Los buscadores de Internet son servicios de la sociedad de la información sujetos a las garantías de la Ley Orgánica de Protección de Datos (LOPD), además de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
Los buscadores de Internet tratan y retienen grandes volúmenes de datos de los usuarios a los que ofrecen sus servicios, pudiendo crear con ellos perfiles que pueden ser utilizados por el buscador sin que el propio afectado sea consciente de lo que ello supone.
Muchas veces, la retención de esos datos deja de tener justificación con el paso del tiempo, ya que aunque en un principio su recogida estaba legitimada, su conservación indefinida y sin motivo que la sustente deja de tener sentido.
Es por ello que los buscadores han de dar respuesta a la solicitud de cancelación y de oposición de los datos personales ejercida por los usuarios, tal y como establece la LOPD.
Es lo que ocurre con el buscador Google (Google Inc.), el cual dispone de una filial en España, Google Spain S.L.
A finales del mes de Septiembre se conoció la noticia de la detención en Sao Paulo del director general de Google en Brasil, Fabio Silva Coelho, por la policía federal, después de que la empresa se negara a cumplir una orden judicial para retirar de YouTube videos con acusaciones a un candidato a alcalde en las elecciones municipales.
En la actualidad Google España y la AEPD (Agencia Española de Protección de Datos) mantienen un largo contencioso sobre quién debe retirar de Internet un enlace a una información o dato sobre una persona cuando ésta lo reclama.
La AEPD considera que no puede obligarse a la fuente de la noticia o documento a retirarla porque ello alteraría el propio historial y se dirige al buscador para que deje de presentar el enlace.
La AEPD ha venido manteniendo en sus resoluciones dictadas en los procedimientos de tutela de los derechos de los ciudadanos, que los buscadores de Internet están sometidos a la legislación europea y española de protección de datos, y que los ciudadanos pueden invocar y hacer valer sus derechos en España frente a los proveedores de servicios de búsqueda de Internet.
Google sostiene que su tarea es rastrear lo que ofrece la red y su papel es el de registrar lo que existe, no de censurarlo.
Google alega que las filiales de cada país son solamente representantes de Google Inc. Y en cuanto a las eventuales reclamaciones realizadas frente a Google Spain S.L. esta alega que la única responsable sería, en todo caso, Google Inc. y “dado que los servicios de buscador los presta Google Inc. desde los Estados Unidos, no resulta de aplicación ni la directiva europea de protección de datos ni la ley española que la aplica.”
La Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional (AN) acordó mediante Auto y al amparo del art. 267 del Tratado de Funcionamiento de la Unión Europea (TFUE), plantear al Tribunal de Justicia de la Unión Europea diversas cuestiones prejudiciales en relación con los recursos interpuestos por Google contra las resoluciones en las que la Agencia Española de Protección de Datos ha amparado los derechos de oposición y de cancelación de datos personales de ciudadanos frente a buscadores en Internet, y en concreto Google. La Audiencia Nacional considera que la trascendencia del asunto afecta a todos los Estados Miembros de la UE por lo que entiende necesario un pronunciamiento del Tribunal Europeo.
Y es que como ya hemos informado en reiteradas ocasiones, los usuarios tienen derecho a ejercer los derechos de cancelación, rectificación, oposición y acceso de sus datos personales frente a los prestadores de servicios de la sociedad de la información.
La Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, define “fichero de datos personales” en su artículo 2.c) como “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”.
El artículo 3.b) de la LOPD define “fichero” como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”
No obstante, la publicación de datos personales en una página web también se considera tratamiento de datos:
Según declaró la Audiencia Nacional en sentencia de 17/03/2006, un sitio web requiere siempre “cualquiera que sea su finalidad una organización o estructura que permita el acceso a la información en él contenida”,
El propio Tribunal de Justicia de la Unión Europea, en la sentencia de 06/11/2003 (caso Lindqvist) abordó la cuestión y determinó que “la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento total o parcialmente de datos personales”.
El afectado puede ejercer el derecho de cancelación de sus datos personales publicados en la web:
Artículo 16. Derecho de rectificación y cancelación.
1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.
5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.
El procedimiento a seguir es el siguiente:
Artículo 25. Procedimiento.
1. Salvo en el supuesto referido en el párrafo 4 del artículo anterior, el ejercicio de los derechos deberá llevarse a cabo mediante comunicación dirigida al responsable del fichero, que contendrá:
a. Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento válido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de tal representación. La utilización de firma electrónica identificativa del afectado eximirá de la presentación de las fotocopias del DNI o documento equivalente.
El párrafo anterior se entenderá sin perjuicio de la normativa específica aplicable a la comprobación de datos de identidad por las Administraciones Públicas en los procedimientos administrativos.b. Petición en que se concreta la solicitud.
c. Dirección a efectos de notificaciones, fecha y firma del solicitante.
d. Documentos acreditativos de la petición que formula, en su caso.
2. El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros.
3. En el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, el responsable del fichero deberá solicitar la subsanación de los mismos.
4. La respuesta deberá ser conforme con los requisitos previstos para cada caso en el presente título.
5. Corresponderá al responsable del tratamiento la prueba del cumplimiento del deber de respuesta al que se refiere el apartado 2, debiendo conservar la acreditación del cumplimiento del mencionado deber.
6. El responsable del fichero deberá adoptar las medidas oportunas para garantizar que las personas de su organización que tienen acceso a datos de carácter personal puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos.
7. El ejercicio de los derechos de acceso, rectificación, cancelación y oposición podrá modularse por razones de seguridad pública en los casos y con el alcance previsto en las Leyes.
8. Cuando las leyes aplicables a determinados ficheros concretos establezcan un procedimiento especial para la rectificación o cancelación de los datos contenidos en los mismos, se estará a lo dispuesto en aquéllas.
En el caso de que la página web deniegue al afectado el ejercicio de su derecho de cancelación, podrá denunciarlo ante la Agencia de Protección de Datos, al constituir una infracción grave del artículo 44.3.e de la LOPD, sancionado con multa de 40.001 a 300.000 euros (Art. 45.2 LOPD). Será necesario concretar exactamente los datos que se desea sean eliminados así como acreditar que el destinatario de la comunicación la ha recibido correctamente.
Artículo 18. Tutela de derechos
1. Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los interesados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine.
2. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia Española de Protección de Datos o, en su caso, del organismo competente de cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación.
3. El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de seis meses.
4. Contra las resoluciones de la Agencia Española de Protección de Datos procederá recurso contencioso-administrativo.