Sobre el caso AEPD vs Google Inc. y el derecho a la cancelación

por

publicado el 21 enero 2011

Categorías: Intimidad / LOPD / Privacidad / Protección de Datos / Tecnología

  • Aplicación de exenciones de responsabilidad en materia de protección de datos a servicios de búsqueda como proveedores de servicios de intermediación

La Digital Millenium Copyright Act estableció exenciones de responsabilidad o puertos seguros para los proveedores intermediarios en materia de copyright/propiedad intelectual pero no industrial, a diferencia de lo que sucede con la Directiva 2000/31/CE o Directiva de Comercio Electrónico que establece puertos seguros para cualquier tipo de infracción que pueda generar responsabilidad, no sólo de propiedad intelectual.

En el caso de Google Vídeo en Italia parece que la cuestión pueda girar, entre otros, asuntos en torno a una pretendida exclusión del alcance de la Directiva eCommerce a las cuestiones de protección de datos de carácter personal (art. 1.5.b). Nada más lejos de la realidad. Lo que hace la Directiva de Comercio Electrónico es remitir a las Directivas 95/46/CE (general) y 2002/58/CE (ePrivacidad) indicando que son “enteramente aplicables a los servicios de la Sociedad de la Información“, tal y como puede comprobarse en su Considerando 14. Lo mismo nos viene a decir el artículo 1.2 LSSI.

De acuerdo con la Directiva de Comercio Electrónico un proveedor intermediario puede ser responsable en la medida en que no se den los requisitos de exención de responsabilidad establecidos, ya sea con carácter general o en relación con la respuesta a acciones de cesación.

En relación con la indexación de datos personales ha de tenerse en cuenta que Google Inc. tiene la consideración de motor de búsqueda, proveedor de almacenamiento (copias caché) y servicio de referenciación (enlaces patrocinados).

Cuando un dato personal es subido a un servidor web, casi de forma inmediata, se produce una cesión de datos por parte del responsable del fichero a los motores de búsqueda y a servicios de archivo histórico de Internet como Archive.org.

El Grupo del Art 29 ya dijo en su Dictamen 1/2008 sobre cuestiones de protección de datos relacionadas con motores de búsqueda que “el principio de proporcionalidad requiere que, en la medida en que un proveedor de un motor de búsqueda actúe exclusivamente como intermediario, no debe considerarse como responsable principal del tratamiento de datos personales efectuado. En este caso, los responsables principales del tratamiento de datos personales son los proveedores de información“.

La Directiva de Comercio Electrónico, a diferencia de la DMCA, no estableció un puerto seguro para los motores de búsqueda y proveedores de enlaces. Sin embargo, este puerto seguro si se añadió por parte del legislador español en la LSSI en condiciones similares a los proveedores de almacenamiento. En cualquier caso en la sentencia del TJCE sobre los casos 236/08 a 238/08 se consideró que el servicio de enlaces patrocinados (provisión de anuncios de forma combinada a los resultados provistos por medio del servicio de búsqueda) había de considerarse un servicio de la Sociedad de la Información, siendo Google Inc. un proveedor intermediario de almacenamiento de información.

Ya quedó también claro en la sentencia del TJCE sobre los casos 236/08 a 238/08 que para ser considerado un proveedor de intermediación y sus tecnologías poder beneficiarse de las exenciones de responsabilidad han de reunir los siguientes requisitos, aparte de aquellos relativos a la colaboración de las acciones de cesación en relación con informaciones ilícitas:

a) La actividad del prestador de servicios de la sociedad de la información se limita al proceso técnico de explotar y facilitar el acceso a una red de comunicación mediante la cual la información facilitada por terceros es TRANSMITIDA O ALMACENADA TEMPORALMENTE, con el fin de hacer que la transmisión sea más EFICIENTE.

b) La actividad del prestador de servicios de la sociedad de la información es de NATURALEZAMERAMENTE TÉCNICA, AUTOMÁTICA Y PASIVA, lo que implica que el prestador de servicios de la sociedad de la información NO TIENE CONOCIMIENTO NI CONTROL DE LA INFORMACIÓN TRANSMITIDA O ALMACENADA.

Así fue confirmada en la mencionada sentencia del TJCE con respecto al servicio de enlaces patrocinados, en el que se incluye como parte sustancial del mismo el servicio de búsquedas sobre las que se asocian los anuncios en base a las palabras clave elegidas por los anunciantes. En definitiva, se puede concluir que no ya sólo la LSSI sino también la Directiva de Comercio Electrónico establecen puertos seguros en favor de los motores de búsqueda.

