Bienvenidos al blog de hábeas data financiero y protección de datos personales

Bienvenidos al blog de hábeas data financiero y protección de datos personales


Invito a participar en este espacio a los interesados en la protección de datos personales, con la finalidad del enriquecimiento conjunto y colaboración con la sociedad.

Toda persona tiene derecho a conocer sus datos personales, que se encuentren en archivos, bases o bancos de datos y en caso de falsedad o discriminación, exigir la supresión, rectificación, confidencialidad o actualización de aquéllos.

En Argentina, la protección de datos personales se rige principalmente por el artículo 43, párr. 3º de la Constitución Nacional, la ley 25.326 y su decreto reglamentario 1558/2001.


Pueden dejar comentarios, sugerencias o enviar artículos de interés para ser publicados en este blog.


E-mail: contacto@habeasdatafinanciero.com


miércoles, 23 de julio de 2014

Declaración de Panamá




OBSERVATORIO IBEROAMERICANO DE PROTECCIÓN DE DATOS

banner_observatorio


Hacia la unificación de criterios y garantías para la protección de la identidad digital y el derecho al olvido

El mundo virtual de Internet y las Redes Sociales posibilitan un sinfín de interconexiones y comunicaciones ilimitadas y heterogéneas que logran efectos de conectividad e interacción social antes impensados, pero que también logran traspasar límites físicos, psicológicos, emocionales, económicos, culturales, políticos, laborales, educativos y sociales, perdiendo el protagonista del mismo, el ser humano, el control sobre sus acciones en la Red.
Su Identidad como persona se ve trasformada en lo que se denomina  “Identidad Digital”, un espacio virtual donde la subjetividad de los individuos da lugar al surgimiento de una identidad en entornos virtuales anónimos, en donde los individuos suelen jugar roles diferentes a los de su vida real. En este contexto, se establece un fuerte vínculo entre las estructuras psicológicas y los procesos sociales que conforman y atraviesan al sujeto, es decir, entre las normas que regulan el comportamiento colectivo y las estrategias del sujeto dentro del contexto social, que permiten su articulación con la trama social.
La construcción de la identidad es un proceso que se establece si hay coincidencia entre posicionamiento y aceptación. En las interacciones cara a cara, es difícil pretender ser quien no es, en cambio, en el entorno de una red social es posible interactuar con otros sin que nada se revele sobre nosotros (subliminalmente muchas veces sí) construyendo la identidad deseada que en el mundo real no se puede obtener, construyendo  los actores sus identidades y redundándolas, adaptándolas a sus expectativas y a los que el mundo social les demanda.
Pese a que se puede recurrir a las herramientas jurídicas para rectificar errores o reclamar daños y perjuicios, se depende de su acto voluntario, de conciencia, de decidir qué información personal o íntima va a darse a conocer públicamente y cual no.
Muchas veces los ciberdelincuentes utilizan métodos de captación ilegítima de información o software especializado en vulnerar sistemas informáticos y no hay prevención que se puede utilizar, pero en los casos cotidianos en que nuestra vida es expuesta en el mundo virtual, depende de nosotros mismos equilibrar la información personal que compartimos en la Sociedad de la Información.
La mejor herramienta de la seguridad es la prevención. Se debe tratar con un criterio razonable poder disfrutar del maravilloso mundo digital, resguardando nuestra información personal y nuestro derecho a la intimidad. El individuo debería tener protección de su persona y sus propiedades es un principio tan antiguo como la ley, pero de vez en cuando es necesario definir de nuevo la naturaleza y el alcance de esa protección. Cambios políticos, sociales y económicos, suponen el reconocimiento de nuevos derechos, y la Ley, en su eterna juventud, debe crecer para satisfacer las nuevas demandas de la sociedad. Inicialmente la Ley dio remedio a la interferencia física con la vida y la propiedad privada, y ahora le toca hacerlo con la virtual.
Se debe lograr el equilibrio entre intimidad, privacidad, protección de datos personales, derecho al honor, a la asociación y a la libertad de expresión. Son todos Derechos Humanos, reconocidos por los Tratados Internacionales y protegidos en las legislaciones nacionales, y al alcance de la jurisdicción de los tribunales nacionales e Internacionales que conocen sobre estas cuestiones, para proteger los derechos de los ciudadanos y de la comunidad internacional en general. Los Derechos Humanos deben estar siempre presentes en todo momento y lugar, como regla del Ius Cogens.
Los Derechos Humanos basan sus principios en la dignidad y valor de la persona humana; así lo estableció la Convención de Viena. Crean obligaciones de los Estados con los ciudadanos directamente; y más aún que su mención en los diferentes ordenamientos legales, vale el compromiso de los individuos con estos derechos que nos permiten relacionarnos en un entorno globalizado.
LA IDENTIDAD DIGITAL Y SU PROTECCIÓN
El concepto de Identidad debe entenderse como el conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás, concepto que levado al ámbito digital o a la exposición y desarrollo de tal identidad en este contexto, tendremos conceptos como el que establece el Instituto Nacional de Tecnologías de la Comunicación (INTECO), “…puede ser definida como el conjunto de la información sobre un individuo o una organización expuesta en Internet (datos personales, imágenes, registros, noticias, comentarios, etc.) que conforma una descripción de dicha persona en el plano digital.”
La formación de la identidad es algo casi inconsciente, pues se forma a medida que nos desplazamos por el ciberespacio, es así como cada contacto cuenta, al igual que cada pensamiento o  acto que realizamos en nuestras diversas redes sociales.
Si bien la identidad digital, en primera instancia es generada por nosotros, se debe recordar que son otras personas también las que pueden ayudar a generar esta información, con sólo subir fotografías, comentarios y diversas actuaciones que puedan ser digitalizadas e indexadas a nuestro nombre, se estaría  así contribuyendo a la formación de nuestra imagen digital.
Debe diferenciarse entre identidad digital e identidades parciales, cada identidad parcial corresponde a cada servicio o aplicación en Internet, como las redes sociales, usuarios de correo electrónico, entre otros, pero al final la suma de estas identidades parciales es lo que constituye la identidad digital.
Si bien en sus orígenes, los componentes base de la identidad estaban disponibles por medios físicos o periodísticos tales como nombres, certificados de nacimiento, títulos universitarios o profesionales, cartas de no antecedentes penales o información de notas periodísticas, sin embargo, con la aparición de los instrumentos de digitalización, del impulso en el uso de computadoras personales y con el incremento en el uso de Internet, los datos e información que componen la identidad de una persona no solamente se dispersaron con mayor facilidad, sino que se incrementaron, al grado que ahora no solo tenemos dispersada en internet información que corresponde a la identidad de las personas en lo individual, sino también de las empresas, autoridades, grupos de trabajo u organizaciones varias.
Además, con los nuevos sistemas informáticos y de comunicación, sobre todo los móviles, día a día estamos arrojando información que incrementa datos a nuestra identidad digital, tal es el caso de los datos que arrojan la geolocalización, aplicaciones que predicen nuestros gustos y deseos, las que involucran reconocimiento biométrico.
Es Internet un espacio masivo de usuarios, donde muchas veces surge el temor, de no saber con quién se está conversando, de si es o no es quien dice ser, es por ello que la identidad digital podría llegar a ser útil cuando cumple su labor de identificar a los usuarios, por ello se entiende que Internet acerca a sujetos que se encuentran tan distantes, que la única forma de conocerse es mediante estos medios.
Actualmente el que cualquier persona pueda investigar y conocer nuestra identidad digital desde cualquier parte del mundo y con ello hacer un buen o mal uso de la información, es tan importante y al mismo tiempo conlleva un gran nivel de riesgo, lo cual nos lleva a la reflexión de que deberíamos cuidarla como uno de los aspectos más preciados de nuestra vida.
Sin embargo, es preocupante cuando nuestra identidad digital sale de nuestro control, ya que la misma se va construyendo además con la información y datos que otras personas vayan generando respecto de nosotros, incluso, nuestra identidad digital llega a ser alimentada con la percepción o comportamiento que se tienen las personas con las cuales nos relacionamos, de manera que incluso existen aplicaciones, que no solo se realiza la información que las personas le proporcionan para realizar un análisis de si son susceptibles de recibir un préstamo o crédito, sino que además se toma en cuenta la información de nuestros familiares y amigos en Facebook aportan sobre nosotros, o incluso, la información que arroja el mero hecho de tener a ciertas personas como nuestros contactos o la forma en la que interactuamos con ellos.
Las redes sociales si bien son círculos meramente privados entre el usuario y sus contactos, en el supuesto que no se haya configurado bien la el apartado de privacidad pueden ocasionar que esa información pase a formar parte de Internet, al ser indexada por cualquier buscador. Esto sólo es una muestra que la imagen que se muestra sobre cada persona, no es derivada exclusivamente por la  de pertenencia una red social, y no son únicamente los contactos los que pueden llegar a acceder a esta información, sino que se debe hablar de usuarios de Internet y ya no tanto de contactos de redes sociales.
La identidad digital se compone por lo menos de información proveniente de tres grandes grupos; la generada por el propio individuo, la generada por terceros y la que se genera en el contexto de las relaciones del individuo.
Uno de los problemas de la identidad digital es la posibilidad que tiene un solo individuo de generar una pluralidad de identidades, ya si bien es cierto que hay a quienes les conviene trabajar en la correcta construcción de su identidad digital para adquirir más impulso o reconocimiento social o político, también lo es que pueden existir motivos por los cuales una persona desee permanecer en el anonimato que brinda Internet, ello por distintos motivos, tales como temas de seguridad, libertad de expresión, para ocultar o disfrazar los actos o consultas de información, o cuando simplemente se tenga el interés de que tales actos no afecten la identidad principal.
Esta cuestión puede representar un problema para las empresas, las autoridades o para quienes prestan servicios vía web, o cuando la contratación de los productos o servicios se realiza mediante estos medios, ya que es muy complicado saber quién es la persona que en realidad está realizando la transacción, quedando expuestos por ejemplo a fraudes cometidos por el uso de identidades digitales falsas, los cuales en combinación con el uso de tarjetas de crédito clonadas o robadas, puede ser una herramienta muy peligrosa.
Debe tenerse en cuenta que a diferencia de la identidad en el medio físico en la cual es más fácil identificar la persona que está realizando la operación, en el medio digital tenemos el problema de la falta de conexión entre una persona determinada y una identidad digital, tan incierto puede ser que al momento de offline la identidad digital puede dejar de existir.
La suplantación de identidad es otro de los problemas que afecta a una de las identidades parciales del individuo, es decir, se da una afectación a una de las cuentas o aplicaciones a las cuales tiene acceso el individuo, lo cual a su vez y dependiendo del grado de intromisión y del daño causado, puede llegar a cambiar en grado considerable la identidad digital del individuo.
Lo anterior puede ser realizado mediante distintas formas, entre ellas, el uso del nombre o usuario de la persona, se genere una identidad que ridiculice a la identidad original o se haga un uso no autorizado de la cuenta, pero al final tendremos como consecuencia la afectación a la privacidad, bienes, honor o reputación de una persona.
Otros de los problemas más comunes asociados a la identidad digital son las violaciones a los derechos la privacidad, los derechos autorales, daño reputacional, sexting, bullying, entre otras actividades que van deteriorando o violentando la identidad digital de una persona, llegando a grados en los que incluso se lleguen a afectar las relaciones personales y la vida íntima de la persona.
REPUTACIÓN PERSONAL ON-LINE Y DAÑO REPUTACIONAL
Considerando la reputación como la opinión o consideración en que se tiene a alguien o algo o el prestigio o estima en que son tenidos alguien o algo. Según la definen diferentes autores “la reputación online es el reflejo del prestigio o estima de una persona o marca en Internet. A diferencia de la marca, que se puede generar a través de medios publicitarios, la reputación no está bajo el control absoluto del sujeto o la organización, sino que la ‘fabrican’ también el resto de personas cuando conversan y aportan sus opiniones.”
Debemos considerar la identificación virtual es el conjunto de datos que nos permiten diferenciarnos suficientemente del resto de personas en un ámbito concreto. Estos datos suelen ser el nombre, apellidos…
Resulta prácticamente imprescindible identificarse en redes sociales tales como Facebook o LinkedIn, cuyo principal objetivo es relacionarte y permitir que los demás usuarios te identifiquen y compartir con ellos cierta información, en el caso de la primera red, por motivos de ocio, en la segunda por motivos profesionales.
Sin embargo, cuando los usuarios no persiguen el fin de comunicarse con los demás, sino que pretenden simplemente hacer comentarios (en muchas ocasiones dañinos), prefieren esconderse tras el anonimato.
Esto genera una problemática inmensa, sobretodo cuando los comentarios dañan la reputación de personas, que no pueden defenderse frente a estas personas anónimas.
Por ello, la reputación online no es un tema que preocupe sólo a las empresas. También los particulares pueden verse afectados por suplantaciones, difamaciones o por el contenido que ellos mismos han subido a la red. El derecho al olvido pretende solucionar este problema.
Además de los métodos más comunes para dañar la imagen de una persona, como pueden ser las críticas en foros de opinión, últimamente se está poniendo “muy de moda” suplantar identidades virtuales; de hecho,  este fue el principal motivo de denuncias relacionadas con Internet ante las diferentes autoridades de control en protección de datos en los últimos años.
Lo que antes se limitaba a aparecer en alguna página de contactos, porque alguien facilitaba tus datos a desconocidos, hoy se ha reemplazado por la creación de perfiles falsos en redes sociales, comunicándose el suplantador con tus amigos y conocidos, con el único fin de dañar tu imagen.
En el mundo 2.0, este tipo de suplantación es fácil, accesible y gratuita, ya que no se puede requerir y comprobar la identidad de la persona que se da de alta en una red social. Sin embargo, los suplantadores en algunos casos no son conscientes de que están cometiendo un delito de suplantación de identidad, tipificado en el artículo 401 del Código Penal, por el cual se prevén penas de seis meses a tres años de cárcel.
A pesar de ello, las reacciones más comunes ante este tipo de delito no son las denuncias, sino las solicitudes de baja a través de las propias redes sociales y las denuncias ante la Agencia de Protección de Datos.
Las redes sociales deben estar preparadas para este tipo de controversias y disponer de formularios para denunciar los hechos. No sólo se pueden denunciar suplantaciones, también puedes denunciar si consideras que existen contenidos inapropiados en un determinado perfil.
Cuando una persona fallece, ya no sólo hay que preocuparse de las repercusiones directas en la vida real, también hay que decidir sobre las repercusiones en la red.
Internet se ha convertido en una herramienta de comunicación casi imprescindible para millones de personas, muy atractiva e interesante, entre otras ventajas, porque los servicios que ofrecen son gratuitos. Pero esa fácil accesibilidad es precisamente la que provoca que el problema surja cuando no se trata de introducir datos, sino de borrarlos, como por ejemplo, en el caso de fallecimiento de una persona.
La muerte de estas personas abre a sus familiares dos posibilidades: eliminar el perfil en la red social o permitir que se realice un homenaje en el mismo. Pero ¿están preparados los familiares para superar, no solo la muerte de una persona querida, sino también para borrar su huella?
No cabe duda que es difícil tomar cualquiera de las dos decisiones, pues en la primera te enfrentas a la repercusión que todos más tememos respecto a la muerte, el olvido, y en la segunda te enfrentas al recuerdo permanente de quien se ha ido.
Las redes sociales han previsto “el homenaje” permitiendo a los familiares directos, conservar el perfil del fallecido, con el fin de que no se produzca esa disminución masiva de usuarios de la red social.
Y el mismo derecho a conservarlo, tenemos de eliminarlo: basta con que comprobemos la política de privacidad de la red y la familia solicite la cancelación de datos de la referida persona.
Y en el caso de personas sin familia, ¿qué ocurre con ellos? En este caso deberemos iniciar actuaciones judiciales.
El problema no se produce cuando un usuario le pide al titular de una red social que cancele toda su información, sino cuando esa información ha pasado de una red a otra, y ha traspasado muchas fronteras tecnológicas y geográficas. Es entonces cuando el derecho de cancelación de datos se convierte en una ingente tarea de búsqueda desesperada, dando lugar en la mayoría de los casos a la imposibilidad práctica de eliminar de manera permanente esta huella en Internet.
REPUTACIÓN CORPORATIVA ONLINE
