#DerechoalOlvido: Sentencia vs #Google del Tribunal de Justicia de las Comunidades Europeas

URE 08-20URE 08-20(2)Uno de los principios de mi práctica profesional es que decir que algo no es posible no requiere estudio; se puede decir que “no” siendo absolutamente ignorante, pero un abogado competente debe explicar claramente el por qué del “no”, y al menos intentar concebir una estructura conforme a la que sí sea posible, salvo que la materia de la consulta sea ilegal.

Para ser competente como abogado de empresas de tecnología, sean o no start-ups, no basta ser capaz en derecho corporativo, “cyberlaw” o protección de datos; un interesante artículo en el número 73 de Stanford Lawyer Magazine contiene (vid. pp. 14-23) entrevistas con los entonces abogados internos de Microsoft, Google, Cisco, eBay, Yahoo!, Qualcomm, Autodesk y Oracle (TODOS egresados de STANFORD LAW SCHOOL), que ilustran la necesidad de ser también capaz en el ámbito de la propiedad intelectual, la competencia económica, incluso derecho fiscal y comercio exterior, como lo hacen los casos de competencia económica que han enfrentado Microsoft y Google, ya sea por la esctructura de su sistema operativo o su negocio de búsquedas y anuncios, respectivamente. Claramente no es posible que un solo abogado maneje todas esas materias en todas las jurisdicciones en las que compañías globales como esa tienen operaciones, pero es importante entenderlas y mantenerse actualizado.

En línea con ese afán de actualización, el martes 8 de julio del presente año el IFAI fue anfitrión de una conferencia dictada por el Dr. Oscar Puccinelli, quien expuso los aspectos relevantes y consideraciones que le merece la sentencia en contra de Google dictada por el Tribunal de Justicia de las Comunidades Europeas en materia del llamado “Derecho al Olvido“; es decir, la facultad reconocida al individuo para ejercer su autodeterminación informativa de forma tal que, dentro de ciertos límites, la información de su pasado no lo persiga indefinidamente, afectándolo en sus relaciones o en el acceso que pudiera o no llegar a tener a ciertas prestaciones.

Antes de la entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares dicha prerrogativa era reflejada en el artículo de la Ley para Regular las Sociedades de Información Crediticia (conocidas coloquialmente como “burós de crédito”), cuyo artículo 23 prevé  tanto la obligación de dichas Sociedades de conservar los historiales crediticios de personas físicas y morales que les sean proporcionados por sus Usuarios durante al menos 6 años (72 meses), y de eliminar una vez transcurrido ese plazo la información que refleje el incumplimiento de cualquier obligación, lo cual atiende al Principio de Calidad que informa a la LFPDPPP. A dicho respecto conviene destacar que la fracción I, del artículo 2 de la LFPDPPP excluye de su aplicación a las Sociedades de Información Crediticia.

Actualmente la disposición citada tiene su correlativa más general en el artículo en el párrafo tercero del artículo 11 de la LFPDPPP, conforme al cual:

“El responsable de la base de datos estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.”

Ahora bien, el caso materia de la conferencia del Dr. Puccinelli, que como apuntó él tuvo el efecto contrario al que perseguía el Titular de los Datos Personales en cuestión (pues además de haber sido ampliamente reportado en la prensa, ahora será recordado siempre en análisis académicos y doctrinarios como éste), versó sobre la interpretación de los siguientes artículos de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, relativa a la protección de las personas físicas respecto del Tratamiento de Datos Personales y libre circulación de estos:

  • 2, incisos b) y d),
  • 4, apartado 1, incisos a) y c);
  • 12, inciso b), y
  • 14, párrafo primero, inciso a).

Lo anterior con relación al litigio entre ambas empresas de Google Inc., Google Spain, S.L. y la Agencia Española de Protección de Datos y el Sr. Mario Costeja González con motivo de la resolución de la AEPD que consideró procedente la reclamación de dicho Titullar contra aquéllas sociedades, ordenándoles retirar los datos del Titular de su índice e imposibilitar el acceso futuro a ellos. El caso se originó porque el Titular presentó una reclamación contra el diario La Vanguardia Ediciones, Google Spain y Google Inc., puesto que al realizar una búsqueda con su nombre aparecían vínculos hacia los ejemplares del 19 de enero (atención cinéfilos, el aviso de la almoneda que originó el caso fue publicado junto a una nota del caso de Ramón Samperio, que inspiró la película “Mar Adentro“)  y 9 de marzo del ’98, en que aparecían anuncios de la subasta de inmuebles propiedad del Titular con motivo de un adeudo con la Seguridad Social española, los cuales exigió a La Vanguardia eliminar o modificar de forma que sus datos no fueran visibles, y a Google eliminarlos u ocultarlos para que dejaran de aparecer en los resultados de búsqueda y de estar ligados a los enlaces de La Vanguardia, puesto que el embargo de mérito había sido resuelto y, por lo tanto, los datos ya no eran relevantes.