  • Oportunidad de la reclamación al proveedor mayoritario del servicio de motor de búsqueda

La instauración de este derecho al olvido, o más bien de la cancelación real de los datos consecuencia del ejercicio del derecho de cancelación u oposición por los afectados ante los sitios origen o Google Inc., no se producirá si no hay una respuesta por parte de los responsables principales del tratamiento, los sitios de origen. Y aún produciéndose ésta, tampoco se puede garantizar que se de solución en todos los casos.

Debe trabajarse sobre el origen del problema, y no sólo sobre uno de los motores de búsqueda, según Artemi Rallo causantes del “efecto multiplicador” del problema, pues ¿de qué sirve satisfacerse el derecho de oposición por parte de Google Inc., si la información sigue estando disponible en los sitios de origen, otros buscadores o en Archive.org?

Como ya se ha demostrado con alguno de los procedimientos de tutela de derecho ante la AEPD, de nada sirve que Google Inc. retire los datos personales de las copias caché de los sitios de origen y evite presentar en los resultados de búsqueda la información objeto de cancelación, si estos no retiran el contenido haciendo uso del fichero robots.txt o los meta tags Noindex/NoArchive.

Por otra parte, si un diario oficial retira de los resultados de su propia herramienta de búsqueda las informaciones que hayan de cancelarse, ¿por qué no se hace uso de los medios disponibles para que Google Inc. no indexe su contenido, ya sea de forma total o parcial?

Debe tenerse en cuenta que Google Inc., como cualquier otro proveedor de servicios de la Sociedad de la Información, puede poner en tela de juicio lo que se decida en una resolución judicial o administrativa, y no por no atenderla se ha de entender que haya de ser responsable. Puede haber casos en los que no deba ser el derecho a la cancelación de los datos lo que deba primar, sino la libertad de expresión, el derecho a la información,… y en donde la Agencia Española de Protección de Datos se haya podido colar.  Si Google Inc. atendiera la resolución que le obliga a la cancelación pudiera ser que posteriormente tenga que enfrentarse a una reclamación ante los Tribunales por haber afectado la libertad de expresión . Se evitó el problema con el organismo de control de la protección de datos de carácter personal, pero quizás por ello se haya asumido el riesgo de una sanción que pueda tener perjuicios económicos mayores, ya no sólo por las sanciones que se le pudieran llegar a imponer, sino por la “factura” de desconfianza o de pérdida de confianza generada en el mercado o el negativo efecto para los derechos de todos nosotros.

En determinados casos, la desaparición de los datos del índice de uno o varios buscadores podría llevar a movimientos de rebelión que localizaran la información en los sitios originales y la publicaran en otros múltiples sitios. Especialmente en aquellos casos en los que debiera haber primado algún otro derecho, como puede ser la libertad de expresión. Lo que se ha denominado efecto Streisand, o lo que podemos ver sucede con las webs de enlaces para descarga obras de propiedad intelectual. Elijamos uno de los múltiples ejemplos al respecto como puede ser el caso de los asesinos referenciados en la Wikipedia en Alemán y lo que pudieran llegar a haber hecho republicando el contenido quienes no estén de acuerdo con una resolución en favor del derecho al olvido, los familiares de las personas asesinadas,…

Adviértase también que gracias a los detalles aportados por las resoluciones de los procedimientos de tutela de derechos recurridos por Google Inc. es posible visitar los sitios originales y acceder a los datos cuya cancelación se pretende lleve a cabo Google Inc. ¿Realmente se han anonimizado o disociado las resoluciones de estos procedimientos? Hace bien poco ya dijimos que esto no es tan fácil ;-p

  • Posible solución al problema subyacente

Los responsables de los sitios de origen deben trabajar para redefinir sus modelos de datos y técnicas de gestión documental, de modo que les sea posible hacer efectivo el derecho de cancelación u oposición, indicárselo a Google Inc. u otros buscadores.

Por ejemplo, el fichero robots.txt o los metatags No Archive/No Index poco pueden hacer para cancelar los datos de una persona sancionada administrativamente si estos se publican en un archivo .pdf en conjunto con los de otras personas sancionadas, que o no han ejercido su derecho de cancelación, o sus sanciones han sido recurridas,… como sucede en casi todos los diarios oficiales.

