Google, sus dominios y la cancelación mundial de enlaces

El ámbito de aplicación territorial de las normas es una de esas cosas que, en la era de internet, resultan curiosas y a veces difíciles de entender con la lógica del mundo de acceso ilimitado sin restricciones de fronteras.

Google en versión multilocal

Si puedo acceder desde mi casa, con mi ordenador, a cualquier sitio, ¿cual es la ley aplicable?.

¿La del sitio donde está el servidor, el domicilio de la empresa que presta el servicio o el lugar al que se destina el servicio?

Así, es cierto que no siempre la respuesta es la misma, pero lo que pretende hacer Google con una aplicación localista de sus servicios resulta llamativo, sobre todo tras la sentencia del conocido caso del "derecho al olvido", que como trato siempre de recordar, es casi más importante porque impone a Google Inc. la aplicabilidad de las normas europeas de protección de datos.

Google, contra el criterio que deriva del literal, está aplicando la sentencia en función del país del solicitante, es decir, retira los enlaces de la versión local del buscador. Por ejemplo si pides la retirada de un enlace señalando en el formulario España, cuando alguien busque desde google.es no saldrá, sin embargo sí lo hará si cambias el ".es" por ".fr".

Esta aplicación me parece contraria a la sentencia y al espíritu del derecho que el TJUE ha querido reconocer.

Ahora hemos sabido que un tribunal francés ha condenado a Google por no retirar los enlaces en todos los dominios del buscador no sólo en el correspondiente a Francia (.fr).

Decisión que me parece lógica, puesto que el daño se produce con independencia del lugar de la búsqueda y el condenado a cumplir es Google Inc. titular de todos los nombres de dominio.

Es más, dada la naturaleza del derecho en juego, este se configura como un derecho humano, es decir, que no depende de la nacionalidad del titular para su ejercicio, lo que sin duda implica, a mi juicio y como señalaba Pablo F. Burgueño, que cualquiera desde cualquier lugar puede pedir la retirada de un enlace que aparezca en Google, o cualquier otro buscador.

Pero tampoco debemos obviar que lo que pueda ser ilegal en un país se deba extender a todos. China bloquea Google en ocasiones y el buscador ofrece resultados diferentes sobre las imágenes al buscar por el país, como pasa con la plaza de tiananmen.

Desde el punto de vista de la legalidad China seguro que no está permitido mostrar esas imágenes pero, ¿es justo que ese resultado sea el mismo fuera de allí?

Imaginemos un supuesto en el que se informa sobre una persona en Chile o Argentina, información que allí no se considera ilícita o que constituya intromisión al honor, y tampoco se ampara la cancelación de resultados del buscador (porque por ejemplo no es aplicable la norma del país) pero esa persona viene a España y solicita que se elimine el resultado del buscador en todas sus variantes, ¿es eso lógico o justo?

 

¿Puede un nacional de ese otro estado pedir al buscador que no mutile en su país los resultados en aras al derecho a recibir información?

 

¿No se está imponiendo un criterio legal sobre el propio de un tercer estado?

Hablamos de derechos humanos, y puede ser sencillo que desde nuestra visión occidental de las cosas, consideremos unos ciertos criterios, pero no todos los estados o personas tienen que verlo igual y también de esta manera se puede afectar la calidad de la información que reciben.

Sin duda es un tema sobre el que debemos reflexionar, ya que hay que considerar los efectos que la aplicación directa de la norma, correcta en nuestro ámbito, puede desplegar sobre otros países.

Google, el olvido y un poco de perspectiva sobre la historia

El pasado martes Google celebró la primera de las reuniones que plantea en una gira europea en relación a la famosa sentencia del TJUE sobre el mal llamado derecho al olvido.

Una crónica del encuentro, que comparto plenamente, pueden leerla en el blog "Privacidad Lógica" escrita por Fancisco Javier Sempere.

Comparto sobre todo que el hecho de hacerla abierta al público fue una forma de tener un fondo para un escenario, más que la voluntad de hacer una participación de afectados, otros expertos, etc.

También creo que llegó demasiado pronto, pues considero que a la hora de la implementación práctica de la sentencia, hay aspectos que resultarán relevantes de lo que diga finalmente la Audiencia Nacional, que es quien preguntó al TJUE.

Como digo, dado que la crónica de "Privacidad Lógica" o la Samuel Parra para El Mundo reflejan básicamente lo vivido, remito a ellas para quien quiera hacerse una idea del encuentro.

Sin embargo, sí me interesa dejar una reflexión al hilo de todo esto y de un problema sobre el que, como sociedad, debemos ir tomando consciencia y que, sólo en parte, está relacionado con este llamado derecho al olvido.