La identidad online de la empresa viene definida por el conjunto de información que aparece en Internet sobre la misma: datos, imágenes, registros, comentarios, etc. Dicha información engloba tanto aquellos contenidos que activamente genera la organización, como los comentarios y opiniones que los demás vierten en la corriente social. Este hecho hace que cada vez sea más importante la monitorización de la valoración que el público hace de la compañía en la Red y llevar a cabo una adecuada gestión de reputación online corporativa.
Las organizaciones difunden su imagen en Internet mediante herramientas como páginas web corporativas, blogs empresariales, perfiles y páginas en redes sociales…  Más allá de lo que la propia empresa publique y dé a conocer de sí misma, la identidad  digital corporativa se ve complementada con lo que los propios usuarios y clientes opinan  sobre la empresa en Internet. Incluso, no es necesario que una empresa se encuentre  presente en Internet, para que puedan surgir este tipo de opiniones sobre ella. Así pues,  el contenido generado por terceros forma parte de su identidad digital de la misma manera que el creado por la propia empresa.  La identidad digital corporativa, por tanto, puede ser definida como el conjunto de la información sobre una empresa expuesta en Internet (datos, imágenes, registros, noticias, comentarios, etc.) que conforma una descripción de dicha organización en el plano digital.
La Web 2.0 constituye un nuevo canal masivo de comunicación para las empresas y las redes sociales representan una herramienta mediante la cual las organizaciones disponen de un feedback en tiempo real de clientes y usuarios. En la Web 2.0 cualquier empresa o profesional puede tener presencia digital gracias a clientes y usuarios sin necesidad siquiera de tener una página web, tanto para hablar maravillas como para maldecir un servicio o producto. Es por ello, que surge un nuevo concepto: la reputación online.
La reputación corporativa es el concepto que mide cuál es la valoración que hace el público de una compañía. Podría definirse como la valoración alcanzada por una empresa a través del uso o mal uso de las posibilidades que ofrece Internet.
Al mismo tiempo que la presencia de la empresa en medios sociales (por sí misma o por la acción de terceros) le reporta efectos positivos, existen diferentes amenazas que pueden generar impactos negativos en su imagen y reputación online. Una pérdida de confianza en la marca a partir de comentarios perjudiciales sobre un producto es un ejemplo de ello. Además, el efecto multiplicador de Internet posibilita que un incidente aislado (incluso generado fuera de la Red) se convierta en una situación de difícil solución.
En este sentido, cada vez es más frecuente descubrir noticias sobre crisis reputacionales en Internet, que impactan de tal forma en la imagen de la empresa, que los efectos perduran en el tiempo. A continuación se describen las principales amenazas para la identidad digital y reputación online desde el punto de vista de la seguridad.
Otro de los problemas a los que se enfrentan las empresas es la Suplantación de identidad: la suplantación de identidad de la empresa en Internet es la usurpación de los perfiles corporativos por terceros malintencionados, actuando en su nombre. Dentro de este riesgo se contempla la creación o el acceso no autorizado al perfil de una empresa o entidad en un medio social y la utilización del mismo como si se tratara de la organización. Los atacantes crean perfiles falsos con varios propósitos, destacando el robo de información sensible de los usuarios de la empresa suplantada para la comisión de fraude online.
Registro abusivo de nombres de dominio: la amenaza se produce cuando terceros malintencionados registran uno o varios nombres de dominio que coinciden con la marca de la empresa, impidiendo a esta última utilizar dichas denominaciones en su negocio.
Ataque de seguridad DDoS: Ataque de Denegación de Servicio Distribuido, o ataque DDoS. Es el conjunto de técnicas que tienen por objetivo dejar un servidor inoperativo, hablando en términos de seguridad informática. Para poder llevar a cabo el ataque, se requiere que varios equipos trabajen coordinadamente para enviar peticiones masivas a un servidor concreto, por ejemplo accediendo a la página web y descargando archivos, realizado visitas, etc. Así consiguen saturar dicho servidor y provocar su colapso, al no poder este responder tal flujo de peticiones.
Fuga de información: en este caso, la buena imagen y el prestigio de una entidad puede verse comprometida por el robo de información sensible y/o confidencial (como por ejemplo, datos personales de trabajadores y clientes, datos bancarios, informaciones estratégicas de la organización, etc.) y su revelación en Internet. De nuevo, el objetivo suele ser el lucro (por ejemplo, al obtener información bancaria de la empresa y sus clientes, o al extorsionar a la propietaria de los datos a cambio de un rescate), aunque también se distinguen otros motivos, como el espionaje industrial o el desprestigio a la organización.
Publicaciones por terceros de informaciones negativas: las críticas a las entidades son parte de la interactuación que ofrecen las plataformas colaborativas: no solo se está en la Red, sino que se conversa en ella. El hecho de que una falta de atención, un error en el servicio, un defecto en un producto, etc., sea comentado en Internet es igualmente una información valiosa para la empresa, que puede corregir el fallo en base a estos comentarios negativos. En estos casos, la diligencia de la empresa para dar una respuesta apropiada permitirá solucionar o aliviar la corriente de crítica que se ha generado y, en consecuencia, la recuperación de su imagen y reputación online. Asimismo, la realización de comentarios negativos o falsos sobre una organización puede tener consecuencias legales contemplándose acciones tanto civiles como penales (en caso de que la ofensa en cuestión sea considerada una injuria o una calumnia) dirigidas a proteger el honor y reputación de la empresa.
Utilización no consentida de derechos de propiedad intelectual: Estos derechos tienen una doble dimensión: permiten a su propietario su utilización e impiden que un tercero lo haga, salvo que le ampare la correspondiente licencia de uso otorgada por el primero. Si se están utilizando o comercializando a través de Internet de forma no autorizada, la empresa propietaria de sus derechos se convertiría en víctima de un delito contra los derechos de propiedad industrial y posiblemente, en un delito de competencia desleal
La empresa que haya visto dañada su reputación online tiene a su disposición una serie de herramientas legales para que su imagen se vea reparada. La Red no altera el contenido esencial de los derechos de las personas jurídicas. Sin embargo, sí existen particularidades específicas derivadas del entorno online que las empresas deben tener en cuenta a la hora de gestionar su reputación:
En primer lugar, el daño derivado del ataque a la reputación de una empresa realizado a través de Internet es difícilmente reparable de manera total. La difusión de una información publicada en la Red no tiene límites y, aun en el caso de que la información en cuestión sea retirada (por contravenir los derechos de la empresa), siempre se pueden mantener copias, pantallazos o descargas realizados antes de la eliminación.
En segundo lugar, y relacionado con lo anterior, las empresas deben considerar el llamado “efecto Streisand”, fenómeno en el que un intento de ocultamiento de cierta información en Internet resulta siendo contraproducente, ya que ésta acaba siendo ampliamente divulgada, recibiendo mayor publicidad de la que habría tenido si no se la hubiese pretendido acallar.
Las legislaciones nacionales, suelen reconocer los derechos al honor, a la intimidad personal y familiar y a la propia imagen, teniendo cabida en algunos ordenamientos jurídicos dentro del derecho al honor el derecho a la reputación corporativa. Así, reconocen expresamente que la persona jurídica también puede ver lesionado su derecho al honor a través de la divulgación de hechos concernientes a su entidad, cuando la difame o la haga desmerecer en la consideración ajena. Por tanto, las empresas y organizaciones, en defensa de su derecho al honor, deben poder iniciar acciones civiles o penales para solicitar la retirada de la Red de informaciones que produzcan un perjuicio a su reputación. En la mayoría de las ocasiones nos encontraremos ante supuestos donde entran en conflicto, de un lado, el derecho al honor de otro, el derecho a la libertad de expresión e información
El DERECHO AL OLVIDO O CANCELACIÓN DE DATOS
Resulta indudable que hay una serie de derechos que en el entorno digital quedan más expuestos a posibles vulneraciones, y por lo tanto su desarrollo y aplicación pasan a adquirir, en dicho entorno, mayor relevancia.
Hablamos, cuanto menos, del derecho a la intimidad personal y familiar, del derecho al honor, del derecho a la propia imagen (no olvidemos que de estos tres, aunque estrechamente interrelacionados, cada uno protege aspectos distintos de la persona y a cada uno se aplican criterios jurisprudenciales diferentes), de la libertad de expresión, el derecho de información, los de propiedad intelectual y por supuesto, también, el derecho a la protección de los datos personales. Todos ellos se encuentran íntimamente ligados a la identidad digital de la persona, en la medida en que inciden directamente en la construcción de aquellos de los rasgos que caracterizan a un individuo que quedan puestos de manifiesto en la denominada web 3.0.
Internet, tal y como lo disfrutamos hoy en día ha sufrido gran cambio respecto al que conocimos en los años noventa, que era mucho más estático y unidireccional, y en el que el usuario ejercía un papel casi del todo pasivo, sin que su conducta conllevara normalmente una reacción en la red. Actualmente, en cambio, el usuario interactúa constantemente en Internet, se ha convertido en parte activa en la construcción del tejido de esta red de redes y su comportamiento puede llegar a provocar grandes reacciones. Este escenario, regido bajo el principio de neutralidad de la red y teniendo en cuenta que el acceso a Internet llega cada vez a una mayor población (como es deseable) y además por medio de más dispositivos (no digamos ya cuando vivamos el gran apogeo del Internet de las cosas), arroja unas características propias de la denominada web 3.0 que resultan de gran impacto para todos estos derechos. Tales características son: la amplificación (repercusión, alcance, rapidez y facilidad en la transmisión de la información), la accesibilidad a la información, más fácil, cómoda y barata, y la permanencia de la misma.
Ninguno de los derechos mencionados es absoluto y todos ellos, en su aplicación, encuentran su límite en otros derechos e intereses legítimos. Y en la ponderación que sea haga en el conflicto entre unos y otros, adquieren especial importancia estas características de la Internet de hoy en día.
Son varias las definiciones que se han dado, sin embargo la mayoría lo ponen en relación exclusivamente con el derecho a la protección de los datos de carácter personal, así, por ejemplo la Comisión Europea lo definió en un principio, en su comunicación “A comprehensive approach on personal data protection in the European Union”, como the right of individuals to have their data no longer processed and deleted when they are no longer needed for legitimate purposes, entendido como el derecho de las personas a que sus datos dejen de ser tratados ​​y sean eliminados cuando ya no sean necesarios para los fines legítimos para los que fueron recabados.
Otros autores lo definen como el derecho a que los buscadores no localicen tus datos personales en la red. A la vista de la Sentencia del TJUE de 13 de mayo de 2014, dictada en el caso C-131/12, y siguiendo bajo el prisma de la protección de datos personales, en todo caso, tendría que definirse como el derecho que tiene un individuo a que los gestores de motores de búsqueda en Internet cesen en el tratamiento que de sus datos personales realicen en el territorio de la Unión Europea al enlazar a y al mostrar determinado contenido relativo a su persona, debido a que, habida cuenta de las circunstancias del caso en particular, dicho tratamiento ha dejado de ser legítimo, con independencia de que el tratamiento en origen continúe siendo lícito, porque, en relación con la finalidad que justificaba el tratamiento y con el tiempo transcurrido, los datos ya no son adecuados y/o pertinentes, y ahora son excesivos.
Debe entenderse, del mismo modo que se viene haciendo con el derecho de cancelación de los datos personales, que podríamos hablar de un derecho al olvido desde el prisma del derecho al honor, la intimidad personal y familiar y la propia imagen, o en relación con la propiedad intelectual (concretamente el derecho del autor a retirar su obra del comercio por cambio de sus convicciones morales o intelectuales). En tal caso, eso que se ha dado en llamar derecho al olvido podría llegar a alegarse también de las personas jurídicas en ámbitos diferentes a los de la privacidad.
El derecho al olvido debería actual en un primer tipo de supuestos serían aquellos en los que, siendo, en el origen, cierta la información que se revela respecto a un individuo, éste debe soportar esa intromisión en su intimidad por estar legitimada en virtud del derecho de información  (ya sea éste ejercido a través de los medios de comunicación, ya de boletines oficiales o tablones edictales), pero en los que, debido al transcurso del tiempo, puede decirse que tal legitimación debe caducar a fin de que el individuo no tenga que soportar dicha carga durante el resto de su vida impidiéndole su propio pasado, en mayor o menor medida, vivir en paz un presente enmendado.
En segundo termino, aquellos en los que, aun siendo incierto lo manifestado respecto a una persona y viendo ésta, así, mancillado su honor, el perjudicado prefiere no actuar contra dicho ataque porque en ese momento éste no ha transcendido lo suficiente como para no poder soportar sus efectos y, sin embargo, un tiempo después, pasados ya los plazos para ejercitar cualquier acción, es recuperada esa falsa información alcanzando, en esta ocasión, mucha mayor repercusión gracias al estado de la tecnología.
A la hora de tomar decisiones, las personas lo hacemos en función de las circunstancias que entonces nos rodean y sopesando las consecuencias que nos cabe esperar con lo que conocemos en ese momento.
Teniendo en cuenta que hay determinadas circunstancias en que, ni acudiendo al derecho a la intimidad, o al derecho al honor, o al de protección de datos personales, podemos dar una solución a quien ahora se ve perjudicado por hechos sucedidos en su vida pasada, que ya habían sido olvidados por la colectividad que en su momento supo de ellos, que ahora son traídos al presente, incluso puede que con mayor virulencia que en su origen, sin que exista una necesidad que así lo justifique, provocando que dicha persona no pueda disfrutar en paz de la vida digna que ahora lleva.
El derecho al olvido debe garantizar el desarrollo de la persona acorde a lo que cabe esperar dentro del modo en que ésta dirige su vida en la actualidad, evitando que cualquier pasado, más o menos oscuro, pueda frustrar dicho desarrollo cuando no existe ya necesidad ni justificación alguna para que tenga que continuar soportando tal carga. En el entorno digital, por tanto, el derecho al olvido adquiriría una gran relevancia como medio de protección de la identidad digital o del libre desarrollo de la persona en dicho entorno, pero, sin duda, también transcendiendo de éste.
Debe tenerse en cuenta que el derecho a la intimidad a la privacidad y al derecho al honor deben ser derechos erga omnes, cuya protección debe ir más allá de las fronteras de los Estados, su garantía (recogida en la mayoría de constituciones) debe quedar salvaguarda con independencia del lugar de nacimiento o donde se encuentre el ciudadano, debe contemplarse que, de no ser así nos encontraríamos con diferentes clases de ciudadanos y derechos de diversas generaciones.
Sólo mediante el compromiso de los Estados y órganos jurisdiccionales, mediante la unificación de criterios normativos y jurisprudenciales, de tipos penales, sanciones y definición del bien jurídico protegido, puede garantizarse una correcta protección de la privacidad en la red.
Por ello, con independencia de las partes intervinientes, responsable del fichero, tratamiento, buscador, las diferentes entidades se deben dotar de medios materiales y organizativos que garanticen el correcto ejercicio de derechos por los ciudadanos, la efectiva retirada de contenidos y una información clara y concisa, entendibles por todos.
La educación debe ser un factor clave en la protección de la identidad digital de las personas, quienes en primer término son responsables de su propia información, de aquella que comparten en Internet y en las redes sociales, de sus opiniones o comentarios. Sólo desde una formación en el uso de las nuevas tecnologías y en las repercusiones que tiene compartir en la red, se puede llegar a un sistema efectivo, junto con las garantías de ordenamientos comunes y mecanismos para la protección de los derechos fundamentales de las personas.
Es obligación de cada uno cuidar que imagen se genera en Internet, en el entendido de que es por nuestra identidad digital que se gana presencia en la esfera laboral. Somos libros abiertos para las empresas, para los clientes,  y nuestra información personal ahora se puede visualizar tal como se visualiza un curriculum vitae, pues ahora existen redes sociales para concretar relaciones laborales. Son los jóvenes los que mas deben concienciarse sobre las consecuencias futuras de sus acciones presentes y a nosotros nos toca formarlos y concienciarlos para que así ocurra.
.
La Declaración de Ciudad de Panamá, hacia la unificación de criterios y garantías para la protección de la identidad digital y el derecho al olvido, elaborada desde la iniciativa del Observatorio Iberoamericano de Protección de Datos, fue presentada en el Auditorio Harmodio Arias del Colegio Nacional de Abogados de Panamá, el 23 de julio, en un evento organizado por la Comisión de Derecho de las Nuevas Tecnologías del Colegio, por el Presidente del Colegio, D. José Alberto Álvarez Álvarez. En el acto también intervinieron el Dr. Rigoberto González Montenegro, así como Dña. Lía P. Hernández Pérez, como Presidenta de la Comisión de Nuevas Tecnologías del Colegio.