La AEPD desestimó la reclamación contra La Vanguardia, por considerar a las publicaciones como justificadas, al haber sido realizadas por orden del Ministerio de Trabajo y Asuntos sociales, para dar publicidad a la subasta. Por el contrario, consideró procedente la reclamación contra las empresas Google, que administran motores de búsqueda sujetos a las normas de protección de datos personales, pues llevan a cabo el Tratamiento de tal información, por lo que son Responsables “…y actúan como intermediarios de la sociedad de la información”, por lo que dicha Agencia contaba con facultades para ordenar que se retiraran los Datos y se imposibilitara el acceso a ellos en caso de lesionar los derechos a la protección de datos y dignidad de la persona.

Los aspectos relevantes que resultan del fallo del Tribunal son los siguientes:

  1. Jurisdicción y Aplicación Territorial: Por principio, si es que una oficina de venta de publicidad, nombrada representante y responsable del Tratamiento de archivos y para atender solicitudes de protección de datos, constituye o no un “Establecimiento”, para efectos de la Directiva y la Ley nacional, y la interpretación de “recurso a medios situados en el territorio del Estado miembro” respecto del uso de programas robot para localización e indexación e información o el uso de un nombre de dominio de un Estado miembro, dirigiendo sus búsquedas y resultados en el idioma de ese Estado. A pesar de que Google Spain argumentó ser sólo la oficina en un Estado miembro para efectos de venta de publicidad, por lo que no opera el buscador, el Tribunal consideró que esa es una actividad comercial estrechamente vinculada a Google Search, por existir un vínculo indisociable entre la publicidad y las búsquedas. Al realizar tal actividad comercial un Responsable establecido en varios Estados miembros debe garantizar que c/u de sus establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a sus actividades. Fijó 3 criterios para definir si un establecimiento del Responsable lleva a cabo Tratamiento de Datos Personales en un Estado: (i) el proveedor del motor de búsqueda crea en un Estado una oficina o filial para promover  o vender publicidad dirigida a los habitantes de ese Edo., lo cual fue juzgado como cumplido, considerando además que la Directiva no exige que el Tratamiento sea realizado materialmente por el establecimiento, sino en el marco de sus actividades, que están indisolublemente ligadas; (ii) cuando la matris designa a su filial en ese Estado como representante/responsable del Tratamiento de archivo relacionados con quienes contrataron la publicidad, o (iii) cuando la oficina o filial traslada a la matriz fuera de la UE solicitudes y requerimientos de Titulares y autoridades sobre protección de datos.
  2. Obligaciones de los Administradores de Motores de Búsqueda: Si debería interpretarse como “recurso a medios, el almacenamiento termporal de información indexada por buscadores de Internet, si es que tal actividad debiera ser interpretada como Tratamiento de Datos Personales, y en la afirmativa si es que la administradora de las búsquedas sería Responsable del Tratamiento de los Datos Personales encontrados en las páginas que indexa, al igual que si podría la autoridad de control exigirle que retire la información publicada por terceros, sin exigírselo a esos terceros, o si quedaría relevada de responsabilidad si dichos terceros hubieran publicado y mantenido los datos en su página web. Las empresas Google sostuvieron que su actividad no puede ser Tratamiento, porque no discriminan entre Datos Personales y otra información, ni ejercen control sobre ellos. Sin embargo el Titular, 5 gobiernos nacionales y la Comisión Europea sostuvieron lo contrario, puesto que los motores de búsqueda determinan la Finalidad y medios del Tratamiento, lo cual confirmó el Tribunal, puesto que recoger, extraer, registrar y organizar, conservar, comunicar y facilitar el acceso a Datos Personales consituye su Tratamiento. Asimismo consideró al motor de búsqueda como Responsable de tal Tratamiento, puesto que determina los fines y medios del mismo, independientemente de la falta de control que tenga sobre el contenido de las páginas de terceros, por llo que debe garantizar que su actividad cumple con la Directiva 95/46. Las empresas Google sostuvieron que por Proporcionalidad la petición para eliminar los Datos Personales debería dirigirse a la fuente, por ser quien puede analizar la licitud de la publicación y cuenta con medios para evitar el acceso a la información. Sin embargo el Tribunal consideró que el Tratamiento controvertido podría afectar significativamente los derechos fundamentales del titular, por permitir a cualquiera obtener una lista de resultados con información del Titular, en cuya vida privada no se justifica la injerencia del motor de búsqueda por su interés económico, sin perjuicio de lo cual expresó la necesidad de atender a las repercusiones en el interés legítimo de los internautas interesados en la informació y encontrar su justo equilibrio respecto de los derechos del Titular afectado. Determinó que tanto la autoridad de control como judicial pueden ordenar al administrador que elimine de la lista de resultados con el nombre de una persona vínculos a las páginas de terceros que contenga información de esa persona, sin que por ello sean eliminados previa o simultáneamente de la página, dado que la información de un sitio (posiblemente publicada al amparo de alguna excepción legla) puede ser reproducida en otros, cuyos Responsables no siempre estarán sujetos al Derecho de la Unión, lo cual impediría la protección integral de los Titulares, si estos tuvieran que obtener previa o simultáneamente la eliminación de la información que les afecta. Concluyó que el administrador del motor de búsqueda tiene obligación de eliminar de los resultados los vínculos a páginas web publicadas por terceros que es hubieran encontrado por la búsqueda de su nombre y contenga información relativa a él, aunque tal información no sea borrada de las páginas web y su publicación en ella hubiera sido lícita.
  3. Derecho de Cancelación/Oposición con relación al Derecho al Olvido: Si es que la supresión y bloqueo facultan al Titular para dirigirse a los buscadores para impedir la indexación de sus Datos Personales publicada en páginas de terceros. Las empresas Google, 3 gobiernos y la Comisión Europea consideraron que debería responderse negativamente, pues los Titualres no tienen derechos conferidos por el solo caso de considerar que el Tratamiento puede perjudicarles o quieran que sus Datos queden en el olvido, en tanto que el titular, España e Italia sostuvieron que aquél podía oponerse a la indexación de sus datos porque su derecho a la protección de estos y el respeto a su vida privada deberían prevalecer sobre los intereses del Responsable y la libertad de información. El Tribunal estimó que la información debería ser eliminada cuando por las circunstancias hubiera dejado de ser adecuada, pertinente o proporcional a los fines del Tratamiento. Incluso sostuvo que el derecho del Titular prevalece sobre el interés del público en encontrar información de la persona en una búsqueda con su nombre, salvo que el Titular fuera una figura pública, interés que no encontró en este caso por la antigüedad de la información.

