales. ( 76 ) |
100. |
Por estos motivos, propongo al Tribunal de Justicia que responda al segundo grupo de cuestiones en el sentido de que, con arreglo a las circunstancias del auto de remisión, un proveedor de servicios de motor de búsqueda en Internet «trata» datos personales, en el sentido del artículo 2, letra b), de la Directiva. Sin embargo, no se puede considerar al proveedor de servicios «responsable del tratamiento» de tales datos personales, en el sentido del artículo 2, letra d), de la Directiva, salvo que estemos ante la excepción antes explicada. |
VII. Tercera cuestión, relativa al posible «derecho al olvido» del interesado
A. Observaciones previas
101. |
La tercera cuestión prejudicial es relevante únicamente si el Tribunal de Justicia rechaza la conclusión a la que he llegado más arriba, de que Google no puede considerarse con carácter general «responsable del tratamiento» con arreglo al artículo 2, letra d), de la Directiva, o bien si el Tribunal de Justicia acepta mi postura de que existen casos en los que podría estimarse que un proveedor de servicios de motor de búsqueda en Internet como Google tiene tal condición. De no ser así, la siguiente sección es redundante. |
102. |
En cualquier caso, mediante su tercera cuestión el tribunal remitente desea saber si los derechos de cancelación y bloqueo de datos, establecidos en el artículo 12, letra b), de la Directiva, y el derecho de oposición, recogido en el artículo 14, letra a), de la Directiva, extienden su ámbito de aplicación para permitir al interesado contactar con los proveedores del servicio de motor de búsqueda en Internet para evitar la indexación de la información que le afecta personalmente que ha sido publicada en páginas web de terceros. Al hacer esto, un interesado busca impedir que información potencialmente perjudicial sea conocida por parte de los usuarios de Internet, o está expresando un deseo de que esa información sea condenada al olvido, aun cuando la información de que se trate haya sido publicada legalmente por terceros. En otras palabras, el tribunal nacional desea saber, en esencia, si puede fundarse un «derecho al olvido» en los artículos 12, letra b), y 14, letra a), de la Directiva. Ésta es la primera cuestión que debe examinarse en el siguiente análisis, y se basará en el tenor y los objetivos de estas disposiciones. |
103. |
Si llego a la conclusión de que los artículos 12, letra b), y 14, letra a), de la Directiva, en sí mismos y por sí mismos, no conceden esta protección, entonces pasaré a analizar si tal interpretación es compatible con la Carta. ( 77 ) Ello requerirá examinar el derecho a la protección de los datos personales consagrado en el artículo 8, el derecho al respeto de la vida privada y familiar, establecido en el artículo 7, las libertades de expresión e información protegidas en el artículo 11 (ambas con respecto a la libertad de expresión de los editores de páginas web y a la libertad de los usuarios de Internet de recibir información), y la libertad de empresa, recogida en el artículo 16. De hecho, los derechos de los interesados dispuestos en los artículos 7 y 8 deberán contraponerse a los derechos, protegidos por los artículos 11 y 16, de aquellos que desean difundir los datos o acceder a ellos. |
B. ¿Equivalen los derechos de rectificación, supresión, bloqueo y oposición establecidos en la Directiva a un «derecho al olvido» del interesado?
104. |
Los derechos de rectificación, supresión y bloqueo de datos establecidos en el artículo 12, letra b), de la Directiva se refieren a datos cuyo tratamiento no cumple lo dispuesto en la Directiva, en particular debido al carácter incompleto o inexacto de los datos (el subrayado es mío). |
105. |
El auto de remisión reconoce que la información que aparece en las páginas web de que se trata no puede considerarse incompleta o inexacta. Menos aún se afirma que el índice de Google o los contenidos de su memoria oculta que incluyen estos datos puedan describirse de este modo. Por tanto, el derecho a rectificación, supresión o bloqueo, al que se refiere el artículo 12, letra b), de la Directiva, sólo surgirá si el tratamiento por parte de Google de datos personales procedentes de terceros es incompatible con la Directiva por otros motivos. |
106. |
El artículo 14, letra a), de la Directiva obliga a los Estados miembros a reconocer al interesado el derecho a oponerse, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. Ello es de aplicación en particular a los casos contemplados en las letras e) y f) del artículo 7, esto es, cuando el tratamiento es necesario en relación con un interés público o para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por terceros. Además, en virtud del artículo 14, letra a), en caso de oposición justificada, «el tratamiento que efectúe el responsable» no podrá referirse ya a esos datos. |
107. |
En las situaciones en las que se considera que los proveedores de servicios de motor de búsqueda en Internet son responsables del tratamiento de datos personales, el artículo 6, apartado 2, de la Directiva les obliga a ponderar los intereses del responsable del tratamiento de los datos, o de los terceros en cuyo interés se tratan los datos, con los del interesado. Como observó el Tribunal de Justicia en la sentencia ASNEF y FECEMD, a la hora de realizar la ponderación es relevante que los datos controvertidos hayan aparecido ya o no en fuentes públicas. ( 78 ) |
108. |
No obstante, como han afirmado casi todas las partes que han presentado observaciones escritas en el presente asunto, considero que la Directiva no establece un derecho general al olvido, en el sentido de que un interesado esté facultado para restringir o poner fin a la difusión de datos personales que considera lesivos o contrarios a sus intereses. La finalidad del tratamiento y los intereses a los que sirve, al compararse con los del interesado, son los criterios que han de aplicarse cuando se procesan datos sin el consentimiento del interesado, y no las preferencias subjetivas de éste. Una preferencia subjetiva por sí sola no equivale a una razón legítima, en el sentido del artículo 14, letra a), de la Directiva. |
109. |
Aunque el Tribunal de Justicia declarase que los proveedores de servicios de motor de búsqueda en Internet se responsabilizan, como responsables del tratamiento, quod non, de los datos personales contenidos en las páginas web fuente de terceros, un interesado tampoco tendría un «derecho al olvido» absoluto que pudiera invocar frente a los proveedores de servicios. Sin embargo, el proveedor de servicios necesitaría ponerse en la posición del editor de la página web fuente y comprobar si la difusión de los datos personales en la página web podría considerarse legal y legítima a los efectos de la Directiva. Dicho de otro modo, el proveedor de servicios necesitaría abandonar su función de intermediario entre usuario y editor y asumir la responsabilidad por el contenido de la página web fuente y, cuando resultase necesario, censurar el contenido evitando o limitando el acceso a éste. |