sábado, 19 de julio de 2014

IDENTIDAD DIGITAL Y DERECHO AL OLVIDO

El presente Artículo fue colaboración de la Dra. Romina Florencia Cabrera, a quien le agradecemos su gentileza.

IDENTIDAD DIGITAL Y DERECHO AL OLVIDO.
El mundo virtual de Internet y las Redes Sociales posibilita un sinfín de interconexiones y comunicaciones ilimitadas y heterogéneas que logran efectos de conectividad e interacción social antes impensados, pero que también logran traspasar límites físicos, psicológicos, emocionales, económicos, culturales, políticos, laborales, educativos y sociales, perdiendo el protagonista del mismo, el Hombre, el control sobre sus acciones en la Red.
Su Identidad como Persona se ve trasformada en lo que se denomina  “Identidad Digital”, un espacio virtual donde la subjetividad de los individuos da lugar al surgimiento de una identidad en entornos virtuales anónimos, en donde los individuos suelen jugar roles diferentes a los de su vida real: liberarse ; vencer, lo que Norbert Elías denomina a  “Umbrales de vergüenza”. Así es que la relación entre las redes sociales y la vergüenza está dada porque las primeras pueden ser utilizadas como una “máscara” debajo del cual el sujeto puede sentirse libre y resguardar sus aspectos más íntimos (depende cuales y si realmente los resguarda, o ventila información sensible creyendo estar resguardado o protegido por este marco). La vergüenza, aparece como una emoción netamente social, que se experimenta en contacto cara a cara y desaparece en el contacto virtual. La mirada de los otros se ve disminuía da en el mundo virtual, y da sensación de libertad.
En este contexto, se establece un fuerte vínculo entre las estructuras psicológicas y los procesos sociales que conforman y atraviesan al sujeto, es decir, entre las normas que regulan el comportamiento colectivo y las estrategias del sujeto dentro del contexto social, que permiten su articulación con la trama social.
La construcción de la identidad es un proceso que se establece si hay coincidencia entre posicionamiento y aceptación. En las interacciones cara a cara, es difícil pretender ser quien no e s, en cambio, en el entorno de una red social es posible interactuar con otros sin que nada se revele sobre nosotros (subliminalmente muchas veces sí) construyendo la identidad deseada que en el mundo real no se puede obtener, construyendo  los actores sus identidades y refundandolas, adaptándoles a sus expectativas y a los que el mundo social les demanda.
Que sucede cuando a pesar de esta cuerpo normativo de protección en garantías constitucionales el hombre por su propio descuido ventila esos datos a través de la Red?
Puede recurrir a las herramientas jurídicas para rectificar errores o reclamar daños y perjuicios, pero depende de su acto voluntario   de conciencia decidir qué información personal o íntima va a darse a conocer públicamente y cual no. Muchas veces los ciberdelincuentes utilizan métodos de captación ilegítima de información o software especializado en vulnerar sistemas informáticos y no hay prevención que se puede utilizar, pero en los casos cotidianos en que nuestra vida es expuesta en el mundo virtual, depende de nosotros mismos equilibrar la información personal que compartimos en la Sociedad de la Información.
La mejor herramienta de la seguridad es la prevención. Tratemos con un criterio razonable poder disfrutar del maravilloso mundo digital, resguardando nuestra Información Personal y nuestro Derecho a la Intimidad.[1]
En cuanto al Derecho al Olvido, podemos expresar que el ser humano tiene derecho a la privacidad, a “ser dejado solo”, como dirían los anglosajones; su reputación on line debe ser cuidada y el derecho de administrar y disponer de su Información Personal debe ser respetado por todos los actores sociales. Sin embargo, no hay que olvidar que ciertos contenidos de carácter científico, artístico, cultural, histórico, académico, religioso, no deberían desaparecer de la Red sin una buena razón de ser y actuar: la cultura, o sea todo lo que el hombre produce, se transmite de generación en generación por la costumbre y la identidad cultural de los pueblos. Si eliminamos el pasado, no podremos construir el futuro ni el presente. Todos aprendemos de la sabiduría de nuestros antepasados, para evolucionar, mejorar la civilización y sobre todo crecer personalmente como seres humanos, con principios y valores.
Que el individuo debería tener protección de su persona y sus propiedades es un principio tan antiguo como la ley, pero de vez en cuando es necesario definir de nuevo la naturaleza y el alcance de esa protección. Cambios políticos, sociales y económicos, suponen el reconocimiento de nuevos derechos, y la Ley, en su eterna juventud, debe crecer para satisfacer las nuevas demandas de la sociedad. Inicialmente la Ley dio remedio a la interferencia física con la vida y la propiedad privada. Más tarde se reconoció la naturaleza espiritual del hombre, de sus sentimientos y de su intelecto de modo que el derecho a la vida se convirtió en el derecho a disfrutar de la vida, – el derecho al olvido, a que te dejen en paz, asegura el ejercicio de los amplios privilegios civiles, y el término “propiedad “ha crecido hasta incluir toda forma de posesión – intangible, así como tangible.
Así empezaba, con ciertas libertades en la traducción, un artículo de Samuel D. Warren y Louis D. Brandeis publicado en Boston en Diciembre de 1890.
La definición de la privacidad de Warren y Brandeis como el “derecho a que te dejen en paz o el derecho al olvido” se ha descrito como el más completo de los derechos y el más valorado por los hombres civilizados…. cabría decir que esta percepción está cambiando.
Es muy probable que la protección de la privacidad sea para el ciudadano del siglo XXI lo que fue la protección del consumidor en el siglo pasado.
Decía George Orwell en su libro 1984:
Quién controla el pasado controla el futuro.
Quién controla el presente controla el pasado.[2]
Recientemente el Tribunal  de Justicia de la Unión Europea ha ordenado eliminar resultados de búsquedas en algunos casos, a petición de usuarios, basando su sentencia en el “Derecho al Olvido”; y la empresa Google acató la orden judicial.
Este Derecho está relacionado con la Garantía Constitucional de Habeas Data y la Protección de Datos Personales, derecho autónomo e independiente declarado por la Agencia Española de Protección de Datos.
El titular de un dato personal puede borrar, bloquear o suprimir información personal que considere obsoleta o que de algún modo menoscabe otros de sus derechos fundamentales. Este derecho muchas veces se contrapone al de la Libertad de Expresión.
Hay que hallar el equilibrio entre Intimidad, Privacidad, Protección de Datos Personales, Derecho al Honor, a la Asociación y a la Libertad de Expresión. Son todos Derechos Humanos, reconocidos por los Tratados Internacionales y protegidos en las Legislaciones locales, y al alcance de la jurisdicción de los tribunales locales e Internacionales que interceden ante estas cuestiones, para proteger los derechos de los ciudadanos y de la comunidad internacional en general. El Derecho Internacional de los Derechos Humanos debe estar siempre presente en todo momento y lugar, es la regla del “Ius Cogens”. Los Derechos Humanos basan sus principios en la dignidad y valor de la persona humana; así lo estableció la Convención de Viena. Crean obligaciones de los Estados con los ciudadanos directamente; y más aún que su mención en los diferentes ordenamientos legales, vale el compromiso de los individuos con estas causas tan nobles que nos hacen crecer como comunidad globalizada en el buen sentido.
[1] “Las nuevas tecnologías en la configuración de identidades”. Autoras: Lic. Karina Ortiz; Lic. Fernanda Tato; Lic. Soledad Monti vero; Lic. Laura García, Argentina, Universidad de Lomas de Zamora. Elías, Norbert, Proceso de la civilización en la sociología. Galeano, Eduardo, Úselo y tírelo, Editorial Booket, 1994. Romina Florencia Cabrera, “El Hombre frente a la Internet”;Publicación del Observatorio Iberoamericano de Protección de Datos, 17/3/2013.