En resumen:

  • La actividad del motor de búsqueda debe considerarse como Tratamiento de Datos Personales, y su administrador debe considerarse como Responsable de ese Tratamiento.
  • Se realiza el Tratamiento de Datos Personales en las actividades de un establecimiento del Responsable en territorio de un Estado miembro cuando el administrador crea una sucursal o filial en ese Estado para promover o vender publicidad dirigida a los habitantes de ese Estado miembro.
  • El respeto a los derechos del Titular exige del Responsable eliminar de la lista de resultados que entrega con el nombre de una persona los vínculos a páginas de terceros con información de esa persona cuando los Datos no se borren de manera previa o simultánea de ellas, aunque su publicación hubiera sido lícita.
  • Es preciso analizar si el titular tiene derecho a que su información ya no sea vinculada a la lista de resultados, sin presuponer que la mera inclusión le perjudique, pues sus derechos prevalecen sobre el interés económico del administrador del motor y del del público para acceder a la información, salvo que el Titular sea una figura pública tal que la injerencia en su vida se ameritase por el interés del público.

Por novedoso que parezca el tema, el Dr. Puccinelli expuso que el derecho al olvido ha sido considerado desde 1981, en el Convenio de Estrasburgo; 1990, en la Resolución 45/95 de la ONU, y que en 1992 la Corte Constitucional de Colombia había resuelto, aun sin una ley positiva aplicable, sore la “caducidad del dato financiero negativo” en su sentencia T-414-92, destacando la asimetría en la regulación nacional que fija el plazo de supresión a 6 años en España, 5 en Dinamarca y 3 en Suecia. Posteriormente resumió los puntos de la sentencia expuestos párrafos arriba , y destacó sobre el resultado del caso el que se haya dejado como optativo para la fuente original el conservar o suprimir la información misma, no obstante la obligación a cargo del motor de búsqueda por suprimirla de sus listas de resultados, así como el riesgo que supone para las empresas de tecnología la posiblidad de afrontar sanciones económicas determinadas con base en su ingreso global, no sólo en el país en que se hubiera originado el caso, ante el desacato de una resolución como la que se comenta.