110. |
En aras de la exhaustividad, resulta útil recordar que la propuesta de la Comisión de Reglamento general de protección de datos establece en su artículo 17 un derecho al olvido. No obstante, la propuesta parece haberse enfrentado a una oposición considerable, y no pretende representar la codificación del Derecho actual, sino una innovación legal importante. Por tanto, no parece afectar a la respuesta que ha de darse a la cuestión prejudicial. Dicho esto, es interesante que, con arreglo al artículo 17, apartado 2, de la propuesta «cuando el responsable del tratamiento […] haya hecho públicos los datos personales, adoptará todas las medidas razonables […] en lo que respecta a los datos de cuya publicación sea responsable, con miras a informar a los terceros que estén tratando dichos datos de que un interesado les solicita que supriman cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos». Este texto parece considerar a los proveedores de servicios de motor de búsqueda en Internet terceros, más que responsables del tratamiento por derecho propio. |
111. |
Por consiguiente, llegó a la conclusión de que los artículos 12, letra b), y 14, letra a), de la Directiva no establecen un derecho al olvido. Ahora pasaré a examinar si la interpretación de estas disposiciones es conforme con la Carta. |
C. Los derechos fundamentales controvertidos
112. |
El artículo 8 de la Carta garantiza a toda persona el derecho a la protección de sus datos personales. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación. El respeto de estas normas quedará sujeto al control de una autoridad independiente. |
113. |
En mi opinión, este derecho fundamental, que es una reafirmación del acervo de la Unión Europea y del Consejo de Europa en la materia, pone énfasis en la importancia de la protección de datos personales, pero, en tanto que tal, no añade ningún elemento nuevo significativo a la interpretación de la Directiva. |
114. |
A tenor del artículo 7, de la Carta, toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones. Esta disposición, en esencia idéntica al artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950 (en lo sucesivo, «CEDH»), debe tenerse en cuenta al interpretar las disposiciones relevantes de la Directiva, que obligan a los Estados miembros a proteger, en particular, el derecho a la vida privada. |
115. |
Deseo recordar que, en el marco del CEDH, su artículo 8 también cubre las cuestiones relativas a la protección de datos personales. Por este motivo, y de conformidad con el artículo 52, apartado 3, de la Carta, la jurisprudencia del Tribunal Europeo de Derechos Humanos relativa al artículo 8 CEDH es relevante, tanto para la interpretación del artículo 7 de la Carta como para la aplicación de la Directiva de conformidad con el artículo 8 de la Carta. |
116. |
El Tribunal Europeo de Derechos Humanos afirmó en la sentencia Niemietz que las actividades profesionales y empresariales de una persona pueden estar incluidas en el concepto de vida privada, tal como la protege el artículo 8 CEDH. La misma orientación se ha seguido en posteriores pronunciamientos de dicho Tribunal. ( 79 ) |
117. |
A mayor abundamiento, el Tribunal de Justicia declaró en la sentencia Volker und Markus Schecke y Eifert ( 80 ) que «el respeto del derecho a la vida privada en lo que respecta al tratamiento de los datos de carácter personal, reconocido por los artículos 7 y 8 de la Carta, se aplica a toda información [el subrayado es mío] sobre una persona física identificada o identificable […], y […] que las limitaciones al derecho a la protección de los datos de carácter personal que pueden establecerse legítimamente corresponden a las toleradas en el contexto del artículo 8 del CEDH». |
118. |
Sobre la base de la sentencia Volker und Markus Schecke y Eifert, llego a la conclusión de que la protección de la vida privada con arreglo a la Carta, por lo que se refiere al tratamiento de datos personales, cubre toda información relativa a una persona física, con independencia de si actúa en la esfera meramente privada o como operador económico, o, por ejemplo, como político. A la luz de los amplios conceptos de datos personales y tratamiento en el Derecho de la Unión, parece desprenderse de la jurisprudencia antes mencionada que cualquier acto de comunicación basado en medios automáticos, como las telecomunicaciones, el email o las redes sociales, relativo a una persona física constituye una interferencia putativa tal de este derecho fundamental que requiere justificarse. ( 81 ) |
119. |
En el punto 75 he llegado a la conclusión que un proveedor de servicios de motor de búsqueda en Internet lleva a cabo un tratamiento de datos personales mostrados en páginas web fuente de terceros. Por ello, se desprende de la sentencia del Tribunal de Justicia en el asunto Volker und Markus Schecke y Eifert que, con independencia de cómo se clasifica su papel con arreglo a la Directiva, existe una interferencia con el derecho, recogido en el artículo 7 de la Carta, a la vida privada de los interesados de que se trate. De acuerdo con el CEDH y con la Carta, toda interferencia en el ejercicio de los derechos reconocidos deberá ser establecida por la ley y ser necesaria en una sociedad democrática. En el presente asunto no estamos ante una interferencia de las autoridades pública que necesite una justificación, sino ante la cuestión de hasta qué punto debe tolerarse una interferencia de personas de Derecho privado. Los límites están establecidos en la Directiva, y por tanto, por la ley, como requiere el CEDH. Por ello, cuando se interpreta la Directiva, la labor versa precisamente sobre la interpretación de los límites fijados al tratamiento de datos por parte de personas de Derecho privado a la luz de la Carta. De ello se deriva la cuestión de si existe una obligación positiva de la Unión Europea y de sus Estados miembros de aplicar un derecho al olvido frente a los proveedores de servicios de motor de búsqueda en Internet, que son personas de Derecho privado. ( 82 ) Esto lleva a su vez plantearse si existe justificación de la interferencia en los artículos 7 y 8 de la Carta y a examinar la relación con los derechos concurrentes de libertad de expresión y de información y con la libertad de empresa. |
D. Derechos de libertad de expresión e información y libertad de empresa
120. |