Pensemos que los diarios oficiales tienen la complicada tarea de tener que combinar la conformidad en materia de administración electrónica, reutilización de la información del sector público, así como la de la transparencia de ésta, todo ello junto a la conformidad con la normativa de protección de datos. Y todas las cancelaciones que conforme a Derecho deban producirse en los diarios oficiales va a dar lugar a novaciones de documentos electrónicos sobre los que todavía ha de ser posible obtener copias constatables.

No olvidemos tampoco que en el artículo 8.5 RLOPD se exige que la rectificación o cancelación de los datos ha de ser comunicada por los cedentes a los cesionarios que sean conocidos . Habría de instaurarse algún instrumento que, cuando la solución técnica a la cancelación sea técnicamente compleja, permita que los sitios de origen puedan comunicar prontamente a los posibles cesionarios las cancelaciones de cualesquiera datos personales realizadas como consecuencia del ejercicio de los derechos de cancelación y oposición que les fueran dirigidos directamente a ellos. Porque no siempre tiene porqué recibir Google Inc. las solicitudes de cancelación, ¿no?

Se habla también de incluir en los metadatos de los documentos y datos la fecha de expiración de la información para evitar problemas como éste, y teniendo en cuenta las posibles necesidades de protección del patrimonio histórico, fines estadísticos y científicos, libertad de expresión e información,…

También existe el meta tag Unavailable_After, y Google lo tiene implementado, pero insistimos en que la gestión documental de los sitios de origen puede no “hablarse” adecuadamente con los robots de indexación.

Hasta ahora hemos visto que la seguridad para la protección de los datos de carácter personal se venía implantando a través de los sistemas de información, ya sea por medio de su hardware, su software o las comunicaciones empleadas, o mediante seguridad aplicada sobre los soportes, pero parece que tendremos que ver cómo son los propios datos y documentos los que tendrán que llevar embebida parte de las protecciones necesarias para su seguridad.

Privacidad por diseño en todo el ciclo de vida de los servicios y medios de tratamiento, pero también de los propios datos y documentos.

  • Conclusión

Me temo que Google acabará por obtener una resolución judicial apropiada para sus intereses, así como creo también de los de los usuarios de Internet, sea en la instancia que sea, pero queda trabajar mucho entre todos para ofrecer soluciones que satisfagan todos los derechos en conflicto, protegiendo los intereses de los afectados que deseen la desaparición de sus datos de Internet y que el derecho de cancelación,  cuando proceda, sea una realidad.

En cualquier caso creo que es sano que la Agencia Española de Protección de Datos haya exigido la cancelación de los datos, tanto como que Google Inc. emplee los recursos que tiene disponibles a su alcance para que se confirme o desmienta la existencia de tal obligación de cancelación de datos, aún a riesgo de que se le puedan imponer importantes sanciones sí ello al menos vale para no habernos quedado con la duda. Aunque con esto de la jurisprudencia ya se sabe.

Desgraciadamente tengo que ser escéptico en cuanto a que el problema vaya a alcanzar una solución definitiva se decida lo que se decida por la Audiencia Nacional o en instancias superiores, porque me temo que el dato objeto de la discordia podrá seguir estando disponible para quien lo quiera encontrar, por mucho que le cueste más encontrarlo. Al menos de momento.

Ahora bien, estaría ya bien de paso que, igualmente en relación con el derecho de cancelación, nos cuenten cómo se hace eso del bloqueo y la destrucción definitiva o bloqueo permanente de los datos pasado el plazo de conservación obligada por ley o acuerdo voluntario aplicables, otro tema que también tiene miga ;-p

  • http://derechoynormas.blogspot.com David

    Hola:

    Una de las cuestiones que yo siempre critico es la entrada en el ámbito de aplicación de la LOPD (y la Directiva) a Google, por aquella tontería de que la protección va en función del lugar donde se tratan los datos (o están los equipos y dispositivos…) y no de la nacionalidad de los ciudadanos a los que los datos se refieren, y al parecer también se ha puesto de manifiesto esa cuestión en el proceso.

    Veremos, pero yo también creo que Google tiene razón.

    Menos leyes y más robot.txt

    Un saludo.

  • Pingback: Tweets that mention Sobre el caso AEPD vs Google Inc. y el derecho a la cancelación -- Topsy.com()

  • Álvaro Del Hoyo

    Buenas, David

    ¿Nacionalidad de los ciudadanos?