Autora: Romina Florencia Cabrera. Abogada-Investigadora-Docente. UNLP- UBA-USAL.  Miembro del Observatorio Iberoamericano de Protección de Datos y de otras instituciones científico-académicas.




martes, 24 de junio de 2014

Sentencia del TJUE. Derecho al olvido


Abogacía Española




El derecho al olvido, configuración y retos

ENATIC


Los afectados ya pueden solicitar “directamente al gestor de un motor de búsqueda que retire de sus índices y de su memoria intermedia información que contiene datos personales publicados por terceros”, y “el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona, vinculados a páginas web publicadas por terceros, y que contienen información relativa a esta persona”, pero también está obligado a examinar “caso por caso”, pues existen supuestos en los que dicho derecho de oposición no será ejercitable (por ejemplo, datos estadísticos, históricos o científicos, o datos de interés público o periodístico). La Sentencia explica que habrá que analizar “si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre”, y advierte expresamente “que la apreciación de la existencia de tal derecho” no presupone sin más que exista un perjuicio al interesado.
El pasado 13 de mayo de 2014 conocíamos la Sentencia del TJUE del asunto Google / AEPD y M. Costeja, y no cabe duda de que la decisión del TJUE ajustó la definición de “derecho al olvido” como parte del derecho a la protección de datos de carácter personal, como derecho de oposición al tratamiento de datos, ejercitado frente a proveedores de servicios en Internet, reconociéndole además detalles esenciales para su efectividad.
Aunque no tenemos aún definición “legal” de esta parte del derecho a la protección de datos, puede entenderse como el derecho de todo individuo a evitar que su información personal quede accesible indefinidamente, y para un público indeterminado, con un simple clic. Y si, una forma de hacerlo efectivo es eliminar la información del escaparate principal, es decir, de los resultados de los buscadores. Sin embargo, hay que tener claro que así no se elimina el contenido cuestionado, pues continuará colgado, digámoslo así, en la tienda.
Casi nadie discute ya la necesidad de que en un Estado de Derecho se nos reconozca la posibilidad o el derecho de cancelar, “limpiar, pulir o adecuar” nuestra reputación on-line, y que no tenemos por qué soportar una “condena de por vida” a que terceras personas interpreten lo que somos en base a resultados automáticos que arroja un motor de búsqueda, y la asociación de contenidos que hagan sus algoritmos.
El TJUE ha considerado que “el efecto de la injerencia en dichos derechos del interesado se multiplica debido al importante papel que desempeñan en Internet” estos sistemas de búsqueda, y en función de la “gravedad de la injerencia” viene a decir que habrá que encontrar un “justo equilibrio” entre los derechos fundamentales del afectado (según el carácter sensible de la información “para la vida privada de la persona afectada”), el “interés económico” de la empresa responsable, y el “interés legítimo de los internautas potencialmente interesados en tener acceso a la información en cuestión”.
Pero esta Sentencia trae igualmente grandes incógnitas e inseguridad jurídica.
Se cuestiona si una empresa privada como Google tiene capacidad para tomar este tipo de decisiones “legales”, por los derechos fundamentales que hay en juego; su capacidad para asumir correctamente una avalancha de peticiones sin lesionar injustamente el derecho al acceso a la información ¿Es su sistema suficiente para autenticar al solicitante? ¿No será contraproducente tener que dar al buscador más datos personales de los que se está intentando desindexar? ¿Podrá con ello provocar “muertes virtuales” arbitrarias o no solicitadas?
Por eso, surge la duda de si no habría otro sistema mejor para lograr idéntico resultado, otro que no obligase a los responsables de buscadores de contenidos a asumir la posición de “responsable del tratamiento” en el sentido de la Directiva 95/46/CE, es decir, “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales”, que tiene obligaciones legales como por ejemplo la que se señala en su art. 17.1: “Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ílícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ílícito de datos personales. Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse”. Y esto, teniendo en cuenta, que por ejemplo, Google no controla en exclusiva el orden de los resultados que arroja su buscador.
Es decir, cabe preguntarse si no hubiera sido mejor establecer cualquier precisión que garantizase que el sencillo sistema de ejercicio de derechos estuviese desde el principio supervisado por una autoridad de control, y que ésta coordinase la petición del ciudadano con algún mecanismo de comunicación con el prestador de servicios (similar al “apercibimiento”), bastando con ello que el TJUE hubiese señalado expresamente la obligación del buscador de colaborar acatándolo y desindexar los contenidos del caso concreto que estuviese en cuestión. Con ello se habría evitado esa “ficción jurídica” que el TJUE ha creado ex profeso, pues Google no es un “responsable de tratamiento” al uso.
Finalmente, otro detalle reseñable son las referencias al ámbito territorial del derecho de la Unión Europea y su aplicación a Google España, como sucursal o filial de Google Inc. “destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro”.
Como conclusión, tan sólo añadir que, en mi opinión, la Sentencia insta con carácter de urgencia una respuesta de las Instituciones dedicadas a la supervisión de la protección de datos, así como de la Comisión y Parlamento europeos, para que delimiten el escenario en que los Estados miembros deben ordenar el ejercicio de un derecho al que ya se le reconoce jurídicamente nombre y apellidos, como una parte más del derecho a la protección de datos de carácter personal.
 Ofelia Tejerina Rodríguez
Doctora UCM. Abogada www.internautas.org. Vocal Junta @ENATIC

