Hoy voy a escribir sobre un «curioso» caso de protección de datos, de lo que particularmente denomino, la «batalla de la AEPD contra Google». En concreto, me refiero a una de las numerosas Resoluciones de Tutelas de Derecho que la Agencia Española de Protección de Datos (AEPD) ha dictado contra Google (en este caso contra Google Spain, S.L.). La Resolución se puede encontrar en la web de la AEPD en formato pdf . Y el desenlace, en definitiva, es el siguiente: La AEPD ordena a Google Spain, S.L. que oculte del índice de resultados del buscador Google los datos personales contenidos en una Resolución, que la propia AEPD previamente había publicado en el BOE (la Resolución puede ser consultada aquí, en calidad de fuente accesible al público).
Antes de «entrar en materia», y como nota curiosa de esta Resolución, desde el punto de vista jurídico, debo comentar que la misma ha tenido que ser rectificada por el Director de la Agencia, después de haberse dictado, al haberse detectado un error material en la misma: Al parecer se incluyó un párrafo de los «Hechos Probados» en la parte de «Fundamentos de Derecho», que no tenía nada que ver con la fundamentación jurídica. Esta actuación de la AEPD, como muy bien se indica en la Resolución de rectificación de errores, es perfectamente válida, en virtud del artículo 105.2 de la Ley 30/1992, de 26 de noviembre de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, que permite rectificar a las Administraciones Públicas los errores materiales de sus actos. Bueno realmente, la AEPD hace alusión, en la Resolución de rectificación, al artículo 105.1 de la Ley 30/1992 y no al artículo 105.2, por lo que supongo que puede ser considerado como otro error material.
Después de esta «curiosidad jurídica», vamos con la Resolución en sí y, en primer lugar, con los hechos probados: Una persona ejercita el derecho de cancelación ante Google (Google Spain, S.L.), para la eliminación de sus datos de la web del BOE que aparecían en una previa Resolución de la AEPD, en la que ésta realizaba una notificación a esta persona. El lector ya puede imaginar que Google (Google Spain, S.L.) denegó el derecho de cancelación, según se refleja en la Resolución, porque «ni desarrolla la actividad de buscador ni cabe imputarle ninguna de las actividades ni consecuencias que se deriven de la actividad que ejecuta Google Inc. aunque esta empresa sea la matriz de Google Spain.»
Obviamente, no conozco la respuesta de Google (Google Spain, S.L.) al interesado, denegando su petición de cancelación de datos, pero puede ser muy similar a la siguiente carta (pdf). Por tanto, las razones por las que supuestamente Google (Google Spain, S.L.) no atiende a la petición del derecho de cancelación son:
- Google Spain, S.L., no interviene en el funcionamiento de los servicios de Google Inc.
- Google Spain, S.L. entiende que la solicitud de los derechos de acceso, rectificación, cancelación y/u oposición debiera realizarse ante quien ha publicado los datos personales, que es quien debe poner los medios para que no aparezca esa información en los motores de búsquedas.
La extensa (y por lo menos para mí, en ocasiones confusa) argumentación de la AEPD en este tipo de Resoluciones es también conocida: Google es responsable de tratamiento de datos de carácter personal, ya que utiliza medios técnicos en territorio español para prestar sus servicios, que se dirigen a clientes españoles, a través de un establecimiento permanente (Google Spain, S.L.).
Antes de proseguir, veo necesario recordar que hay una serie de cuestiones prejudiciales de la Audiencia Nacional sobre estos aspectos (y de la que ya se hizo mención en este blog hace unos meses).
Continuando con la Resolución objeto de este post y, dentro de toda la argumentación de la AEPD para instar a Google la adopción de medidas que eviten la indexación de datos personales del reclamante, con el objeto de que los motores de búsquedas no puedan asociarlas al mismo, quiero detenerme en el Fundamento Jurídico Décimo. Así:
- Entiende que el ciudadano no puede oponerse a que el BOE trate los datos de carácter personal del reclamante, ya que está legitimado legalmente a su publicación.
- Entiende que el ciudadano puede oponerse a que sus datos personales sean tratados para una captación por los buscadores de Internet.
- Considera que el BOE, cuando utiliza un medio de publicación electrónico debe «adoptar las medidas necesarias, y adecuadas según el estado actual de la tecnología, para impedir la divulgación de manera indiscriminada de los datos personales de terceros que puedan hacer valer sus derechos al verse perjudicados ante tal acceso generalizado y universal de la información por su captación a través de los buscadores de internet.»
- Estima que es posible adoptar el protocolo “robots.txt” como un método para atender las solicitudes de los ciudadanos que ejerzan un derecho de cancelación u oposición ante un Boletín y, así, evitar la indexación de esos datos por los motores de búsquedas.
- Por último, considera que Google, debería implementar las medidas pertinentes para retirar los datos personales de la indexación e impedir un posterior acceso a los mismos.
Visto todo esto me hago preguntas, muchas preguntas:
- ¿Por qué se le notifica al BOE una Resolución que pone término a un procedimiento en el que no ha sido parte el propio BOE?
- ¿Por qué se le pide a Google Spain que implante las medidas pertinentes y, por otro lado, se le pide al BOE, que es un tercero ajeno al procedimiento, la implantación del protocolos de “robots.txt”?
- ¿La entidad que publica los datos personales en el Boletín, no tiene ningún tipo de obligación? (Aunque en este caso sea la propia AEPD la que ha ordenado la publicación cuya desaparición perseguía el reclamante).
- ¿Por qué se intenta hacer «ingenieria jurídica», para forzar a Google Spain, S.L. a la implantación de unas medidas, cuando en el origen de los datos personales no se impone ninguna obligación?