El presente asunto afecta, desde múltiples puntos de vista, a la libertad de expresión e información consagrada en el artículo 11 de la Carta, concordante con el artículo 10 CEDH. El artículo 11, apartado 1, de la Carta establece que «toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras.» ( 83 ) |
121. |
El derecho de los usuarios de Internet a buscar o recibir información disponible en Internet está protegido por el artículo 11 de la Carta. ( 84 ) Afecta tanto a la información contenida en las páginas web fuente cuanto a la información proporcionada por los motores de búsqueda. Como ya he mencionado, Internet ha revolucionado el acceso a todo tipo de información y su difusión, y ha puesto en marcha nuevos medios de comunicación y de interacción social entre particulares. A mi juicio, el derecho fundamental a la información merece protección particular en Derecho de la Unión Europea, particularmente a la luz de la tendencia cada vez mayor de los regímenes autoritarios en todo el mundo a limitar el acceso a Internet o a censurar el contenido disponible en él. ( 85 ) |
122. |
Los editores de páginas web disfrutan igualmente de protección con arreglo al artículo 11 de la Carta. Poner contenidos a disposición del público en Internet equivale, como tal, a la libertad de expresión, ( 86 ) máxime cuando el editor ha enlazado su página a otras y no ha limitado su indexación o archivo por parte de los motores de búsqueda, indicando de este modo su deseo de que su contenido se difunda ampliamente. La publicación en la web es un medio para que los particulares participen en debates o difundan sus propios contenidos, o contenidos cargados por otros, en Internet. ( 87 ) |
123. |
En particular, la presente petición de decisión prejudicial versa sobre datos personales publicados en la hemeroteca de un periódico. En la sentencia Times Newspapers Ltd v. Reino Unido (no 1 y 2), el Tribunal Europeo de Derechos Humanos observó que los archivos en Internet realizan una contribución sustancial a la preservación y a la puesta a disposición de noticias e información: «tales archivos constituyen una fuente importante para la educación y la investigación histórica, en especial cuando están disponibles al público y son gratuitos con carácter general [...] Sin embargo, el margen de apreciación concedido a los Estados para ponderar los derechos en liza es más probable que sea mayor cuando se trata de archivos de noticas relativas a eventos pasados, más que a noticias que cubren asuntos de actualidad. Más concretamente, el deber de la prensa de actuar de acuerdo con los principios de periodismo responsable al garantizar la exactitud [el subrayado es mío] de la información histórica, antes que de la actual, puede ser más estricto a falta de toda urgencia a la hora de publicar el material». ( 88 ) |
124. |
Los proveedores de servicios de motor de búsqueda en Internet comerciales ofrecen sus servicios de localización de información en el marco de actividad empresarial que tiene por objeto obtener beneficios de la publicidad a partir de palabras clave. Ello los convierte en empresas, cuya libertad reconoce el artículo 16 de la Carta con arreglo al Derecho de la Unión Europea y al Derecho nacional. ( 89 ) |
125. |
Además, debe recordarse que ninguno de los derechos controvertidos en el presente asunto es absoluto. Pueden limitarse, siempre que exista una justificación aceptable a la luz de los requisitos establecidos en el artículo 52, apartado 1, de la Carta. ( 90 ) |
E. ¿Puede derivarse un «derecho al olvido» de un interesado del artículo 7 de la Carta?
126. |
Por último, es necesario considerar si la interpretación de los artículos 12, letra b), y 14, letra a), de la Directiva, realizada a la luz de la Carta, y más concretamente de su artículo 7, puede llevar al reconocimiento de un «derecho al olvido», en el sentido al que se refiere el tribunal nacional. En principio, esta afirmación no sería contraria al artículo 51, apartado 2, de la Carta, ya que afectaría a la precisión del alcance del derecho de acceso y el derecho de oposición del interesado ya reconocidos por la Directiva, no a la creación de nuevos derechos o la ampliación del ámbito de aplicación del Derecho de la Unión. |
127. |
El Tribunal Europeo de Derechos Humanos sostuvo en el asunto Aleksey Ovchinnikov ( 91 ) que «una restricción a la reproducción de información que ya se ha hecho pública puede estar justificada en determinadas circunstancias, por ejemplo para impedir que se difundan más los detalles de la vida privada de un particular que no guardan relación con un debate político o público sobre cuestiones de importancia general». Por tanto, en principio, el derecho fundamental a la protección de la vida privada puede invocarse aunque la información de que se trate se haya ya hecho pública. |
128. |
Sin embargo, el derecho de un interesado a la protección de su vida privada debe ponerse en equilibrio con otros derechos fundamentales, especialmente la libertad de expresión y la libertad de información. |
129. |
La libertad de información del editor de un periódico protege su derecho a volver a publicar en formato digital en Internet su edición impresa. En mi opinión, las autoridades, incluidas las de protección de datos, no pueden censurar esta nueva publicación. La sentencia Times Newspapers Ltd v. Reino Unido (no 1 y 2) del Tribunal Europeo de Derechos Humanos ( 92 ) demuestra que la responsabilidad del editor por lo que respecta a la exactitud de las publicaciones históricas puede ser más amplia que la de las noticias actuales, y puede requerir el uso de reservas apropiadas que complementen el contenido controvertido. Sin embargo, en mi opinión no cabría justificación al hecho de exigir que la nueva publicación digital de un número de un periódico tenga un contenido distinto del publicado originalmente. Ello equivaldría a falsificar la historia. |
130. |
El problema de protección de datos que constituye el núcleo del presente asunto sólo surge si un usuario de Internet introduce el nombre y apellidos del interesado en el motor de búsqueda. En tal situación, el usuario de Internet está haciendo uso activo de su derecho a recibir información relativa al interesado desde fuentes públicas por motivos que sólo él conoce. ( 93 ) |
131. |
En la sociedad de la información actual, el derecho a la búsqueda de información publicada en Internet mediante motores de búsqueda es una de las formas más importantes de ejercitar este derecho fundamental. Este derecho cubre sin lugar a dudas el derecho a buscar información relacionada con otras personas que está, en principio, protegida por el derecho a la vida privada, como la información disponible en Internet sobre las actividades de un particular en su condición de empresario o político. El derecho a la información de un usuario de Internet se vería comprometido si su búsqueda de información relativa a una persona física no generara resultados que ofrezcan un reflejo veraz de las páginas web relevantes, sino una versión «bowdlerizada» ( 94 ) de las mismas. |