miércoles, 4 de junio de 2014

SENTENCIA DEL TJUE

SENTENCIA DEL TRIBUNAL DE  JUSTICIA DE LA UNIÓN EUROPEA SOBRE EL “DERECHO AL OLVIDO” EN INTERNET



SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)
de 13 de mayo de 2014
«Datos personales — Protección de las personas físicas en lo que respecta al  tratamiento de dichos datos — Directiva 95/46/CE — Artículos 2, 4, 12 y 14 — Ámbito de aplicación material y territorial — Motores de búsqueda en Internet — Tratamiento de datos contenidos en sitios de Internet — Búsqueda, indexación y almacenamiento de estos datos — Responsabilidad del gestor del motor de búsqueda — Establecimiento en territorio de un Estado miembro — Alcance de las obligaciones de dicho gestor y de los derechos del interesado — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7 y 8»
En el asunto C131/12, que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la Audiencia Nacional, mediante auto de 27 de febrero de 2012, recibido en el Tribunal de Justicia el 9 de marzo de 2012, en el procedimiento entre
Google Spain, S.L., Google Inc.
Y
Agencia Española de Protección de Datos (AEPD),
Mario Costeja González,
EL TRIBUNAL DE JUSTICIA (Gran Sala),
integrado por el Sr. V. Skouris, Presidente, el Sr. K. Lenaerts, Vicepresidente, los Sres. M. Ilešič (Ponente), L. Bay Larsen, T. von Danwitz y M. Safjan, Presidentes de Sala, y los Sres. J. Malenovský, E. Levits, A. Ó Caoimh y A. Arabadjiev y las Sras. M. Berger y A. Prechal y el Sr. E. Jarašiūnas, Jueces;
Abogado General: Sr. N. Jääskinen;
Secretaria: Sra. M. Ferreira, administradora principal;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 26 de febrero de 2013; consideradas las observaciones presentadas:
– en nombre de Google Spain, S.L., y Google Inc., por los Sres. F. González Díaz, J. Baño Fos y B. Holles, abogados;
– en nombre del Sr. Costeja González, por el Sr. J. Muñoz Rodríguez, abogado;
– en nombre del Gobierno español, por el Sr. A. Rubio González, en calidad de agente;
– en nombre del Gobierno helénico, por la Sra. E.-M. Mamouna y el Sr. K. Boskovits, en calidad de agentes;
– en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por el Sr. P. Gentili, avvocato dello Stato;
– en nombre del Gobierno austriaco, por el Sr. G. Kunnert y la Sra. C. Pesendorfer, en calidad de agentes;
– en nombre del Gobierno polaco, por los Sres. B. Majczyna y M. Szpunar, en calidad de agentes;
– en nombre de la Comisión Europea, por la Sra. I. Martínez del Peral y Sr. B. Martenczuk, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 25 de junio de 2013; dicta la siguiente
Sentencia
1 La petición de decisión prejudicial versa sobre la interpretación de los artículos 2, letras b) y d), 4,
apartado 1, letras a) y c), 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31), y del artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).
2 Esta petición se presentó en el marco de un litigio entre Google Spain, S.L. (en lo sucesivo, «Google Spain»), y Google Inc., por un lado, y la Agencia Española de Protección de Datos (en lo sucesivo, «AEPD») y el Sr. Costeja González, por otro, en relación con una resolución de dicha Agencia por la que se estimó la reclamación del Sr. Costeja González contra ambas sociedades y se ordenaba a Google Inc. que adoptara las medidas necesarias para retirar los datos personales del Sr. Costeja González de su índice e imposibilitara el acceso futuro a los mismos.
Marco jurídico
Derecho de la Unión
3 La Directiva 95/46, que, según su artículo 1, tiene por objeto la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales y la eliminación de los obstáculos a la libre circulación de estos datos, enuncia lo siguiente en sus considerandos 2, 10, 18 a 20 y 25: «(2) Considerando que los sistemas de tratamiento de datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las personas físicas, respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la intimidad, y contribuir [...] al bienestar de los individuos; [...]
(10) Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales[,firmado en Roma el 4 de noviembre de 1950], así como en los principios generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad; [...]
(18) Considerando que, para evitar que una persona sea excluida de la protección garantizada por la presente Directiva, es necesario que todo tratamiento de datos personales efectuado en la Comunidad respete la legislación de uno de sus Estados miembros; que, a este respecto, resulta conveniente someter el tratamiento de datos efectuados por cualquier persona que actúe bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado;
(19) Considerando que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante al respecto; que cuando un mismo responsable esté establecido en el territorio de varios Estados miembros, en particular por medio de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a estas actividades;
(20) Considerando que el hecho de que el responsable del tratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección de las personas contemplada en la presente Directiva; que en estos casos el tratamiento de datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adoptarse garantías para que se respeten en la práctica los derechos y obligaciones contempladas en la presente Directiva; [...]
(25) Considerando que los principios de la protección tienen su expresión, por una parte, en las distintas obligaciones que incumben a las personas [...] que efectúen tratamientos- obligaciones relativas, en particular, a la calidad de los datos, la seguridad técnica, la notificación a las autoridades de control y las circunstancias en las que se puede efectuar el tratamiento- y, por otra parte, en los derechos otorgados a las personas cuyos datos sean objeto de tratamiento de ser informadas acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias».
4 El artículo 2 de la Directiva 95/46 establece que «a efectos de [ésta], se entenderá por:
a) “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;
b) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción; [...]
d) “responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario; [...]»
5 El artículo 3 de dicha Directiva, titulado «Ámbito de aplicación», precisa en su apartado 1:
«Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.»
6 El artículo 4 de la misma Directiva, titulado «Derecho nacional aplicable», dispone:
«1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:
a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;
b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;
c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.
2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.»
7 El artículo 6 de la Directiva 95/46, titulado «Principios relativos a la calidad de los datos», incluido en el capítulo II, sección I, de dicha Directiva, tiene el siguiente tenor:
«1. Los Estados miembros dispondrán que los datos personales sean:
a) tratados de manera leal y lícita;
b) recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas;
c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;
d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados;
e) conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. Los Estados miembros establecerán las garantías apropiadas para los datos personales archivados por un período más largo del mencionado, con fines históricos, estadísticos o científicos.
2. Corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1.»
8 El artículo 7 de la Directiva 95/46, titulado «Principios relativos a la legitimación del tratamiento de datos», incluido en el capítulo I, sección II, de esta Directiva, establece: «Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si: [...]
f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.»
9 El artículo 9 de la mencionada Directiva, titulado «Tratamiento de datos personales y libertad de expresión», dispone:
«En lo referente al tratamiento de datos personales con fines exclusivamente periodísticos o de expresión artística o literaria, los Estados miembros establecerán, respecto de las disposiciones del presente capítulo, del capítulo IV y del capítulo VI, exenciones y excepciones sólo en la medida en que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión.»
10 El artículo 12 de la misma Directiva, titulado «Derecho de acceso», establece:
«Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento: [...]
b) en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos; [...]»
11 El artículo 14 de la Directiva 95/46, titulado «Derecho de oposición del interesado», dispone:
«Los Estados miembros reconocerán al interesado el derecho a:
a) oponerse, al menos en los casos contemplados en las letras e) y f) del artículo 7, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. En caso de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos; [...]»
12 El artículo 28 de dicha Directiva, rubricado «Autoridad de control», tiene el siguiente tenor:
«1. Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva. [...]
3. La autoridad de control dispondrá, en particular, de: — poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control; — poderes efectivos de intervención, como, por ejemplo, el de [...] ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento [...] — [...]
Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.
4. Toda autoridad de control entenderá de las solicitudes que cualquier persona, o cualquier asociación que la represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud. [...]
6. Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.
Las autoridades de control cooperarán entre sí en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información que estimen útil. [...]»
Derecho español
13 La Directiva 95/46 ha sido transpuesta en Derecho español por la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (BOE nº 298, de 14 de diciembre de 1999, p. 43088).
Litigio principal y cuestiones prejudiciales
14 El 5 de marzo de 2010, el Sr. Costeja González, de nacionalidad española y domiciliado en España, presentó ante la AEPD una reclamación contra La Vanguardia Ediciones, S.L., que publica un periódico de gran difusión, concretamente en Cataluña (en lo sucesivo, «La Vanguardia»), y contra Google Spain y Google Inc. Esta reclamación se basaba en que, cuando un internauta introducía el nombre del Sr. Costeja González en el motor de búsqueda de Google (en lo sucesivo, «Google Search»), obtenía como resultado vínculos hacia dos páginas del periódico La Vanguardia, del 19 de enero y del 9 de marzo de 1998, respectivamente, en las que figuraba un anuncio de una subasta de inmuebles relacionada con un embargo por deudas a la Seguridad Social, que mencionaba el nombre del Sr. Costeja González.
15 Mediante esta reclamación, el Sr. Costeja González solicitaba, por un lado, que se exigiese a La Vanguardia eliminar o modificar la publicación para que no apareciesen sus datos personales, o utilizar las herramientas facilitadas por los motores de búsqueda para proteger estos datos. Por otro lado, solicitaba que se exigiese a Google Spain o a Google Inc. que eliminaran u ocultaran sus datos personales para que dejaran de incluirse en sus resultados de búsqueda y dejaran de estar ligados a los enlaces de La Vanguardia. En este marco, el Sr. Costeja González afirmaba que el embargo al que se vio sometido en su día estaba totalmente solucionado y resuelto desde hace años y carecía de relevancia actualmente.
16 Mediante resolución de 30 de julio de 2010, la AEPD desestimó la reclamación en la medida en que se refería a La Vanguardia, al considerar que la publicación que ésta había llevado a cabo estaba legalmente justificada, dado que había tenido lugar por orden del Ministerio de Trabajo y Asuntos Sociales y tenía por objeto dar la máxima publicidad a la subasta para conseguir la mayor concurrencia de licitadores.
17 En cambio, se estimó la misma reclamación en la medida en que se dirigía contra Google Spain y Google Inc. A este respecto, la AEPD consideró que quienes gestionan motores de búsqueda están sometidos a la normativa en materia de protección de datos, dado que llevan a cabo un tratamiento de datos del que son responsables y actúan como intermediarios de la sociedad de la información. La AEPD consideró que estaba facultada para ordenar la retirada e imposibilitar el acceso a determinados datos por parte de los gestores de motores de búsqueda cuando considere que su localización y difusión puede lesionar el derecho fundamental a la protección de datos y a la dignidad de la persona entendida en un sentido amplio, lo que incluye la mera voluntad del particular afectado cuando quiere que tales datos no sean conocidos por terceros. La AEPD estimó que este requerimiento puede dirigirse directamente a los explotadores de motores de búsqueda, sin suprimir los datos o la información de la página donde inicialmente está alojada e, incluso, cuando el mantenimiento de esta información en dicha página esté justificado por una norma legal.
18 Google Spain y Google Inc. interpusieron sendos recursos contra dicha resolución ante la Audiencia Nacional, que decidió acumularlos.
19 El mencionado tribunal expone en el auto de remisión que estos recursos plantean la cuestión de cuáles son las obligaciones que tienen los gestores de motores de búsqueda en la protección de datos personales de aquellos interesados que no desean que determinada información, publicada en páginas web de terceros, que contiene sus datos personales y permite relacionarles con la misma, sea localizada, indexada y sea puesta a disposición de los internautas de forma indefinida. Considera que la respuesta a esta cuestión depende del modo en que debe interpretarse la Directiva 95/46 en el marco de estas tecnologías, que han surgido después de su publicación.
20 En estas circunstancias, la Audiencia Nacional decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales siguientes: «1) ¿Por lo que respecta a la aplicación territorial de la Directiva [95/46] y, consiguientemente de la normativa española de protección de datos:
a) Debe interpretarse que existe un “establecimiento”, en los términos descritos en el art. 4.1.a) de la [Directiva 95/46], cuando concurra alguno o algunos de los siguientes supuestos: — cuando la empresa proveedora del motor de búsqueda crea en un Estado miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes del Estado, o — cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa, o — cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la Unión Europea, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto al derecho de protección de datos, aun cuando dicha colaboración se realice de forma voluntaria?
b) ¿Debe interpretarse el art. 4.1.c de la [Directiva 95/46] en el sentido de que existe un “recurso a medios situados en el territorio de dicho Estado miembro”: — cuando un buscador utilice arañas o robots para localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado miembro o — cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y los resultados en función del idioma de ese Estado miembro?
c) ¿Puede considerarse como un recurso a medios, en los términos del art. 4.1.c de la [Directiva 95/46], el almacenamiento temporal de la información indexada por los buscadores en internet? Si la respuesta a esta última cuestión fuera afirmativa, ¿puede entenderse que este criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde almacena estos índices alegando razones competitivas?
d) Con independencia de la respuesta a las preguntas anteriores y especialmente en el caso en que se considerase por el Tribunal de Justicia de la Unión que no concurren los criterios de conexión previstos en el art. 4 de la [Directiva 95/46]:
¿Debe aplicarse la [Directiva 95/46], a la luz del art. 8 de la [Carta], en el país miembro donde se localice el centro de gravedad del conflicto y sea posible una tutela más eficaz de los derechos de los ciudadanos de la Unión [...]?
2) Por lo que respecta a la actividad de los buscadores como proveedor de contenidos en relación con la [Directiva 95/46]:
a) En relación con la actividad [de Google Search], como proveedor de contenidos, consistente en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y finalmente ponerla a disposición de los internautas con un cierto orden de preferencia, cuando dicha información contenga datos personales de terceras personas, ¿Debe interpretarse una actividad como la descrita comprendida en el concepto de “tratamiento de datos”, contenido en el art. 2.b de la [Directiva 95/46]?
b) En caso de que la respuesta anterior fuera afirmativa y siempre en relación con una actividad como la ya descrita: ¿Debe interpretarse el artículo 2.d) de la [Directiva 95/46], en el sentido de considerar que la empresa que gestiona [Google Search] es “responsable del tratamiento” de los datos personales contenidos en las páginas web que indexa?
c) En el caso de que la respuesta anterior fuera afirmativa: ¿Puede la [AEPD], tutelando los derechos contenidos en el art. 12.b) y 14.a) de la [Directiva 95/46], requerir directamente [a Google Search] para exigirle la retirada de sus índices de una información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información?
d) En el caso de que la respuesta a esta última pregunta fuera afirmativa: ¿Se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene esos datos se haya publicado lícitamente por terceros y se mantenga en la página web de origen?
3) Respecto al alcance del derecho de cancelación y/oposición en relación con el derecho al olvido se plantea la siguiente pregunta: ¿Debe interpretarse que los derechos de supresión y bloqueo de los datos, regulados en el art. 12.b) y el de oposición, regulado en el art. 14.a) de la [Directiva 95/46] comprenden que el interesado pueda dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona, publicada en páginas web de terceros, amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de una información publicada lícitamente por terceros?»
Sobre las cuestiones prejudiciales
Sobre la segunda cuestión prejudicial, letras a) y b), relativa al ámbito de aplicación material de la Directiva 95/46
21 Mediante su segunda cuestión prejudicial, letras a) y b), que procede examinar en primer lugar, el tribunal remitente desea saber, en esencia, si el artículo 2, letra b), de la Directiva 95/46 debe examinarse en el sentido de que la actividad de un motor de búsqueda como proveedor de contenidos, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicha disposición, cuando esa información contiene datos personales. En el supuesto de que se responda afirmativamente a esa cuestión, el tribunal remitente desea saber, además, si la letra d) del mencionado artículo 2 debe interpretarse en el sentido de que el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento de datos personales, en el sentido de esa disposición.
22 Según Google Spain y Google Inc., la actividad de los motores de búsqueda no puede considerarse tratamiento de los datos que se muestran en las páginas web de terceros que presenta la lista de resultados de la búsqueda, dado que estos motores tratan la información accesible en Internet globalmente sin seleccionar entre datos personales y el resto de información. En su opinión, además, aun suponiendo que esta actividad deba ser calificada de «tratamiento de datos», el gestor de un motor de búsqueda no puede considerarse «responsable» de ese tratamiento, ya que no conoce dichos datos y no ejerce control sobre ellos.
23 En cambio, el Sr. Costeja González, los Gobiernos español, italiano austriaco y polaco y la Comisión Europea sostienen que dicha actividad implica claramente un «tratamiento de datos», en el sentido de la Directiva 95/46, que es distinto del tratamiento de datos realizado por los editores de los sitios de Internet y persigue objetivos distintos al de éste. A su juicio, el gestor de un motor de búsqueda es «responsable» del tratamiento de datos efectuado por él desde el momento en que es él quien determina la finalidad y los medios de dicho tratamiento.
24 Según el Gobierno helénico, la actividad controvertida constituye tal «tratamiento», pero, en la medida en que los motores de búsqueda sirven de simples intermediarios, las empresas que los gestionan no pueden considerarse «responsables», salvo en los casos en los que almacenan datos en una «memoria intermedia» o una «memoria oculta» por un período de tiempo que supere lo técnicamente necesario.
25 A este respecto, ha de señalarse que el artículo 2, letra b), de la Directiva 95/46 define el «tratamiento de datos personales» como «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción».
26 En lo que atañe, en particular, a Internet, el Tribunal de Justicia ya ha tenido ocasión de declarar que la conducta que consiste en hacer referencia, en una página web, a datos personales debe considerarse un «tratamiento» de esta índole, en el sentido del artículo 2, letra b), de la Directiva 95/46 (véase la sentencia Lindqvist, C101/01, EU:C:2003:596, apartado 25).
27 En cuanto a la actividad controvertida en el litigio principal, no se discute que entre los datos hallados, indexados, almacenados por los motores de búsqueda y puestos a disposición de sus usuarios figura también información relativa a personas físicas identificadas o identificables y, por tanto, «datos personales» en el sentido del artículo 2, letra a), de dicha Directiva.
28 Por consiguiente, debe declararse que, al explorar Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el gestor de un motor de búsqueda «recoge» tales datos que «extrae», «registra» y «organiza» posteriormente en el marco de sus programas de indexación, «conserva» en sus servidores y, en su caso, «comunica» y «facilita el acceso» a sus usuarios en forma de listas de resultados de sus búsquedas. Ya que estas operaciones están recogidas de forma explícita e incondicional en el artículo 2, letra b), de la Directiva 95/46, deben calificarse de «tratamiento» en el sentido de dicha disposición, sin que sea relevante que el gestor del motor de búsqueda también realice las mismas operaciones con otros tipos de información y no distinga entre éstos y los datos personales.
29 Tampoco contradice la apreciación anterior el hecho de que estos datos hayan sido ya objeto de publicación en Internet y dicho motor de búsqueda no los modifique.
30 De este modo, el Tribunal de Justicia ya ha declarado que las operaciones a las que se refiere el artículo 2, letra b), de la Directiva 95/46 deben calificarse de tal tratamiento también en el supuesto de que se refieran únicamente a información ya publicada tal cual en los medios de comunicación. En efecto, señaló a este respecto que una excepción general a la aplicación de la Directiva 95/46 en tal supuesto dejaría esta última en gran medida vacía de contenido (véase, en este sentido, la sentencia Satakunnan Markkinapörssi y Satamedia, C73/07, EU:C:2008:727, apartados 48 y 49).
31 Además, se desprende de la definición contenida en el artículo 2, letra b), de la Directiva 95/46 que, aunque la modificación de datos personales constituye, ciertamente, un tratamiento, en el sentido de ésta, en cambio el resto de operaciones que se mencionan en ella no precisan en modo alguno de que estos datos se modifiquen.
32 En cuanto a si el gestor de un motor de búsqueda debe o no considerarse «responsable del tratamiento» de los datos personales efectuado por dicho motor en el marco de una actividad como la controvertida en el litigio principal, debe recordarse que el artículo 2, letra d), de la Directiva 95/46 define al responsable como «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales».
33 Ahora bien, el gestor del motor de búsqueda es quien determina los fines y los medios de esta actividad y, así, del tratamiento de datos personales que efectúa él mismo en el marco de ésta y, por consiguiente, debe considerarse «responsable» de dicho tratamiento en virtud del mencionado artículo 2, letra d).
34 Por otro lado, es necesario declarar que sería contrario, no sólo al claro tenor de esta disposición sino también a su objetivo, consistente en garantizar, mediante una definición amplia del concepto de «responsable», una protección eficaz y completa de los interesados, excluir de esta disposición al gestor de un motor de búsqueda debido a que no ejerce control sobre los datos personales publicados en las páginas web de terceros.
35 Sobre este particular, procede poner de manifiesto que el tratamiento de datos personales llevado a cabo en el marco de la actividad de un motor de búsqueda se distingue del efectuado por los editores de sitios de Internet, que consiste en hacer figurar esos datos en una página en Internet, y se añade a él.
36 Además, es pacífico que esta actividad de los motores de búsqueda desempeña un papel decisivo en la difusión global de dichos datos en la medida en que facilita su acceso a todo internauta que lleva a cabo una búsqueda a partir del nombre del interesado, incluidos los internautas que, de no ser así, no habrían encontrado la página web en la que se publican estos mismos datos.
37 Además, la organización y la agregación de la información publicada en Internet efectuada por los motores de búsqueda para facilitar a sus usuarios el acceso a ella puede conducir, cuando la búsqueda de los usuarios se lleva a cabo a partir del nombre de una persona física, a que éstos obtengan mediante la lista de resultados una visión estructurada de la información relativa a esta persona que puede hallarse en Internet que les permita establecer un perfil más o menos detallado del interesado.
38 En consecuencia, en la medida en que la actividad de un motor de búsqueda puede afectar, significativamente y de modo adicional a la de los editores de sitios de Internet, a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, el gestor de este motor, como persona que determina los fines y los medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que dicha actividad satisface las exigencias de la Directiva 95/46 para que las garantías establecidas en ella puedan tener pleno efecto y pueda llevarse a cabo una protección eficaz y completa de los interesados, en particular, de su derecho al respeto de la vida privada.
39 Por último, el que los editores de sitios de Internet tengan la facultad de indicar a los gestores de los motores de búsqueda, con la ayuda, concretamente, de protocolos de exclusión como «robot.txt», o de códigos como «noindex» o «noarchive», que desean que una información determinada, publicada en su sitio, sea excluida total o parcialmente de los índices automáticos de los motores, no significa que la falta de tal indicación por parte de estos editores libere al gestor de un motor de búsqueda de su responsabilidad por el tratamiento de datos personales que lleva a cabo en el marco de la actividad de dicho motor.
40 En efecto, esta circunstancia no modifica el hecho de que el gestor determina los fines y los medios de este tratamiento. Además, aun suponiendo que dicha facultad de los editores de sitios de Internet signifique que éstos determinen conjuntamente con dicho gestor los medios del mencionado tratamiento, tal afirmación no elimina en modo alguno la responsabilidad del gestor, ya que el artículo 2, letra d), de la Directiva 95/46 prevé expresamente que esta determinación puede realizarse «sólo o conjuntamente con otros».
41 Del conjunto de las consideraciones precedentes se desprende que procede responder a la segunda cuestión prejudicial, letras a) y b), que el artículo 2, letras b) y d), de la Directiva 95/46 debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el sentido del mencionado artículo 2, letra d).
Sobre la primera cuestión prejudicial, letras a) a d), relativas al ámbito de aplicación territorial de la Directiva 95/46
42 Mediante su primera cuestión prejudicial, letras a) a d), el tribunal remitente desea que se aclare si es posible aplicar la norma nacional que traspone la Directiva 95/46 en circunstancias como las controvertidas en el litigio principal.
43 En este marco, el tribunal remitente considera acreditados los siguientes hechos:
— Google Search se presta a nivel mundial a través del sitio de Internet «www.google.com». En muchos países existen versiones locales adaptadas al idioma nacional. La versión española de Google Search se presta a través del sitio www.google.es, dominio que tiene registrado desde el 16 de septiembre de 2003. Google Search es uno de los motores de búsqueda más utilizados en España. — Google Inc. (empresa matriz del grupo Google), con domicilio en los Estados Unidos, gestiona Google Search. — Google Search indexa páginas web de todo el mundo, incluyendo páginas web ubicadas en España. La información indexada por sus «arañas» o robots de indexación, es decir, programas informáticos utilizados para rastrear y realizar un barrido del contenido de páginas web de manera metódica y automatizada, se almacena temporalmente en servidores cuyo Estado de ubicación se desconoce, ya que este dato es secreto por razones competitivas.
— Google Search no sólo facilita el acceso a los contenidos alojados en las páginas web indexadas, sino que también aprovecha esta actividad para incluir publicidad asociada a los patrones de búsqueda introducidos por los internautas, contratada, a cambio de un precio, por las empresas que desean utilizar esta herramienta para ofrecer sus bienes o servicios a éstos.
— El grupo Google utiliza una empresa filial, Google Spain, como agente promotor de venta de los espacios publicitarios que se generan en el sitio de Internet «www.google.com». Google Spain tiene personalidad jurídica propia y domicilio social en Madrid, y fue creada el 3 de septiembre de 2003.
Dicha empresa dirige su actividad fundamentalmente a las empresas radicadas en España, actuando como agente comercial del grupo en dicho Estado miembro. Tiene como objeto social promocionar, facilitar y procurar la venta de productos y servicios de publicidad «on line» a través de Internet para terceros, así como la comercialización de esta publicidad.
— Google Inc. designó a Google Spain como responsable del tratamiento en España de dos ficheros inscritos por Google Inc. ante la AEPD; el objeto de tales ficheros era almacenar los datos de las personas relacionadas con los clientes de servicios publicitarios que en su día contrataron con Google Inc.
44 Concretamente, el tribunal remitente se pregunta, con carácter principal, sobre el concepto de «establecimiento», en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46, y sobre el de «recurso a medios situados en el territorio de dicho Estado miembro», en el sentido del mencionado artículo 4, apartado 1, letra c).
Primera cuestión prejudicial, letra a)
45 Mediante su primera cuestión prejudicial, letra a), el tribunal remitente desea saber, en esencia, si el artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando se cumplen uno o varios de los tres requisitos siguientes:
— cuando la empresa proveedora del motor de búsqueda crea en un Estado miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del motor, que dirige su actividad a los habitantes de ese Estado, o — cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa, o — cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la Unión, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto al derecho de protección de datos personales, aun cuando dicha colaboración se realice de forma voluntaria.