Cuando uno revisa la historia, cuando uno habla con historiadores sobre las fuentes que emplean para sus trabajos, se destaca la importancia de los archivos históricos, de la documentación personal, de los diarios, de las cartas personales entre personajes, etc.

Hay un sinfín de documentación que es imprescindible para poder desvelar el pasado, para poder contar el contexto de los hechos históricos y entender su verdadera naturaleza.

Relaciones entre personajes, el origen de disputas entre países que en ocasiones se achacan a intereses de estado pero que el estudio de esos documento revela la verdadera naturaleza (más mundana) de los mismos, etc.

Todo eso, en una sociedad del email, del whatsapp, en una sociedad de soportes digitales que desaparecen cuando se da de baja un servicio, dejará de existir. Si alguno de nosotros mañana fuera un personaje "histórico" ¿cuantos registros privados accesibles dejaría para su estudio en 100 años?.

Hay que pensar que muchos servicios de comunicaciones electrónicas (email, chat, etc.) desaparecen con todos los mensajes intercambiados, que cuando morimos o damos de baja la cuenta todo el contenido se evapora súbitamente, en el fondo, que no hay persistencia de la información no pública.

Es cierto que antes también se perdía información (el papel también sufre el paso del tiempo o también podía destruirse voluntariamente) pero los personajes de cierta posición tenían una perspectiva de su propia vida que les hacía conservar sus archivos y documentos. Incluso muchos de nosotros, los que ya tenemos cierta edad, conservamos cartas escritas entre amigos de distintas ciudades de nuestra adolescencia, etc.

El problema es que, ante la ausencia de acceso a esas fuentes privadas, la historia se construirá desde el relato de lo público, es decir, desde la información accesible al historiador en hemerotecas de periódicos, sitios como archive.org, o en páginas web de cualquier tipo que hayan publicado esa información.

Y todos sabemos que no siempre se publica la verdad, o al menos toda la verdad, de los acontecimientos, bien porque no se conoce, bien porque no se puede contrastar o por otras razones de cualquier naturaleza. Por no hablar de los problemas de fiabilidad, ya que la confirmación de algo por el propio partícipe en una carta manuscrita no es lo mismo que lo publicado por alguien anónimo en internet, por ejemplo.

En este escenario, el historiador deberá valerse, sin duda, de los buscadores (o herramientas similares) para, al indagar en el hecho histórico y los personajes, construir el relato. Pero si la información de los buscadores se bloquea a petición del interesado, nos encontraremos con que también las fuentes públicas presentan un problema de perspectiva.

¿No sería razonable que la información bloqueada ahora, volviese a ser localizable en 50 años? ¿O que, como se propuso en el consejo asesor el martes, se enviase al final de las páginas de resultados para que el esfuerzo por encontrarla fuese un criterio relevante?

Como digo, es fácil intuir los problemas a los que los historiadores se enfrentarán en un futuro y los retos que tendrán para el estudio de la historia. Evidentemente es un problema al que sólo ahora comienzan a enfrentarse, pero sería bueno que como sociedad fuésemos conscientes de ello e ir reflexionando sobre los problemas.

Google en la encrucijada: ser o no ser (neutral)

Fuente: https://www.flickr.com/photos/evanwondrasek/5112612737
Autor: Ewan Wondrasek
Licencia: CC BY-ND

La noticia de que Google ha denunciado a un usuario por el contenido de varios archivos con pornografía infantil en su correo electrónico, puede tener consecuencias muy importantes y varias repercusiones que afectan a la forma en que la empresa se enfrenta a las obligaciones legales que imponen los estados.

Dejando al margen lo despreciable del delito por el que se detiene el criminal, y que en España ya ha justificado acciones tan cuestionables como que un ordenador se registre por la policía sin orden judicial y los juzgados lo acepten, lo cierto es que la decisión de Google abre muchas vías a nuevas obligaciones.

Aunque se desconoce la tecnología empleada para identificar las imágenes, parece razonable pensar en la existencia de un filtro de imágenes que dé algún tipo de alarma cuando se cumpla cierto patrón.

No creo que haya una persona revisando todos los correos enviados por gmail, pero sí es posible que se revisen ante alarmas que respondan a ciertos parámetros definidos.

También es verdad que al usar los servicios de Google "aceptamos" en sus condiciones que el correo será rastreado por sus algoritmos para la inserción de publicidad.