132. |
Un proveedor de servicios de motor de búsqueda en Internet ejerce legalmente tanto su libertad de empresa como su libertad de expresión cuando pone a disposición del público herramientas de localización de información en Internet basadas en un motor de búsqueda. |
133. |
La pléyade particularmente compleja y difícil de derechos fundamentales que presenta el caso de autos impide que deba justificarse el refuerzo de la situación jurídica de los interesados con arreglo a la Directiva, e imbuirla del derecho al olvido. Ello entrañaría sacrificar derechos básicos, como la libertad de expresión e información. También desaconsejaría al Tribunal de Justicia que declarara que estos intereses en conflicto pueden equilibrarse de modo satisfactorio en cada situación concreta sobre una base casuística, dejando la decisión en manos del proveedor de servicios de motor de búsqueda en Internet. Es posible que tales «procedimientos de detección y retirada», si los exige el Tribunal de Justicia, conduzcan a una retirada automática de enlaces a todo contenido controvertido o a un número de solicitudes inmanejable formuladas por los proveedores de servicios de motor de búsqueda en Internet más populares y más importantes. ( 95 ) En este marco, es preciso recordar que los «procedimientos de detección y retirada» recogidos en la Directiva 2000/31, sobre el comercio electrónico, están relacionados con los contenidos ilegales, pero en el marco del presente asunto nos enfrentamos a una solicitud de eliminación de información legítima y legal que se ha hecho pública. |
134. |
Más concretamente, los proveedores de servicios de motor de búsqueda en Internet no deben verse frenados por tal obligación. Ello traería consigo una interferencia en la libertad de expresión del editor de la página web, que no disfrutaría de una protección legal adecuada en tal situación, dado que cualquier «procedimiento de detección y retirada» que no esté regulado es una cuestión privada entre el interesado y el proveedor de servicios de motor de búsqueda. ( 96 ) Equivaldría a una censura del contenido publicado realizada por un tercero. ( 97 ) Constituye una cuestión completamente distinta el que los Estados tengan obligaciones positivas de establecer un recurso adecuado contra el editor que vulnera el derecho a la vida privada, lo que en el marco de Internet afectaría al editor de la página web. |
135. |
Como ha observado el Grupo del artículo 29, es posible que la responsabilidad secundaria de los proveedores de servicio de motor de búsqueda con arreglo al Derecho nacional implique la existencia de deberes que exijan bloquear el acceso a páginas web de terceros con contenidos ilegales, como las páginas web que vulneran derechos de propiedad intelectual, o que muestran información injuriosa o delictiva. ( 98 ) |
136. |
Por el contrario, no puede invocarse frente a ellos ningún derecho generalizado al olvido sobre la base de la Directiva, aun cuando se interprete de acuerdo con la Carta. |
137. |
Por estos motivos, propongo al Tribunal de Justicia que responda a la tercera cuestión en el sentido de que los derechos de supresión y cancelación de datos, establecidos en el artículo 12, letra b), y el derecho de oposición, recogido en el artículo 14, letra a), de la Directiva no se extienden a un derecho al olvido como el descrito en el auto de remisión. |
VIII. Conclusión
138. |
A la luz de las observaciones precedentes, propongo al Tribunal de Justicia que responda del siguiente modo a las cuestiones prejudiciales planteadas por la Audiencia Nacional:
|
( 1 ) Lengua original: inglés.
( 2 ) Harvard Law Review, vol. IV, no 5, 15 de diciembre de 1890.
( 3 ) De hecho, «Internet» incluye dos servicios principales, es decir, el World Wide Web y el servicio de correo electrónico. Mientras que Internet, como red de ordenadores interconectados, ya venía existiendo en distintas formas durante algún tiempo, comenzando por Arpanet (Estados Unidos), la red abierta de libre acceso mediante direcciones www y una estructura de código común sólo comenzó a inicios de los años noventa. Parece ser que el término históricamente correcto sería World Wide Web. Sin embargo, dado el uso común y las elecciones en materia de terminología de la jurisprudencia del Tribunal de Justicia, en el resto del texto el término «Internet» se empleará principalmente para referirse a la parte World Wide Web de la red.
( 4 ) La localización de las páginas se identifica con una dirección individual, la «URL» Uniform Resource Locator), sistema creado en 1994. Puede accederse a una página web tecleando su URL en el navegador, directamente o mediante la ayuda de un nombre de dominio. Las páginas web deben codificarse mediante algún lenguaje de marcado. HyperText Markup Language (HTML) es el principal lenguaje de marcado para crear páginas web y otra información que puede mostrarse en un navegador.
( 5 ) Ilustra el ámbito respectivo de estas situaciones la siguiente información (aunque no existen cifras exactas disponibles). En primer lugar, se calcula que pueden existir más de 600 millones de sitios de Internet. En ellos parece haber más de 40.000 millones de páginas web. En segundo lugar, en relación con los motores de búsqueda, su número es mucho más limitado: a lo que parece, existen menos de 100 motores de búsqueda importantes, y actualmente Google parece tener una enorme cuota en muchos mercados. Se dice que el éxito del motor de búsqueda de Google radica en sus muy potentes rastreadores, sus eficientes sistemas de indexación y en una tecnología que permite que los resultados de búsqueda se ordenen de acuerdo con la relevancia que tienen para el usuario (incluido el algoritmo patentado PageRank). Véase López Tarruella, A. «Introduction: Google Pushing the Boundaries of Law», en Google and the Law. Empirical Approaches to Legal Aspects of Knowledge Economy Business Models, Ed. Lopez Tarruella, A., T.M.C. Asser Press, The Hague, 2012, pp. 1 a 8, especialmente p. 2. En tercer lugar, más de tres cuartas partes de la población europea hace uso de Internet y, en la medida en que utilizan los motores de búsqueda, sus datos personales, como usuarios de los motores de búsqueda en Internet, pueden ser recopilados y procesados por el motor de búsqueda en Internet que usen.
( 6 ) Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31).