Jonathan Zittrain escribió en su blog sobre El Futuro de Internet algunas opiniones interesantes sobre el caso. Por principio, en adición a la ironía que el Dr. Puccinelli mencionó en su conferencia, plantea la posibilidad de que la omisión del nombre de una persona en los resultados de una búsqueda que debiera incluirlo genere una impresión más negativa que su inclusión. Plantea la posibilidad de un repositorio central, por el cual investigadores y académicos pudieran analizar las causas de la supresión de los datos. Además expone que la sentencia del Tribunal ha tenido como resultado un recurso por el cual los Titulares pueden lograr la supresión de su información a juicio suyo y de Google, sin revisión de una autoridad que pondere la relevancia pública de la persona, excepción planteada por el propio Tribunal, lo cual resulta en una incongruencia, pues lleva al mismo punto que inició la controversia: que personas de derecho privado decidan sobre la procedencia o improcedencia de las solicitudes de supresión, convirtiendo el ejercicio de los derechos fundamentales que se pretende tutelar en un asunto de atención al cliente, y socavando a la autoridad europea. Considera atinado el que Google hubiera notificado a fuentes europeas de la eliminación de enlaces a sus publicaciones, aunque ello hubiera motivado un manejo negativo ante la opinión pública, como se dio a través ciertos encabezados. Finalmente, postula un sistema parecido al registro de copyright en los EE.UU.A., mediante el cual los Titulares interesados deberían proporcionar datos de contacto para ser notificados de cuándo la caducidad de una eliminación estuviera próxima.

Otro aspecto que vale la pena destacar es que el numeral 3 del artículo 28 de la Directiva confiere a la autoridad de control “…poderes efectivos de intervención, como, por ejemplo, el de… ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento…”. Ello puesto que el texto citado le otorga a dichas autoridades facultades ejecutivas para realizar actos de molestia y/o privación en contra de los Responsables del Tratamiento de Datos Personales, en tanto que la LFPDPPP es únicamente punitiva, puesto que sólo faculta al IFAI para imponer sanciones administrativas monetarias por la contravención de dicho estatuto y las normas que emanan de él.

Llama la atención el prounuciamiento del Tribunal en cuanto que “…toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro…” por lo que “…no se puede acpetar que el tratamiento de datos personales…se sustraiga a las obligaciones y a las garantías previstas por la Directiva…”

Claramente la motivación de tal pronunciamiento radica en la esencia garantista de la Directiva (vid párrafo 66: “…la Directiva 95/46 tiene por objeto garantizar un nivel elevado de protección de las libertades…de las personas físicas… sobre todo de su vida privada, en relación con el tratamiento de datos personales…”) y la legislación nacional que se desprende de ella. Sin embargo, el fondo del mismo remite a casos como los ya mencionados de antaño (Ligue contre le Racisme et l’Antisemitisme c. Yahoo! Inc), más recientemente del propio Google y la supresión de vínculos ordenada por una corte canadiense, así como el de Microsoft, tratando de oponerse a una orden judicial estadounidense para hacer entrega de información en su data center en Irlanda, que ilustran el estira-y-afloja entre gobiernos nacionales y empresas transnacionales en el sector de tecnologías de la información; mientras aquellos buscan por todos los medios posibles encontrar argumentos coherentes para justificar el ejercicio de jurisdicción personal o territorial sobre éstas, dichas empresas ven sus modelos de negocios presionados, incluso amenazados, por múltiples frentes, al menos con incremento de costos o incluso con el riesgo de perder clientela ante competidores menos expuestos a tales acciones.

Por principio, es cierto que en tanto derecho humano reconocido en y tutelado por múltiples instrumentos jurídicos internacionales y nacionales, la protección de datos y facultades que de ella emanan debe ser protegida en la mayor medida posible por los diversos Estados en los que compañías de tal complejidad y sofisticación operan. Por otra parte, es necesario ponerlo en una balanza, y en justa proporción y medida, con los beneficios que la actividad innovativa de dichas empresas reportan a la sociedad en general, e incluso en particular a los individuos cuyos datos personales y privacidad ameritan dicha protección.

En todo caso, nada en tecnología e Internet es un “juego de suma cero”; la pérdida u obstáculo para uno es la ganacia de otro. Mientras que Google ha tenido que invertir en el desarrollo e implementación de medios para cumplir con el fallo del Tribunal, empresas como Hit Search, Reputation.com, etc., dedicadas a la “administración de reputación”, comienzan a ver un área de oportunidad para el crecimiento y desarrollo de sus negocios.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Compliance Report

Compliance and Ethics Powered by The Red Flag Group

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC Corporate Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site