De hecho, en las políticas específicas de Gmail, ya indican que:

Child Safety

"Google has a zero-tolerance policy against child sexual abuse imagery. If we become aware of such content, we will report it to the appropriate authorities and may take disciplinary action, including termination, against the Google Accounts of those involved."

Es decir, que ya avisan de que si detectan ese tipo de imágenes denunciarán a las autoridades.

En España, las comunicaciones por correo electrónico encajan en las definiciones de la Ley General de Telecomunicaciones, que obliga en su artículo 39 a que los operadores que presten servicios de comunicaciones electrónicas disponibles al público garanticen el secreto de las mismas, debiendo adoptar las medidas técnicas necesarias.

Por lo tanto, estaríamos ante una interceptación de las comunicaciones que, aunque teóricamente consentida por el usuario al aceptar los Términos de Servicio, puede resultar contraria a la ley. Y no olvidemos que los contratos de condiciones generales son de adhesión y los efectos que ello puede tener sobre el alcance del consentimiento prestado.

 

Además de lo anterior, y de las dudas de legalidad en un procedimiento en España en un supuesto similar, esta decisión de Google altera su posición de instrumento neutral que permite exonerarle de responsabilidad en otras cuestiones.

El legislador, consciente de la posición intermedia que ocupan los prestadores de servicios de la sociedad de la información, declara (tanto en la Directiva como en la LSSI) que a menos que se cumplan una serie de requisitos que implican cierto conocimiento de la ilicitud de un acto, los prestadores no pueden ser responsabilizados.

Pero si los prestadores no son neutrales y revisan de alguna manera la información que transmiten estamos ante un supuesto que altera esa regla, abriendo la vía a que se les imponga una obligación mayor de supervisión.

¿Qué impediría que para otros delitos o vulneraciones de derechos se imponga similar obligación? ¿Tiene la empresa derecho a decidir qué delitos persigue y denuncia?

Por lo tanto, Google estaría poniéndose, voluntariamente, en una posición en la que sería exigible que se el impongan mayores obligaciones de vigilancia y control, precisamente contra el que viene siendo su criterio en defensa de otras cuestiones, como la cancelación de enlaces por protección de datos.

Este tipo de acciones ponen a la empresa, precisamente, en la necesidad de elegir si quieren ser o no, neutrales. Y parece que está optando...

Telecinco contra Youtube y el cierre de cuentas a usuarios

Tenemos pronunciamiento de la AP de Madrid (pdf) sobre el recurso presentado por Telecinco contra la sentencia del Juzgado de lo Mercantil nº 7 de Madrid (pdf), que desestimó su demanda contra el Youtube.

La apelación únicamente varía en la imposición de costas, que se retiran a Telecinco y en un detalle, que no es menor a mi juicio, sobre la interpretación de la LSSICE.

Sobre la sentencia de primera instancia pueden leer el análisis que hizo en su momento Andy Ramos y los interesantes comentarios al pie.

Como he indicado, la sentencia de la AP no varía en lo sustancial el pronunciamiento de primera instancia, por lo que me detendré en un aspecto tratado como cuestión subsidiaria pero que a luz de pronunciamientos como el de "R" y "nito75" está de plena actualidad.

Para el caso de que no se estimasen sus otras pretensiones, a modo de cierre, pedía Telecinco que, en el caso de que se considere a Youtube un intermediario que no ha tenido conocimiento efectivo y se considere que en su plataforma se infringe la propiedad intelectual, se le condenase:

"[...]a suspender con carácter definitivo sus servicios de intermediación en relación con las Emisiones y Grabaciones"

Es decir, que se aplique el artículo 138 y 139.1.h de la LPI, al igual que ha sucedido en el caso de "R".

Pues bien, en la sentencia de instancia esta cuestión fue resuelta de manera totalmente insatisfactoria (ver el comentario de Jomra) al indicar el juez que con el "sin perjuicio" del párrafo segundo del artículo 138 se está dejando fuera la posibilidad de accionar directamente contra el titular del servicio.

"[...] sin perjuicio de lo dispuesto en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. Dichas medidas habrán de ser objetivas, proporcionadas y no discriminatorias."

Creo que la interpretación del "sin perjuicio" que hizo el juzgado es errónea, y que debe ir en la línea de que esas medidas no obstan para que, eventualmente, se le pueda exigir responsabilidad al prestador si se consigue levantar la exención de responsabilidad de la LSSICE. (Andy ahora lo ve corregido por la AP como pedía ).

Pero, a pesar de corregir la sentencia la Audiencia Provincial no puede dar la razón a Telecinco porque lo que pide Telecinco es absolutamente desproporcionado, y de paso nos da nuevas herramientas para interpretar el alcance y ocasión de la aplicación del 139.1.h).