    Esa sí que es complicada para empezar porque primero te tienen que revelar un atributo, y me temo pasaría lo mismo que en el caso de los menores: lo oculto y veo si me dejas utilizar tu servicio, o te miento, o no me estableces un procedimiento de autenticación incluida la nacionalidad creíble porque lo que es mediante pasaportes o certificados electrónicos…

    Además ¿cómo gestiono la privacidad de un ciudadano de Pakistán que está haciendo uso de mi servicio si allí no hay ley de privacidad que valga?

    No creo que el modelo sea malo, a pesar de que es algo retorcido eso de aplicar tantas leyes nacionales a entidades globales. Esos estándares de privacidad casi los tenemos con la Directiva, ¿no crees? ;-p

    En cualquier caso a Google Inc. le aplica el acuerdo de puerto seguro, han optado por resolver los conflictos cooperando con las agencias europeas de protección de datos y me temo que la AEPD o nuestros tribunales no tienen la última palabra, sino la FTC u órganos federales o estatales con poderes para forzar el cumplimiento del Acuerdo de Puerto Seguro.

    http://www.export.gov/safeharbor/eu/eg_main_018378.asp

    Aunque como el Grupo del Art. 29 ya ha “aconsejado” que por el empleo de las cookies aplica la Directiva, pues lo mismo AEPD y nuestros tribunales tienen jurisdicción.

    Tenemos un conflicto en un instrumento aprobado por la Comisión europea y acordado con Estados Unidos, al que se adhiere Google y las recomendaciones del Grupo del Art 29, que deben ser quienes orienten a Google en el incumplimiento. ¿Entonces quién decide?

    Esa 1ª enmienda es muy difícil de tumbar, lo mismo que las libertades de expresión e información.

    En el caso de los boletines y diarios oficiales pienso que pueda haber una solución de aplicación más o menos general.

    En el caso de la noticia de El País creo que será una solución más bien particular que no va a poder aplicarse como regla general. O las informaciones eran falsas o erróneas, a pesar de que haya una resolución judicial firme, o quizás la seguridad de una persona deba imponerse a las libertades de expresión e información.

    Y a ver si nos definen eso de que el derecho al olvido es la cancelación, o si es la cancelación reforzada, de modo que deba cancelarse aun cuando en el origen la información sea lícita y no lesiones derechos o bienes de terceros susceptibles de indemnización porque entonces el art. 17 LSSI…

    Interesante.

  • Álvaro Del Hoyo

    Buenas, David

    ¿Nacionalidad de los ciudadanos?

    Esa sí que es complicada para empezar porque primero te tienen que revelar un atributo, y me temo pasaría lo mismo que en el caso de los menores: lo oculto y veo si me dejas utilizar tu servicio, o te miento, o no me estableces un procedimiento de autenticación incluida la nacionalidad creíble porque lo que es mediante pasaportes o certificados electrónicos…

    Además ¿cómo gestiono la privacidad de un ciudadano de Pakistán que está haciendo uso de mi servicio si allí no hay ley de privacidad que valga?

    No creo que el modelo sea malo, a pesar de que es algo retorcido eso de aplicar tantas leyes nacionales a entidades globales. Esos estándares de privacidad casi los tenemos con la Directiva, ¿no crees? ;-p

  • Álvaro Del Hoyo

    En cualquier caso a Google Inc. le aplica el acuerdo de puerto seguro, han optado por resolver los conflictos cooperando con las agencias europeas de protección de datos y me temo que la AEPD o nuestros tribunales no tienen la última palabra, sino la FTC u órganos federales o estatales con poderes para forzar el cumplimiento del Acuerdo de Puerto Seguro.

    http://www.export.gov/safeharbor/eu/eg_main_018378.asp

    Aunque como el Grupo del Art. 29 ya ha “aconsejado” que por el empleo de las cookies aplica la Directiva, pues lo mismo AEPD y nuestros tribunales tienen jurisdicción.

    Tenemos un conflicto en un instrumento aprobado por la Comisión europea y acordado con Estados Unidos, al que se adhiere Google y las recomendaciones del Grupo del Art 29, que deben ser quienes orienten a Google en el incumplimiento. ¿Entonces quién decide?

    Esa 1ª enmienda es muy difícil de tumbar, lo mismo que las libertades de expresión e información.