- ¿Es Google (o cualquier otro buscador) responsable de tratamiento de toda la información personal que existe en Internet, incluyendo la información que publica la propia AEPD?
Sin duda, toda esta «batalla» entre la AEPD y Google y todas estas dudas (o por lo menos algunas de ellas) se desvanecerán cuando el TJUE se pronuncie…O, particularmente eso espero, porque de no ser así, la «batalla» puede convertirse en una «guerra», que, para nada, beneficia a la protección de datos…¿o sí?
Autor:
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo
Entre Códigos Civiles y Androides 
Buenos días Gontzal!!! en primer lugar felicitarte por el post, y en segundo comentar que coincido con tus preguntas finales, y principalmente en varias que nadie, a día de hoy, ha sido capaz de responderme y convencerme:
– Porque no acudir y pedir responsabilidades en origen?
– Porque forzar a los buscadores en lugar de a la fuente a implantar las medidas de seguridad que impidan la indexación de determinados datos?
Espero, como tu, que el TJUE ponga algo de orden en todo este tema…
Un saludo
@meryglezm
Gracias María! La verdad es que el TJUE nos resolverá muchas dudas, pero como me comentaba un compañero tuitero el otro día, mucho me temo que resuelvan las que se refieran a la territorialidad.
Saludos
Muy buen post, Gontzal.
Particularmente, debo decir que me parece una imprudencia mayúscula que la AEPD publique procedimientos en el BOE, que posteriormente son perfectamente identificables en la Web de la AEPD. Hay medidas suficientes como para no hacer estas «chapuzas», que convierten en públicas a las personas que precisamente quieren desaparecer.
No reprocho a la AEPD sus pronunciamientos sobre Google, ya que responden a la petición del interesado.
Lo que sí me parece reprochable (y esto ya lo comenté alguna vez), es que si un interesado NO se dirige frente al BOE, sea la propia AEPD la que inicie esa solicitud al BOE, pues no sólo el BOE se entera de quien quiere salir o no del mismo, sino que se genera un archivo público por el uso de robots.txt, que igual el ciudadano no sabe lo que es. Yo me cuido bastante de explicar a mis clientes sus efectos.
Hay casos más graves donde en vez de ser el BOE, es un medio de comunicación al que le pasan el expediente…
Si yo fuese el BOE y recibo una petición «derivada» de la AEPD, le diría que la AEPD no es quien para tutelar ese derecho, si no es con petición previa del interesado. Cabe recordar que por una estupidez idéntica la AEPD palmó -entre otros motivos- su batalla de los libros bautismales.
Sobre medidas al BOE, preguntar a la AEPD qué es de la Instrucción que estaba preparando en 2008 sobre este tema. El Defensor del Pueblo se lo recordó en dos ocasiones. En el informe anual de este año el Defensor no lo ha recordado.. a ver si es verdad que han hecho algo.
Un saludo
Bueno quizás la AEPD se escuda en que ella actúa de oficio y no necesita a ningún interesado para iniciar el procedimiento. No lo sé. Estaría bien que alguien de la AEPD nos lo dijera 🙂
Saludos.
Muy buen post Gontzal!!! y muy buenas las preguntas.
Gracias Mikel! Ahora sólo falta la respuesta o que alguien se anime a responderlas 😉
Saludos.
Hola,
Esto es a lo que yo me refiero con lo de matar moscas a cañonazos, carece de sentido, como apuntas Gontzal, por decir algo, ¿Por qué Google y no Yahoo España.. por no mencionar que con meterme en la página del BOE y buscar los nombres que quiera, los puedo encontrar igual igual (además siendo está como has señalado es una fuente de acceso al público a diferencia de la del motores de busqueda de Internet que no lo son).
NO TIENE SENTIDO
El derecho al olvido que es en el fondo lo que subyace aquí de fondo es el derecho a que se eliminen los datos de las personas una vez transcurrido un periodo de tiempo. Pero hay un error en el que cae muchísima gente al citarlo y es el de pensar sólo en indexaciones, motores de busqueda etc. La nube está ahí el contenido está en Internet y el que quiera encontrar algo si lo busca bien lo encontrará. Más aún cuando la información está publicada en el propio BOE.
¿Estamos locos o qué?
Gran artículo Gontzal
Jon Turrillas
Gracias Ion,
No me gusta pensar mal pero la «marca Google» vende. Está claro que Google no puede saltarse la normas de protección de datos y algunas de sus actuaciones pueden estar muy al límite de la normativa de protección de datos…pero yo creo que en este caso no.
Otra cosa es que si se cambia la normativa y se obligue a este tipo de proveedores a actuar de otra manera…pero, como bien has dicho, en este caso sería también matar moscas a cañonazos.
Saludos.
Curioso asunto. Sigamos con las curiosidades…
1.-Ciudadanos q son notificados por haber sido imposible -y correos suele dejar un aviso- y luego vuelven a reclamar. Hilando muy muy fino, se podría alegar hasta mala fe por los ciudadanos. Un «me pones la TD, luego pasas de la notificación, y luego vuelves con la publicación en el boe».
2.-Como apunta algun@, habría que ir a la fuente, que sería la propia AEPD que es la que ordena la publicación ¿Se tendría que tramitar una TD a si misma?
3.-Que deriva del 2, ¿Quién tramita las TD contra las Autoridades de Control por sus respectivas publiaciones?
Ahí lo dejo.
Buenas noches.
Muchas gracias por comentar!
Sin duda muy interesantes tus preguntas: ¿Quién controla al controlador? ¿Quién caza al cazador? Los Parlamentos? Los Defensores del Pueblo? O directamente los órganos judiciales?
Saludos