Telecinco, a mi juicio, se queda a las puertas de un fallo estimatorio por ir demasiado lejos.

No consta en los fallos que la demanda se concrete por la acción de un usuario o de un programa en particular. Al ir contra todo Youtube la AP tiene que tener en cuenta los criterios de proporcionalidad que manda el artículo 138 LPI apoyándose además en el caso SABAM y Scarlet Extended del TJUE.

Es decir, se permite la adopción de medidas para proteger la propiedad intelectual, pero deben ponderarse en cada caso si esas medidas son adecuadas y proporcionadas a la protección a conseguir.

 

La AP concluye que acceder a lo solicitado por Telecinco implicaría la imposición de una obligación general de supervisión sobre los contenidos, con merma de los derechos de los usuarios y de los suyos propios (libertad de empresa).

 

Entiendo que la situación no cambia nada, ni tan siquiera veo esta sentencia contraria a la de "R", en el sentido de que creo que la petición, amplísima que aquí hace Telecinco, de haberse concretado en usuarios o vídeos concretos hubiese sido estimada.

 

Es más creo que se consolida esa posibilidad de accionar contra el prestador, algo que la sentencia de instancia había vetado de todo punto.

 

Además, de haberlo planteado limitadamente Telecinco, hubiésemos podido ver si entraba la AP sobre las cuestiones de legitimación pasiva que estas medidas plantean, pero seguiremos esperando...

 

En definitiva, que en peticiones globales a un servicio no se da la proporcionalidad que exige el 138 LPI ni la jurisprudencia del TJUE, como recuerda la AP de Madrid (quien por cierto, parece que tiene en el redactor de la misma a un juez del Tribunal Europeo por el estilo empleado).

Sobre las conclusiones del Abogado General en el caso contra Google

Hoy se han conocido las conclusiones del Abogado General del TJUE en el caso de la cuestión prejudicial planteada por la Audiencia Nacional contra Google y la Agencia Española de Protección de Datos.

Aunque son las conclusiones del Abogado General y hay que esperar al pronunciamiento definitivo del TJUE que es quien realmente resolverá, es interesante resumir someramente las conclusiones, que previsiblemente irán en la misma línea que las de la sentencia definitiva.

Tres son, a mi juicio, los pronunciamientos esenciales, empezando por el que me gusta menos, siguiendo por uno que me gusta y por úlitmo el que me encanta:

1- Google, se llame Google Inc. o Google Spain, trata datos de carácter personal si tiene una oficina de ventas para la publicidad de su buscador. Esta oficina, aunque esté a nombre de una tercera empresa supone un establecimiento. Expresamente dice que:

Se lleva a cabo tratamiento de datos personales en el marco de las actividades de un «establecimiento» del responsable del tratamiento, en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, cuando la empresa que provee el motor de búsqueda establece en un Estado miembro, con el fin de promover y vender espacios publicitarios en su motor de búsqueda, una oficina o una filial que orienta su actividad hacia los habitantes de dicho Estado.

Por lo tanto, lo que he dicho sobre el ámbito de aplicación de la LOPD parece que queda descartado y Google deberá cumplir con la legislación española para tratar datos de españoles.

Lo que es una buena noticia, aunque no comparto el como se llega a ella, puesto que considero que el problema es la Directiva y lo mal establecido que está el ámbito de aplicación territorial.

Esto también choca con pronunciamientos de Tribunales civiles ordinarios españoles que han dicho, por ejemplo en el caso Alfaques, que había falta de legitimación pasiva al demandar a Google Spain por el buscador. Por contra, ahora no se hace diferencia, lo que no me parece del todo coherente.

2- Si al indexar y tratar información de una web de terceros hay datos personales, eso es un tratamiento en los términos de la Directiva. Pero Google no es responsable de ese tratamiento (no es quien decide sobre el uso y finalidad del mismo).

Así los expresa el Abogado General:

"Un proveedor de servicios de motor de búsqueda en Internet cuyo motor de búsqueda localiza información publicada o incluida en Internet por terceros, la indexa automáticamente, la almacena con carácter temporal y, por último, la pone a disposición de los usuarios de Internet, «trata» datos personales, en el sentido del artículo 2, letra b), de la Directiva 95/46 cuando esta información contiene datos personales.

Sin embargo, no se puede considerar al proveedor de servicios «responsable del tratamiento» de tales datos personales, en el sentido del artículo 2, letra d), de la Directiva 95/46, a excepción de los contenidos del índice de su motor de búsqueda, siempre que el proveedor del servicio no indexe o archive datos personales en contra de las instrucciones o las peticiones del editor de la página web."