    En el caso de los boletines y diarios oficiales pienso que pueda haber una solución de aplicación más o menos general.

    En el caso de la noticia de El País creo que será una solución más bien particular que no va a poder aplicarse como regla general. O las informaciones eran falsas o erróneas, a pesar de que haya una resolución judicial firme, o quizás la seguridad de una persona deba imponerse a las libertades de expresión e información.

    Y a ver si nos definen eso de que el derecho al olvido es la cancelación, o si es la cancelación reforzada, de modo que deba cancelarse aun cuando en el origen la información sea lícita y no lesiones derechos o bienes de terceros susceptibles de indemnización porque entonces el art. 17 LSSI…

    Interesante.

  • Álvaro Del Hoyo

    En cualquier caso a Google Inc. le aplica el acuerdo de puerto seguro, han optado por resolver los conflictos cooperando con las agencias europeas de protección de datos y me temo que la AEPD o nuestros tribunales no tienen la última palabra, sino la FTC u órganos federales o estatales con poderes para forzar el cumplimiento del Acuerdo de Puerto Seguro.

    http://www.export.gov/safeharbor/eu/eg_main_018378.asp

    Aunque como el Grupo del Art. 29 ya ha “aconsejado” que por el empleo de las cookies aplica la Directiva, pues lo mismo AEPD y nuestros tribunales tienen jurisdicción.

    Tenemos un conflicto en un instrumento aprobado por la Comisión europea y acordado con Estados Unidos, al que se adhiere Google y las recomendaciones del Grupo del Art 29, que deben ser quienes orienten a Google en el incumplimiento. ¿Entonces quién decide?

    Esa 1ª enmienda es muy difícil de tumbar, lo mismo que las libertades de expresión e información.

  • Álvaro Del Hoyo

    En el caso de los boletines y diarios oficiales pienso que pueda haber una solución de aplicación más o menos general.

    En el caso de la noticia de El País creo que será una solución más bien particular que no va a poder aplicarse como regla general. O las informaciones eran falsas o erróneas, a pesar de que haya una resolución judicial firme, o quizás la seguridad de una persona deba imponerse a las libertades de expresión e información.

    Y a ver si nos definen eso de que el derecho al olvido es la cancelación, o si es la cancelación reforzada, de modo que deba cancelarse aun cuando en el origen la información sea lícita y no lesiones derechos o bienes de terceros susceptibles de indemnización porque entonces el art. 17 LSSI…

    Interesante.

  • Álvaro Del Hoyo

    Por cierto, David

    En cuanto a lo de las cookies como medios de tratamiento enn UE precisa el Grupo Art 29 ha de tenerse una “clara intención” de llevar a cabo el tratamiento de datos. Sin ello no cabe esa aplicabilidad fuera de la UE.

  • Pingback: Bitacoras.com()

  • Pepeto

    En estas polemicas se observa siempre un dato fundamental: tiene Google sus ficheros inscritos en el RGPD? esta es la clave. Si no estan inscritos, nadie hubiera podido demandar a google! Esos funcionarios del RGPD son MUY UTILES. Pero teniendo los ficheros inscritos, amigo!, asi si estamos protegidos. Viva el RGPD!

  • Alvaro

    Pepeto,

    Nada impide denunciar a una empresa que no figure en el RGPD.

    Por otra parte, quien tiene inscritos sus ficheros es Google Spain y no Google Inc., y ademas nada tienen que ver con las actividades de buscador

  • Pepeto

    ¿Puedo denunciar a una empresa que no tiene los ficheros inscritos? Entonces… ¿Para que sirven los ponesellos del RGPD?

    Inscribir ficheros solo sirve para cumplir la obligación de inscribir ficheros.

    Mi otra duda es saber si la LOPD hay que ponerla en el contenedor verde, amarillo o azul.

  • Pingback: Blog Derecho en Red » Cerrado plazo para la proposición de candidaturas – II edición del premio al mejor blog y post jurídico()

  • Pingback: Candidatos a los premios de la II Edición de “Derecho en Red” - Miguel Angel Mata()

  • Pingback: Blog Derecho en Red » Ganadores premios Derecho en Red a la mejor bitácora jurídica 2011 y al mejor post jurídico 2011()

  • Pingback: Derecho en Red » III Edición de los premios Derecho En Red: Mejor blog, post y perfil en twitter jurídico()