( 7 ) Véase, con carácter general, el dictamen 1/2008, sobre cuestiones de protección de datos relacionadas con motores de búsqueda (WP 148), del Grupo del artículo 29. La política de privacidad de Google, por lo que se refiere a los usuarios de su motor de búsqueda en Internet, está siendo objeto de examen por parte de las autoridades de protección de datos de los Estados miembros. A la cabeza se halla la autoridad francesa de protección de datos, la CNIL. Acerca de la evolución reciente de esta cuestión, véase el escrito de 16 de octubre de 2012 del Grupo del artículo 29 a Google, disponible en la página web mencionada en la nota 22 infra.
( 8 ) Véase el punto 19 de las presentes conclusiones.
( 9 ) En lo sucesivo, por «motor de búsqueda en Internet» se entiende la combinación de software y equipamiento que permite la búsqueda de texto y de contenido audiovisual en Internet. Las cuestiones específicas relativas a los motores de búsqueda que operan en un dominio en Internet (o página web) determinado, como http://curia.europa.eu, no son objeto de las presentes conclusiones. Por «proveedor de servicios de motor de búsqueda en Internet» se entiende el operador económico que da acceso a un motor de búsqueda. En el presente asunto, Google Inc. parece ser el proveedor del servicio de acceso al motor de búsqueda de Google y a muchas funciones adicionales de búsqueda, como maps.google.com y news.google.com.
( 10 ) Sentencia de 6 de noviembre de 2003 (C-101/01, Rec. p. I-12971).
( 11 ) Sentencia de 20 de mayo de 2003 (C-465/00, C-138/01 y C-139/01, Rec. p. I-4989).
( 12 ) Auto de 12 de septiembre de 2007 (C-73/07, Rec. p. I-7075).
( 13 ) Sentencia de 9 de noviembre de 2010 (C-92/09 y C-93/09, Rec. p. I-11063).
( 14 ) Sentencias de 23 de marzo de 2010 (asuntos acumulados C-236/08 a C-238/08, Rec. p. I-2417); de 8 de julio de 2010, C-558/08, Rec. p. I-6963); de 12 de julio de 2011 (C-324/09, Rec. p I-6011); de 22 de septiembre de 2011 (C-323/09, Rec. p. I-8625), y de 19 de abril de 2012 (C‑523/10).
( 15 ) Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), COM(2012) 11 final.
( 16 ) BOE no 298, de 14 de diciembre de 1999, p. 43088.
( 17 ) En virtud de su undécimo considerando, «los principios de la protección de los derechos y libertades de las personas y, en particular, del respeto de la intimidad, contenidos en la presente Directiva, precisan y amplían los del Convenio de 28 de enero de 1981 del Consejo de Europa para la protección de las personas en lo que respecta al tratamiento automatizado de los datos personales».
( 18 ) Dictamen 1/2010 del Grupo del artículo 29, sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» (WP 169), pp. 3 y 4.
( 19 ) Véase, por ejemplo, la sentencia de 25 de octubre de 2011, eDate Advertising y Martinez (C-509/09 y C-161/10, Rec. p. I-10269), apartado 45.
( 20 ) Un periódico incluye normalmente datos personales, como nombres de personas físicas. Estos datos personales son objeto de tratamiento cuando se consultan mediante medios automáticos. Este tratamiento está incluido en el ámbito de aplicación de la Directiva a menos que se lleve a cabo por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. Véanse los artículos 2, letras a), y b), y 3, apartado 2, de la Directiva. Además, la lectura de un documento o la presentación de imágenes que incluyen datos personales también equivale a su tratamiento. Véase Dammann, U. y Simitis, S.: EG‑Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden–Baden, 1997, p. 110.
( 21 ) Véase la sentencia Lindqvist, antes citada, apartados 67 a 70, por lo que se refiere a la interpretación del artículo 25 de la Directiva.
( 22 ) Los dictámenes están disponibles en la siguiente dirección: http://ec.europa.eu/justice/data-protection/index_en.htm.
( 23 ) Los motores de búsqueda en Internet evolucionan constantemente y la finalidad de estas conclusiones es únicamente proporcionar una visión general de las características más notables que sean relevantes a los efectos de las presentes conclusiones.
( 24 ) Directiva del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO L 178, p. 1).
( 25 ) Véanse el considerando 18 y el artículo 2, letra a), en relación con el artículo 1, apartado 2, de la Directiva 98/34/CE, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas (DO L 204, p. 37), en su versión modificada por la Directiva 98/48/CE del Parlamento Europeo y del Consejo, de 20 de julio de 1998 (DO L 217, p. 18).
( 26 ) Sentencia Lindqvist, antes citada, apartados 25 a 27.
( 27 ) Un código típico de exclusión (o protocolo de la exclusión de robots) se llama «robots.txt»; véase http://es.wikipedia.org/wiki/Robots.txt o http://www.robotstxt.org/ (en inglés).
( 28 ) Sin embargo, los códigos de exclusión no impiden técnicamente la indexación o la presentación, sino que el proveedor del servicio que gestiona un motor de búsqueda puede decidir ignorarlos. Los proveedores de servicios de motor de búsqueda en Internet más importantes, Google incluido, alegan que respetan tales códigos incluidos en la página web fuente. Véase el dictamen 1/2008 del Grupo del artículo 29, p. 14.
( 29 ) Véase la sentencia del Tribunal Europeo de Derechos Humanos K.U. v Finlandia, no 2872/02, ECHR 2008), § 43 y 48, en la que dicho Tribunal se refirió a la existencia de obligaciones positivas inherentes al respeto efectivo de la vida privada o familiar. Estas obligaciones pueden entrañar la adopción de medidas encaminadas a garantizar el respeto de la vida privada aun en la esfera de las relaciones entre particulares. En la sentencia K.U. v Finlandia se declaró que el Estado tenía una obligación positiva de garantizar la existencia de un recurso efectivo contra el editor.
( 30 ) Sin embargo, Internet no es un único, inmenso, banco de datos creado por el «Gran Hermano», sino un sistema descentralizado de información generada por un sinfín de fuentes independientes en el que la accesibilidad y la difusión de la información se basan en servicios intermedios que, a este respecto, no tienen nada que ver con los contenidos.
( 31 ) Véanse, sobre este particular, mis conclusiones presentadas en el asunto que dio lugar a la sentencia L’Oréal y otros, antes citada, puntos 54 y ss.