46 Por lo que respecta al primer requisito, el tribunal remitente señala que Google Inc. gestiona técnica y administrativamente Google Search y que no está probado que Google Spain realice en España una actividad directamente vinculada a la indexación o al almacenamiento de información o de datos contenidos en los sitios de Internet de terceros. Sin embargo, la actividad de promoción y venta de espacios publicitarios, de la que Google Spain es responsable para España, constituye la parte esencial de la actividad comercial del grupo Google y puede considerarse que está estrechamente vinculada a Google Search.
47 El Sr. Costeja González, los Gobiernos español, italiano, austriaco y polaco y la Comisión consideran que, habida cuenta del vínculo indisociable entre la actividad del motor de búsqueda gestionado por Google Inc. y la de Google Spain, ésta debe considerarse un establecimiento de aquélla, en el marco de cuyas actividades se lleva a cabo el tratamiento de datos personales. En cambio, según Google Spain, Google Inc. y el Gobierno helénico, el artículo 4, apartado 1, letra a), de la Directiva 95/46 no se aplica en el supuesto de que se esté ante el primero de los tres requisitos enumerados por el tribunal remitente.
48 Sobre este particular, procede recordar, en primer lugar, que el considerando 19 de la Directiva aclara que «el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable», y «que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante».
49 Pues bien, no se discute que Google Spain se dedica al ejercicio efectivo y real de una actividad mediante una instalación estable en España. Además, al estar dotada de personalidad jurídica propia, es de este modo una filial de Google Inc. en territorio español, y, por lo tanto, un «establecimiento», en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46.
50 Para cumplir el requisito establecido en dicha disposición, es necesario además que el tratamiento de datos personales por parte del responsable del tratamiento se «lleve a cabo en el marco de las actividades» de un establecimiento de dicho responsable situado en territorio de un Estado miembro.
51 Google Spain y Google Inc. niegan que éste sea el caso, dado que el tratamiento de datos personales controvertido en el litigio principal lo lleva a cabo exclusivamente Google Inc., que gestiona Google Search sin ninguna intervención por parte de Google Spain, cuya actividad se limita a prestar apoyo a la actividad publicitaria del grupo Google, que es distinta de su servicio de motor de búsqueda.
52 No obstante, como subrayaron, en particular, el Gobierno español y la Comisión, el artículo 4, apartado 1, letra a), de la Directiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado «por» el propio establecimiento en cuestión, sino que se realice «en el marco de las actividades» de éste.
53 Además, visto el objetivo de la Directiva 95/46 de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, ésta expresión no puede ser objeto de una interpretación restrictiva (véase, por analogía, la sentencia L’Oréal y otros, C324/09, EU:C:2011:474, apartados 62 y 63).
54 En este marco, cabe señalar que se desprende, concretamente de los considerandos 18 a 20 y del artículo 4 de la Directiva 95/46, que el legislador de la Unión pretendió evitar que una persona se viera excluida de la protección garantizada por ella y que se eludiera esta protección, estableciendo un ámbito de aplicación territorial particularmente extenso.
55 Habida cuenta de este objetivo de la Directiva 95/46 y del tenor de su artículo 4, apartado 1, letra a), procede considerar que el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa «en el marco de las actividades» de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor.
56 En efecto, en tales circunstancias, las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades.
57 Sobre este particular, es necesario recordar que, como se ha precisado en los apartados 26 a 28 de la presente sentencia, la propia presentación de datos personales en una página de resultados de una búsqueda constituye un tratamiento de tales datos. Pues bien, toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de autos el territorio español.
58 En tales circunstancias, no se puede aceptar que el tratamiento de datos personales llevado a cabo para el funcionamiento del mencionado motor de búsqueda se sustraiga a las obligaciones y a las garantías previstas por la Directiva 95/46, lo que menoscabaría su efecto útil y la protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas que tiene por objeto garantizar (véase, por analogía, la sentencia L’Oréal y otros, EU:C:2011:474, apartados 62 y 63), en particular, el respeto de su vida privada en lo que respecta al tratamiento de datos personales, al que esta Directiva concede una importancia especial, como confirman, concretamente, su artículo 1, apartado 1, y sus considerandos 2 y 10 (véanse, en este sentido, las sentencias Österreichischer Rundfunk y otros, C465/00, C138/01 y C139/01, EU:C:2003:294, apartado 70; Rijkeboer, C553/07, EU:C:2009:293, apartado 47, e IPI, C473/12, EU:C:2013:715, apartado 28 y jurisprudencia citada).
59 En la medida en que el primero de los tres requisitos enumerados por el tribunal remitente basta por sí mismo para concluir que un establecimiento como Google Spain cumple el criterio recogido en el artículo 4, apartado 1, letra a), de la Directiva 95/46, no es necesario examinar los otros dos requisitos.
60 De lo anterior se deduce que procede responder a la primera cuestión prejudicial, letra a), que el artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro.
Primera cuestión prejudicial, letras b) a d)
61 En vista de la respuesta dada a la primera cuestión prejudicial, letra a), no es preciso contestar a la primera cuestión, letras b) a d).
Sobre la segunda cuestión prejudicial, letras c) y d), relativa al alcance de la responsabilidad del gestor de un motor de búsqueda en virtud de la Directiva 95/46
62 Mediante su segunda cuestión prejudicial, letras c) y d), el tribunal remitente desea saber, en esencia, si los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, para respetar los derechos que establecen estas disposiciones, el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a páginas web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en sí misma en dichas páginas sea lícita.
63 Google Spain y Google Inc. consideran que, en virtud del principio de proporcionalidad, cualquier solicitud que tenga por objeto que se elimine información debe dirigirse al editor del sitio de Internet de que se trate, ya que éste es quien asume la responsabilidad de publicar la información, quien puede examinar la licitud de esta publicación y quien dispone de los medios más eficaces y menos restrictivos para hacer que esa información sea inaccesible. Además, consideran que imponer al gestor de un motor de búsqueda que retire de sus índices información publicada en Internet no tiene suficientemente en cuenta los derechos fundamentales de los editores de sitios de Internet, del resto de los internautas y del propio gestor.
64 Según el gobierno austriaco, una autoridad de control nacional únicamente puede ordenar a tal gestor que borre de sus ficheros información publicada por terceros si anteriormente se ha declarado la ilegalidad o la inexactitud de los datos controvertidos o si el interesado ha ejercido con éxito su derecho de oposición ante el editor del sitio de Internet en el que se ha publicado la información.
65 El Sr. Costeja González, los Gobiernos español, italiano y polaco y la Comisión consideran que la autoridad nacional puede ordenar directamente al gestor de un motor de búsqueda que retire de sus índices y de su memoria intermedia información que contiene datos personales publicada por terceros, sin dirigirse previa o simultáneamente al editor de la página web en la que se ubica dicha información.
Además, a juicio del Sr. Costeja González, de los Gobiernos español e italiano y de la Comisión, el que dicha información se publicara de forma lícita y que siga figurando en la página web de origen carece de relevancia sobre las obligaciones de dicho gestor con arreglo a la Directiva 95/46. En cambio, para el Gobierno polaco, este hecho le libera de sus obligaciones.
66 Con carácter previo, procede recordar que, como se desprende de su artículo 1 y de su considerando 10, la Directiva 95/46 tiene por objeto garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas, sobre todo de su vida privada, en relación con el tratamiento de datos personales (véase, en este sentido, la sentencia IPI, EU:C:2013:715, apartado 28).
67 Según el considerando 25 de la Directiva 95/46, los principios de la protección que ésta establece tienen su expresión, por una parte, en las distintas obligaciones que incumben a las personas que efectúen tratamientos —obligaciones relativas, en particular, a la calidad de los datos, la seguridad técnica, la notificación a las autoridades de control y las circunstancias en las que se puede efectuar el tratamiento—, y, por otra parte, en los derechos otorgados a las personas cuyos datos sean objeto de tratamiento de ser informadas acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias.
68 El Tribunal de Justicia ya ha declarado que las disposiciones de la Directiva 95/46, en la medida en que regulan el tratamiento de datos personales que pueden atentar contra las libertades fundamentales y, en particular, contra el derecho a la intimidad, deben ser interpretadas a la luz de los derechos fundamentales que, según reiterada jurisprudencia, forman parte de los principios generales del Derecho cuyo respeto garantiza el Tribunal de Justicia y que están actualmente recogidos en la Carta (véanse, en particular, las sentencias Connolly/Comisión, C274/99 P, EU:C:2001:127, apartado 37, y Österreichischer Rundfunk y otros, EU:C:2003:294, apartado 68).
69 De este modo, el artículo 7 de la Carta garantiza el respecto de la vida privada, mientras que el artículo 8 de la Carta proclama expresamente el derecho a la protección de los datos personales. Los apartados 2 y 3 de este último precisan que estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley, que toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación y que el respeto de estas normas estará sujeto al control de una autoridad independiente. Aplican estos requisitos, en particular, los artículos 6, 7, 12, 14 y 28 de la Directiva 95/46.
70 En relación con el artículo 12, letra b), de la Directiva 95/46, éste dispone que los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento, en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos. Esta última aclaración, relativa al supuesto del incumplimiento de algunos requisitos recogidos en el artículo 6, apartado 1, letra d), de la Directiva 95/46, tiene carácter de ejemplo y no es taxativa, de lo que se desprende que la falta de conformidad del tratamiento, que puede ofrecer al interesado el derecho garantizado por el artículo 12, letra b), de dicha Directiva, puede también derivarse del incumplimiento de otros requisitos de legalidad impuestos por ésta al tratamiento de datos personales.
71 Sobre este particular, procede recordar que, no obstante las excepciones admitidas al amparo del artículo 13 de la Directiva 95/46, todo tratamiento de datos personales debe ser conforme, por una parte, con los principios relativos a la calidad de los datos, enunciados en el artículo 6 de dicha Directiva, y, por otra, con alguno de los principios relativos a la legitimación del tratamiento de datos, enumerados en el artículo 7 de la Directiva (véanse las sentencias Österreichischer Rundfunk y otros, EU:C:2003:294, apartado 65; ASNEF y FECEMD, C468/10 y C469/10, EU:C:2011:777, apartado 26, y Worten, C342/12, EU:C:2013:355, apartado 33).
72 A tenor de este artículo 6 y sin perjuicio de las disposiciones específicas que los Estados miembros puedan establecer para el tratamiento con fines históricos, estadísticos o científicos, incumbe al responsable del tratamiento garantizar que los datos personales sean «tratados de manera leal y lícita», que sean «recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines», que sean «adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente», que sean «exactos y, cuando sea necesario, actualizados», y, por último, que sean «conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente». En este marco, el mencionado responsable debe adoptar todas las medidas razonables para que los datos que no responden a los requisitos de esta disposición sean suprimidos o rectificados.
73 En cuanto a la legitimación, en virtud del artículo 7 de la Directiva 95/46, de un tratamiento como el controvertido en el litigio principal efectuado por el gestor de un motor de búsqueda, éste puede estar incluido en la razón recogida en dicho artículo 7, letra f).
74 Esta disposición permite el tratamiento de datos personales cuando es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado, en particular, su derecho al respeto de su vida privada, en lo que respecta al tratamiento de datos personales, que requieran protección con arreglo al apartado 1 del artículo 1 de la Directiva. De este modo, la aplicación del mencionado artículo 7, letra f), precisa de una ponderación de los derechos e intereses en liza de que se trate, en cuyo marco debe tenerse en cuenta la importancia de los derechos del interesado, que resulta de los artículos 7 y 8 de la Carta (véase la sentencia ASNEF y FECEMD, EU:C:2011:777, apartados 38 y 40).
75 Aunque la conformidad del tratamiento con los artículos 6 y 7, letra f), de la Directiva 95/46 puede comprobarse en el marco de una solicitud, en el sentido del artículo 12, letra b), de esta Directiva, el interesado puede además invocar en determinados supuestos el derecho de oposición previsto en el artículo 14, párrafo primero, letra a), de ésta.
76 Según dicho artículo 14, párrafo primero, letra a), los Estados miembros reconocerán al interesado el derecho a oponerse, al menos en los casos contemplados en las letras e) y f) del artículo 7 de la Directiva 95/46, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. La ponderación que ha de efectuarse en el marco de dicho artículo 14, párrafo primero, letra a), permite así tener en cuenta de modo más específico todas las circunstancias que rodean a la situación concreta del interesado. En caso de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos.
77 El interesado puede dirigir las solicitudes con arreglo a los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 directamente al responsable del tratamiento, que debe entonces examinar debidamente su fundamento y, en su caso, poner fin al tratamiento de los datos controvertidos. Cuando el responsable del tratamiento no accede a las solicitudes, el interesado puede acudir a la autoridad de control o a los tribunales para que éstos lleven a cabo las comprobaciones necesarias y ordenen a dicho gestor las medidas precisas en consecuencia.
78 A este respecto, procede recordar que se deriva del artículo 28, apartados 3 y 4, de la Directiva 95/46 que toda autoridad de control entenderá de las solicitudes de cualquier persona relativas a la protección de sus derechos y libertades en relación con el tratamiento de datos personales y que dispone de poderes de investigación y de poderes efectivos de intervención, que le permiten, en particular, ordenar el bloqueo, la supresión o la destrucción de datos, o prohibir provisional o definitivamente un tratamiento.
79 Deben interpretarse y aplicarse a la luz de estas consideraciones las disposiciones de la Directiva 95/46 que regulan los derechos del interesado cuando la autoridad de control o los tribunales conocen de una solicitud como la controvertida en el litigio principal.