( 32 ) Ello corresponde con la tercera situación mencionada en el punto 3 de las presentes conclusiones.
( 33 ) Como ejemplos de un sistema de publicidad a partir de palabras clave (AdWords de Google), véanse las sentencias Google Francia y Google, antes citada, apartados 22 y 23; de 25 de marzo de 2010, BergSpechte (C-278/08, Rec. p. I-2517), apartados 5 a 7; de 8 de julio de 2010, Portakabin, antes citada, apartados 8 a 10, e Interflora British Unit, antes citada, apartados 9 a 13).
( 34 ) Sentencias del Tribunal de Justicia de 5 de octubre de 2010, McB. (C-400/10 PPU, Rec. p. I-8965), apartados 51 y 59; de 15 de noviembre de 2011, Dereci y otros, (C-256/11, Rec. p I-11315), apartados 71 y 72; de 8 de noviembre de 2012, Iida (C‑40/11), apartado 78, y de 26 de febrero de 2013, Åkerberg Fransson (C‑617/10,), apartado 23.
( 35 ) Por ejemplo, en la sentencia McB., antes citada, el Tribunal de Justicia rechazó una interpretación, solicitada sobre la base del artículo 7 de la Carta, del término «derechos de custodia», contenido en el artículo 2, número 9, del Reglamento (CE) no 2201/2003 del Consejo, de 27 de noviembre de 2003, relativo a la competencia, el reconocimiento y la ejecución de resoluciones judiciales en materia matrimonial y de responsabilidad parental, por el que se deroga el Reglamento (CE) no 1347/2000 (DO L 338, p. 1) que habría ampliado su contenido. Dicho esto, es obvio que, si es imposible interpretar una disposición del Derecho de la Unión con arreglo a los derechos fundamentales protegidos por dicho Derecho, debe declararse la nulidad de la disposición. Véase la sentencia de 1 de marzo de 2011 Association belge des Consommateurs Test‑Achats y otros (C-236/09, Rec. p. I-773), apartados 30 a 34.
( 36 ) Dictamen 8/2010, sobre el Derecho aplicable, del Grupo del artículo 29 (WP 179), p. 8.
( 37 ) Dictamen 8/2010 del Grupo del artículo 29, pp. 24 y 31.
( 38 ) Véase el artículo 3, apartado 2, letra a), de la Propuesta de la Comisión.
( 39 ) Sentencia L’Oréal y otros, antes citada, y Directiva 2000/31, sobre el comercio electrónico.
( 40 ) Reglamento del Consejo, de 22 de diciembre de 2000, relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil (DO 2001 L 12, p. 1). Véanse las sentencias de 7 de diciembre de 2010, Pammer y Hotel Alpenhof (C-585/08 y C-144/09, Rec. p. I-12527) y Wintersteiger, antes citada. Véase también mis conclusiones presentadas en el asunto Pinckney, pendiente ante el Tribunal de Justicia.
( 41 ) Directiva del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información (DO L 167, p. 10), y sentencia de 21 de junio de 2012, Donner (C‑5/11).
( 42 ) La resolución de remisión no especifica qué significa «centro de gravedad», pero esta expresión fue empleada por el Abogado General Cruz Villalón en sus conclusiones en el asunto que dio lugar a la sentencia eDate Advertising y Martinez, antes citada, puntos 32 y 55.
( 43 ) Dictamen 8/2010 del Grupo del artículo 29, pp. 8 y 9. El Grupo también pone de manifiesto que el término «equipment» usado en la versión en lengua inglesa de la Directiva es demasiado restrictivo, ya que las otras versiones lingüísticas hablan de «medios», que incluye dispositivos inmateriales, como las cookies (véase pp. 20 y 21).
( 44 ) Véase, en particular, el dictamen 8/2010 del Grupo del artículo 29, antes citado, p. 19, en donde se afirma que el artículo 4, apartado 1, letra c), de la Directiva debería aplicarse, a pesar de su tenor, cuando el responsable del tratamiento tiene establecimientos en la Unión Europea pero sus actividades no guardan relación con el tratamiento de datos personales concreto.
( 45 ) Véase la sentencia Google France y Google, antes citada, apartado 23.
( 46 ) Véanse la sentencia Google France y Google, antes citada, apartado 25, y el dictamen 1/2008 del Grupo del artículo 29, pp. 5 y 6. Resulta sencillo comprobar que el uso de las mismas palabras clave en los diferentes dominios nacionales de Google puede suponer que se muestren distintos resultados y anuncios.
( 47 ) Dictamen 1/2008 del Grupo del artículo 29, antes citado, p. 10.
( 48 ) Véase el artículo 2, letra a), de la Directiva, con arreglo al cual datos personales significa «toda información sobre una persona física identificada o identificable». El Grupo del artículo 29, en su dictamen 4/2007, sobre el concepto de datos personales (WP 136), ofrece una amplia lista de ejemplos. El Tribunal de Justicia confirmó esta interpretación extensiva en la sentencia Lindqvist, antes citada, apartados 24 a 27. Véanse también la sentencia Österreichischer Rundfunk y otros, antes citada, apartado 64; el auto Satakunnan Markkinapörssi y Satamedia, antes citado, apartados 35 a 37; las sentencias de 16 de diciembre de 2008, Huber, (C-524/06, Rec. p. I-9705), apartado 43; de 7 de mayo de 2009, Rijkeboer (C-553/07, Rec. p. I-3889), apartado 62; de 19 de abril de 2012, Bonnier Audio y otros (C‑461/10), apartado 93, y Volker und Markus Schecke y Eifert, antes citada, apartados 23, 55 y 56.
( 49 ) El Grupo del artículo 29 recuerda que «para que la información sea considerada como datos personales no es necesario que esté recogida en una base de datos o en un fichero estructurado. También la información contenida en un texto libre en un documento electrónico puede calificarse como datos personales […]». Véase el dictamen 4/2007, p. 8.
( 50 ) Existen motores de búsqueda o aplicaciones de los motores de búsqueda que están especialmente dirigidos a datos personales, que, como tales, pueden identificarse por su formato (como los números de afiliación a la seguridad social) o su composición (cadenas de signos que se corresponden con nombres y apellidos). Véase el dictamen 1/2008 del Grupo del artículo 29, p 14. Tales motores de búsqueda pueden generar problemas específicos de protección de datos que no forman parte del objeto de las presentes conclusiones.