80 A este respecto, debe señalarse, en primer lugar, que, como se ha afirmado en los apartados 36 a 38 de la presente sentencia, un tratamiento de datos personales como el controvertido en el litigio principal, efectuado por el gestor de un motor de búsqueda, puede afectar significativamente a los derechos fundamentales de respeto de la vida privada y de protección de datos personales cuando la búsqueda realizada sirviéndose de ese motor de búsqueda se lleva a cabo a partir del nombre de una persona física, toda vez que dicho tratamiento permite a cualquier internauta obtener mediante la lista de resultados una visión estructurada de la información relativa a esta persona que puede hallarse en Internet, que afecta potencialmente a una multitud de aspectos de su vida privada, que, sin dicho motor, no se habrían interconectado o sólo podrían haberlo sido muy difícilmente y que le permite de este modo establecer un perfil más o menos detallado de la persona de que se trate. Además, el efecto de la injerencia en dichos derechos del interesado se multiplica debido al importante papel que desempeñan Internet y los motores de búsqueda en la sociedad moderna, que confieren a la información contenida en tal lista de resultados carácter ubicuo (véase, en este sentido, la sentencia eDate Advertising y otros, C509/09 y C161/10, EU:C:2011:685, apartado 45).
81 Vista la gravedad potencial de esta injerencia, es obligado declarar que el mero interés económico del gestor de tal motor en este tratamiento no la justifica. Sin embargo, en la medida en que la supresión de vínculos de la lista de resultados podría, en función de la información de que se trate, tener repercusiones en el interés legítimo de los internautas potencialmente interesados en tener acceso a la información en cuestión, es preciso buscar, en situaciones como las del litigio principal, un justo equilibrio, en particular entre este interés y los derechos fundamentales de la persona afectada con arreglo a los artículos 7 y 8 de la Carta. Aunque, ciertamente, los derechos de esa persona protegidos por dichos artículos prevalecen igualmente, con carácter general, sobre el mencionado interés de los internautas, no obstante este equilibrio puede depender, en supuestos específicos, de la naturaleza de la información de que se trate y del carácter sensible para la vida privada de la persona afectada y del interés del público en disponer de esta información, que puede variar, en particular, en función del papel que esta persona desempeñe en la vida pública.
82 Como resultado del examen de los requisitos de aplicación de los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46, que se ha de realizar cuando conocen de una solicitud como la controvertida en el litigio principal, la autoridad de control o el órgano jurisdiccional pueden ordenar a dicho gestor eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a páginas web, publicadas por terceros y que contienen información relativa a esta persona, sin que una orden en dicho sentido presuponga que ese nombre o esa información sean, con la conformidad plena del editor o por orden de una de estas autoridades, eliminados con carácter previo o simultáneamente de la página web en la que han sido publicados.
83 En efecto, como se ha afirmado en los puntos 35 a 38 de la presente sentencia, en la medida en que el tratamiento de datos personales llevado a cabo en la actividad de un motor de búsqueda se distingue del efectuado por los editores de sitios de Internet y se añade a éste y afecta de modo adicional a los derechos fundamentales del interesado, el gestor de este motor, como responsable del tratamiento, debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que dicho tratamiento cumple los requisitos de la Directiva 95/46, para que las garantías que ella establece puedan tener pleno efecto.
84 A este respecto, cabe señalar que, habida cuenta de la facilidad con que la información publicada en un sitio de Internet puede ser copiada en otros sitios y de que los responsables de su publicación no están siempre sujetos al Derecho de la Unión, no podría llevarse a cabo una protección eficaz y completa de los interesados si éstos debieran obtener con carácter previo o en paralelo la eliminación de la información que les afecta de los editores de sitios de Internet.
85 Además, el tratamiento por parte del editor de una página web, que consiste en la publicación de información relativa a una persona física, puede, en su caso, efectuarse «con fines exclusivamente periodísticos» y beneficiarse, de este modo, en virtud del artículo 9 de la Directiva 95/46, de las excepciones a los requisitos que ésta establece, mientras que ése no es el caso en el supuesto del tratamiento que lleva a cabo el gestor de un motor de búsqueda. De este modo, no puede excluirse que el interesado pueda en determinadas circunstancias ejercer los derechos recogidos en los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 contra el gestor, pero no contra el editor de dicha página web.
86 Por último, debe observarse que no sólo la razón que justifica, en virtud del artículo 7 de la Directiva 95/46, la publicación de un dato personal en un sitio de Internet no coincide forzosamente con la que se aplica a la actividad de los motores de búsqueda, sino que, aun cuando éste sea el caso, el resultado de la ponderación de los intereses en conflicto que ha de llevarse a cabo en virtud de los artículos 7, letra f), y 14, párrafo primero, letra a), de la mencionada Directiva puede divergir en función de que se trate de un tratamiento llevado a cabo por un gestor de un motor de búsqueda o por el editor de esta página web, dado que, por un lado, los intereses legítimos que justifican estos tratamientos pueden ser diferentes, y, por otro, las consecuencias de estos tratamientos sobre el interesado, y, en particular, sobre su vida privada, no son necesariamente las mismas.
87 En efecto, en la medida en que la inclusión, en la lista de resultados obtenida tras una búsqueda llevada a cabo a partir del nombre de una persona, de una página web y de información contenida en ella relativa a esta persona facilita sensiblemente la accesibilidad de dicha información a cualquier internauta que lleve a cabo una búsqueda sobre el interesado y puede desempeñar un papel decisivo para la difusión de esta información, puede constituir una injerencia mayor en el derecho fundamental al respeto de la vida privada del interesado que la publicación por el editor de esta página web.
88 A la luz del conjunto de consideraciones precedentes procede responder a la segunda cuestión prejudicial, letras c) y d), que los artículos 12, letra b) y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, para respetar los derechos que establecen estas disposiciones, siempre que se cumplan realmente los requisitos establecidos en ellos, el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a páginas web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita.
Sobre la tercera cuestión prejudicial, relativa al alcance de los derechos del interesado garantizados por la Directiva 95/46
89 Mediante su tercera cuestión prejudicial, el tribunal remitente desea saber, en esencia, si los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que permiten al interesado exigir al gestor de un motor de búsqueda eliminar de la lista de resultados obtenida como consecuencia de una búsqueda efectuada a partir de su nombre vínculos a páginas web, publicadas legalmente por terceros y que contienen datos e información verídicos relativos a su persona, debido a que estos datos e información pueden perjudicarle o que desee que estos datos e información se «olviden» tras un determinado lapso de tiempo.
90 Google Spain, Google Inc., los Gobiernos helénico, austriaco y polaco y la Comisión consideran que debe darse una respuesta negativa a esta cuestión. Google Spain, Google Inc., el Gobierno polaco y la Comisión alegan a este respecto que los artículos 12, letra b) y 14, párrafo primero, letra a), de la Directiva 95/46 confieren derechos a los interesados únicamente a condición de que el tratamiento controvertido sea incompatible con dicha Directiva o por razones legítimas propias de su situación particular, y no por la mera razón de que consideren que este tratamiento puede perjudicarles o deseen que los datos objeto de ese tratamiento caigan en el olvido. Los Gobiernos helénico y austriaco consideran que el interesado debe dirigirse al editor del sitio de Internet de que se trate.
91 El Sr. Costeja González y los Gobiernos español e italiano son de la opinión de que el interesado puede oponerse a la indexación de sus datos personales por un motor de búsqueda cuando la difusión de estos datos por la intermediación de éste le perjudica y de que sus derechos fundamentales a la protección de dichos datos y de respeto a la vida privada, que engloban el «derecho al olvido», prevalecen sobre los intereses legítimos del gestor de dicho motor y el interés general en la libertad de información.
92 En relación con el artículo 12, letra b), de la Directiva 95/46, cuya aplicación está sometida al requisito de que el tratamiento de datos personales sea incompatible con dicha Directiva, es necesario recordar que, como se ha señalado en el apartado 72 de la presente sentencia, tal incompatibilidad puede resultar no sólo de que los datos sean inexactos, sino en particular, de que sean inadecuados, no pertinentes y excesivos en relación con los fines del tratamiento, de que no estén actualizados o de que se conserven durante un período superior al necesario, a menos que se imponga su conservación por fines históricos, estadísticos o científicos.
93 Se deduce de estos requisitos, establecidos en el artículo 6, apartado 1, letras c) a e), de la Directiva 95/46, que incluso un tratamiento inicialmente lícito de datos exactos puede devenir, con el tiempo, incompatible con dicha Directiva cuando estos datos ya no sean necesarios en relación con los fines para los que se recogieron o trataron. Éste es el caso, en particular, cuando son inadecuados, no pertinentes o ya no pertinentes o son excesivos en relación con estos fines y el tiempo transcurrido.
94 Por consiguiente, en el supuesto en el que se aprecie, tras una solicitud del interesado en virtud del artículo 12, letra b), de la Directiva 95/46, que la inclusión en la lista de resultados obtenida como consecuencia de una búsqueda efectuada a partir de su nombre, de vínculos a páginas web, publicadas legalmente por terceros y que contienen datos e información verídicos relativos a su persona, es, en la situación actual, incompatible con dicho artículo 6, apartado 1, letras c) a e), debido a que esta información, habida cuenta del conjunto de las circunstancias que caracterizan el caso de autos, es inadecuada, no es pertinente, o ya no lo es, o es excesiva en relación con los fines del tratamiento en cuestión realizado por el motor de búsqueda, la información y los vínculos de dicha lista de que se trate deben eliminarse.
95 En lo que atañe a las solicitudes en el sentido de este artículo 12, letra b), basadas en el supuesto incumplimiento de los requisitos establecidos en el artículo 7, letra f), de la Directiva 95/46 y con arreglo al artículo 14, párrafo primero, letra a), de dicha Directiva, ha de señalarse que cada tratamiento de datos personales debe ser legítimo, en virtud del artículo 7, durante todo el período en el que se efectúa.
96 Visto lo que antecede, al apreciar tales solicitudes presentadas contra un tratamiento como el controvertido en el litigio principal, se tendrá que examinar, en particular, si el interesado tiene derecho a que la información relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados obtenida tras una búsqueda efectuada a partir de su nombre. A este respecto, cabe señalar que la apreciación de la existencia de tal derecho no presupone que la inclusión de la información en cuestión en la lista de resultados cause un perjuicio al interesado.
97 Ya que el interesado puede, habida cuenta de sus derechos con arreglo a los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, es necesario considerar, como se desprende, en particular, del apartado 81 de la presente sentencia, que estos derechos prevalecen, en principio, no sólo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en encontrar la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el mencionado interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate.
98 En relación con una situación como la del litigio principal, que se refiere a la presentación, en la lista de resultados que el internauta obtiene al efectuar una búsqueda a partir del nombre del interesado con ayuda de Google Search, de vínculos a dos páginas de archivos en línea de un periódico que contienen anuncios
que mencionan el nombre de esta persona y relativos a una subasta inmobiliaria vinculada a un embargo por deudas a la Seguridad Social, es preciso considerar que, teniendo en cuenta el carácter sensible de la información contenida en dichos anuncios para la vida privada de esta persona y de que su publicación inicial se remonta a 16 años atrás, el interesado justifica que tiene derecho a que esta información ya no se vincule a su nombre mediante esa lista. Por tanto, en la medida en que en el caso de autos no parece existir razones concretas que justifiquen un interés preponderante del público en tener acceso a esta información en el marco de tal búsqueda, lo que no obstante incumbe comprobar al órgano jurisdiccional remitente, el interesado puede, en virtud de los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46, exigir que se eliminen estos vínculos de la lista de resultados.
99 De las consideraciones anteriores se desprende que procede responder a la tercera cuestión prejudicial que los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, al analizar los requisitos de aplicación de estas disposiciones, se tendrá que examinar, en particular, si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados, obtenida tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en cuestión en la lista de resultados cause un perjuicio al interesado. Puesto que éste puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no sólo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate.
Costas
100 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a éste resolver sobre las costas. Los gastos efectuados al presentar observaciones ante el Tribunal de Justicia, distintos de aquellos en que hayan incurrido dichas partes, no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:
1) El artículo 2, letras b) y d), de la Directiva 95/46/CE del Parlamento Europeo y del
Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el sentido del mencionado artículo 2, letra d).
2) El artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro.
3) Los artículos 12, letra b) y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, para respetar los derechos que establecen estas disposiciones, siempre que se cumplan realmente los requisitos establecidos en ellos, el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a páginas web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita.
4) Los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, al analizar los requisitos de aplicación de estas disposiciones, se tendrá que examinar, en particular, si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados obtenida tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en cuestión en la lista de resultados cause un perjuicio al interesado. Puesto que éste puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no sólo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate.
Firmas