( 51 ) Sin embargo, las llamadas páginas huérfanas, sin ningún enlace a otras páginas web, son inaccesibles para el motor de búsqueda.
( 52 ) Las páginas web halladas por el rastreador se almacenan en la base de datos del índice de Google, que está organizado alfabéticamente por términos de búsqueda, y cada entrada del índice almacena una lista de documentos en los que aparece el término y su localización en el texto. Algunas palabras, como artículos, pronombres y adverbios comunes, o determinadas cifras y letras aisladas no se indexan. Véase http://www.googleguide.com/google_works.html.
( 53 ) Estas copias (las llamadas «instantáneas») de las páginas web almacenadas en la memoria oculta de Google consisten únicamente de un código html, y no de imágenes, que deben cargarse desde su localización original. Véase Peguera, M.: «Copyright Issues Regarding Google Images and Google Cache», en Google and the Law, antes citada, pp. 169 a 202, especialmente p. 174.
( 54 ) Los proveedores de servicios de motor de búsqueda en Internet permiten normalmente a los webmasters solicitar que se actualice la copia de la página web en la memoria oculta. Las instrucciones para ello pueden hallarse en la página Herramientas para webmasters de Google.
( 55 ) Parece ser que versiones lingüísticas de la Directiva distintas de la inglesa, como la francesa, la alemana, la española, la sueca y la neerlandesa hablan de «responsable del tratamiento», no de controlador. Algunas versiones lingüísticas, como la finesa y la polaca, emplean términos más neutrales («rekisterinpitäjä», en finés; «administrator danych», en polaco).
( 56 ) Sentencia antes citada, apartado 68.
( 57 ) Dictamen 1/2008 del Grupo del artículo 29, p. 14, nota 17. Con arreglo al dictamen, el papel de los usuarios del motor de búsqueda no estará regulado por la Directiva sobre protección de datos, puesto que se trata de «actividades exclusivamente personales». En mi opinión, no puede sostenerse esta afirmación. Normalmente, los usuarios de Internet también usan los motores de búsqueda para realizar actividades que no son exclusivamente personales, como el uso por motivos de trabajo, estudios, actividad empresarial empresa o actividad del tercer sector.
( 58 ) En su dictamen 4/2007, antes citado, el Grupo del artículo 29 ofrece numerosos ejemplos en relación con el concepto de tratamiento de datos personales, incluido el de responsable del tratamiento, y me parece que en todos los ejemplos ofrecidos se cumple este requisito.
( 59 ) Dictamen 1/2010 del Grupo del artículo 29, p. 9.
( 60 ) Op.cit., p. 14.
( 61 ) Dammann y Simitis (op. cit., p. 120) observan que el tratamiento mediante medios automáticos no sólo afecta al soporte en el que se registran los datos (Datenträger), sino que además está relacionado con los datos en su dimensión semántica o material. En mi opinión, es crucial que los datos personales sean, de acuerdo con la Directiva, «información», es decir, contenido semáticamente relevante.
( 62 ) Dictamen 1/2008 del Grupo del artículo 29, p. 14.
( 63 ) Sentencia Lindqvist, antes citada, apartado 27.
( 64 ) Auto Satakunnan Markkinapörssi y Satamedia, antes citado, apartado 37.
( 65 ) Dictamen 1/2010 del Grupo del artículo 29, pp. 4 y 9.
( 66 ) Dictamen 1/2008 del Grupo del artículo 29, p. 14.
( 67 ) El dictamen 1/2008 del Grupo del artículo 29, p. 14, añade, no obstante, que la medida en la que tiene una obligación de retirar o bloquear datos personales puede depender de la legislación en materia de responsabilidad civil y de las normas en materia de responsabilidad del Estado miembro en cuestión. En algunos Estados miembros, para evitar ser responsable civil se exige que el motor de búsqueda en Internet siga unos procedimientos de «detección y retirada».
( 68 ) Según un autor, Google realiza este filtrado en casi todos los países, por ejemplo en relación con las infracciones de los derechos de propiedad intelectual. Además, en Estados Unidos se ha filtrado información crítica en relación con la Cienciología. En Francia y Alemania, Google filtra resultados relativos a «objetos vinculados al nazismo, negacionistas, supremacistas blancos y sitios que difunden ideas contrarias al orden constitucional democrático». Pueden verse más ejemplos en Friedmann, D.: «Paradoxes, Google and China: How Censorship can Harm and Intellectual Property can Harness Innovation», en Google and the Law, antes citado, pp. 303 a 327, especialmente p. 307.
( 69 ) Véase el punto 41 de las presentes conclusiones.
( 70 ) Primer informe sobre la aplicación de la [Directiva sobre el comercio electrónico], COM(2003) 702 final, p. 13, nota 69, y dictamen 1/2008 del Grupo del artículo 29, p. 13, nota 16.
( 71 ) Véase el punto 41 de las presentes conclusiones.
( 72 ) La capacidad de un nombre propio de identificar a una persona física depende del contexto. Un nombre de uso común puede no identificar a una persona en Internet, pero sí, seguramente, por ejemplo, en una clase. Durante el tratamiento informático de datos personales se asigna a cada persona normalmente un identificador único para evitar la confusión entre dos personas. Un ejemplo típico de estos identificadores son los números de afiliación a la Seguridad Social. Sobre este particular, véase el dictamen 4/2007 del Grupo del artículo 29, p. 13 y el dictamen 1/2008, p. 9 nota 11.
( 73 ) No obstante, es interesante señalar que, en el marco de los datos almacenados por agencias gubernamentales, el Tribunal Europeo de Derechos Humanos ha declarado que «el Derecho nacional debe garantizar, en particular, que estos datos son relevantes y no son excesivos en relación con el objetivo por el cual se almacenan, y que se conservan de un modo que permite la identificación de los interesados por un lapso de tiempo que no supere el requerido para alcanzar el objetivo por razón del cual se almacenan» (S. y Marper v. Reino Unido, nos 30562/04 y 30566/04, §103, ECHR 2008; Segerstedt Wiberg y otros v. Suecia, no 62332/00, § 90, ECHR 2006 VII). Sin embargo, el Tribunal Europeo de Derechos Humanos ha reconocido también, en el marco del artículo 10 CEDH, sobre el derecho a la libertad de expresión, «la contribución sustancial realizada por los archivos en Internet a la preservación y la puesta a disposición de noticias e información» (Times Newspapers Ltd v. Reino Unido (nos 1 y 2), nos 3002/03, 23676/03, 3002/03 y 23676/03, § 4, ECHR 2009).
( 74 ) Véase el punto 41 de las presentes conclusiones.
( 75 ) Véase el artículo 14 de la Directiva sobre comercio electrónico.
( 76 ) Dictamen 1/2008 del Grupo del artículo 29, p. 14.
( 77 ) Éste fue el enfoque aplicado por el Tribunal de Justicia en la sentencia McB., antes citada, apartados 44 y 49.
( 78 ) Sentencia de 24 de noviembre de 2011 (C-468/10 y C-469/10, Rec. p I-12181), apartados 44 y 45. El Tribunal Europeo de Derechos Humanos ha señalado que la publicación de datos personales establece un límite al interés superior relativo a la protección de la confidencialidad: Ovchinnikov v. Rusia, § 49, no 24061/04, 16 de diciembre de 2010.
( 79 ) Tribunal Europeo de Derechos Humanos, Niemietz v. Alemania, no 13710/88, 16 de diciembre de 1992, § 29, Serie A no 251 B; Amann v. Suiza, no 27798/95, § 65, ECHR 2000‑II, y Rotaru v. Rumanía, no 28341/95, § 43,ECHR 2000 V.
( 80 ) Antes citada, apartado 52.
( 81 ) En cambio, el Tribunal Europeo de Derechos Humanos ha declinado proporcionar una definición de vida privada en términos positivos. De acuerdo con dicho Tribunal, el concepto de vida privada es amplio y no puede definirse de manera exhaustiva (véase Costello‑Roberts v. Reino Unido, no 13134/87, 25 de marzo de 1993, § 36, Serie A no 247‑C).
( 82 ) Sobre las obligaciones positivas del Estado en aras de proteger la privacidad, cuando se ve amenazada por particulares, y la necesidad de ponderar estas obligaciones con el derecho a la libertad de expresión de éste, véase, por ejemplo, Von Hannover v. Alemania, no 59320/00, ECHR 2004–VI y Ageyevy v. Rusia, no 7075/10, 18 de abril de 2013.
( 83 ) Tribunal Europeo de Derechos Humanos, Handyside, 7 de diciembre de 1976, § 49, Serie A no 24; Müller y otros, 24 de mayo de 1988, § 33, Serie A no 133; Vogt v. Alemania, 26 de septiembre de 1995, § 52, Serie A no 323, y Guja v. Moldavia, no 14277/04, § 69, ECHR 2008. Véanse también la sentencia del Tribunal de Justicia de 6 de marzo de 2001, Connolly/Comisión (C-274/99 P, Rec. p. I-1611), apartado 39, y las conclusiones de la Abogado General Kokott presentadas en el asunto que dio lugar al auto Satakunnan Markkinapörssi y Satamedia antes citado, punto 38.
( 84 ) Sentencia del Tribunal de Justicia de 16 de febrero de 2012, SABAM (C‑360/10), apartado 48.
( 85 ) Naciones Unidas, Informe del Relator Especial sobre el derecho a la libertad de opinión y de expresión, Frank La Rue (documento A/HRC/17/27), de 16 de mayo de 2011.
( 86 ) Auto Satakunnan Markkinapörssi y Satamedia antes citado, apartado 60.
( 87 ) Debe recordarse aquí que la excepción relativa al periodismo contenida en el artículo 9 de la Directiva se aplica «no sólo a las empresas de medios de comunicación, sino también a toda persona que ejerza una actividad periodística»; véase el auto Satakunnan Markkinapörssi y Satamedia, antes citado, apartado 58.
( 88 ) Tribunal Europeo de Derechos Humanos, Times Newspapers Ltd, antes citada, § 45.
( 89 ) Sentencias del Tribunal de Justicia de 24 de noviembre de 2011, Scarlet Extended (C-70/10, Rec. p I-11959), apartado 46, y SABAM, antes citada, apartado 44.
( 90 ) Véase también la sentencia del Tribunal de Justicia de 18 de marzo de 2010, Alassini y otros (C-317/08 a 320/08, Rec. p. I-2213), apartado 63, en la que se declaró que «según jurisprudencia reiterada, los derechos fundamentales no constituyen prerrogativas absolutas, sino que pueden ser objeto de restricciones, siempre y cuando éstas respondan efectivamente a objetivos de interés general perseguidos por la medida en cuestión y no impliquen, habida cuenta del objetivo perseguido, una intervención desmesurada e intolerable que afecte a la propia esencia de los derechos así garantizados (véanse, en este sentido, la sentencia del Tribunal de Justicia de 15 de junio de 2006, Dokter y otros, C-28/05, Rec. p. I-5431, apartado 75 y la jurisprudencia citada, y la sentencia del TEDH Fogarty c. Reino Unido de 21 de noviembre de 2001, no 37112/97, Recueil des arrêts et décisions 2001-XI, § 33)».
( 91 ) Antes citada, § 50.
( 92 ) Antes citada.
( 93 ) Sobre el derecho a recibir información, véase TEDH, Observer and Guardian v. Reino Unido, 26 de noviembre de 1991, § 60, Series A No 216, y Timpul Info Magazin y Anghel v. Moldavia, no 42864/05, § 34, 27 de noviembre de 2007.
( 94 ) Thomas Bowdler (1754–1825) publicó una versión aséptica de la obra de William Shakespeare que intentaba ser más adecuada para las mujeres y los niños del s. XIX que la original.
( 95 ) Véase la sentencia SABAM, antes citada, apartados 45 a 47.
( 96 ) Véanse mis conclusiones presentadas en el asunto que dio lugar a la sentencia L’Oréal y otros, antes citada, punto 155.
( 97 ) Véase la sentencia SABAM, antes citada, apartados 48 y 50.
( 98 ) Grupo del artículo 29, dictamen 1/2008, pp. 14 y 15.