Es decir, Google actuaría más bien como un encargado del tratamiento, que me parece lo razonable. Cuando permites que los buscadores rastreen tu web estás encargándoles una labor de difusión y por lo tanto ese debería ser el marco jurídico.

y 3- Posiblemente el pronunciamiento más relevante. No existe un derecho al olvido y el borrado de información de buscadores, e incluso de cualquier web, cuando la información publicada es legítima y lícita es un acto que no es aceptable.

Las razones para el ejercicio de los derechos de cancelación u oposición previstos en la normativa de Protección de Datos no deben entenderse de una manera que impida el indexado por buscadores, pero leyendo las conclusiones creo que hay poco margen incluso para pedir la retirada de la fuente de la publicación adicional, basándose en que eso se quiere olvidar o hacerlo inaccesible.

Es muy interesante esto y que puede afectar a lo que se está discutiendo sobre las futuras reformas en la UE en materia de Protección de Datos.

Lo que dice el Abogado General es:

"Los derechos de cancelación y bloqueo de datos, establecidos en el artículo 12, letra b), y el derecho de oposición, establecido en el artículo 14, letra a), de la Directiva 95/46, no confieren al interesado el derecho a dirigirse a un proveedor de servicios de motor de búsqueda para impedir que se indexe información que le afecta personalmente, publicada legalmente en páginas web de terceros, invocando su deseo de que los usuarios de Internet no conozcan tal información si considera que le es perjudicial o desea que se condene al olvido."

Lo que está en juego cuando se habla de olvido nunca debería ser la protección de datos, si no la protección del derecho al honor y a la intimidad, regulado en la Ley Orgánica 1/1982 y por esa vía es por la que entiendo que deben abordarse estos problemas.

La cancelación y oposición al tratamiento de los datos tienen unos requisitos determinados, que la mera voluntad del titular y la visión extremista del derecho a la autodeterminación informativa, no pueden saltarse con el fin de configurar una historia digital a medida, so pena, como dice el Abogado General, de una forma de "censura del contenido publicado por un particular."

Aunque pueda parecer que las conclusiones satisfacen a Google al no declararle responsable de los tratamientos de datos que se realizan por la indexación que de las páginas web de terceros hace, lo cierto es que tampoco es una victoria total por que establece que si tiene una oficina en España, aunque sea de una persona jurídica diferente.

Esperaremos la resolución del TJUE...

Notas curiosas de la Sentencia del Supremo en el caso contra Google por enlazar noticias

El Tribunal Supremo ha dado a conocer la Sentencia 144/2013 (pdf) por la que se absuelve al buscador de una demanda contra el derecho al honor de un periodista. Era el caso Graciano-Palomo contra Google.

El Supremo analiza algunas de la cuestiones para la aplicación de la exención de responsabilidad a intermediarios del artículo 17, es decir de los prestadores de servicios de enlaces frente a la denunciada intromisión ilegítima en el honor del demandante por la difusión que se hacía por el buscador al indexar noticias que relacionaban al periodista con la operación "Malaya".

El compañero Jorge Campanillas ha hecho un interesante comentario de la sentencia, al que poco más puedo añadir.

Sí que hay algunas peculiaridades que lo hacen interesante, empezando porque el demandante dirige su acción contra el buscador y también contra el que era presidente de la compañía Eric Schmidt en el momento de interponerse la demanda.

El dirigirse contra el presidente de la compañía se justificaba por la aplicación del artículo 65 de la Ley de Prensa. Esta norma establece la responsabilidad solidaria, entre otros, del editor del medio:

"La responsabilidad civil por actos u omisiones ilícitos, no punibles, será exigible a los autores, directores, editores, impresores e importadores o distribuidores de impresos extranjeros, con carácter solidario."

Frente a esto Google alegó que había falta de legitimación pasiva respecto del presidente y de la propia Google Inc. puesto que no pueden equipararse a un editor de publicaciones la actividad que desarrolla.

Para el juzgado de 1ª Instancia de Madrid que vio el asunto estaba claro que no era una cuestión contra

"los autores de los artículos que el demandante considera ilícitos sino contra Google puesto que al entrar en la página de la que es titular y buscar con términos "graciano palomo" aparecen directamente los artículos de contenido lesivo, permitiendo y facilitando la difusión de los mismos. Pues bien, debe examinarse la responsabilidad de Google Inc. como facilitadora o intermediaria de una información que la parte actora considera que atenta contra su honor".

El juzgado de instancia recuperó la sentencia de la AP de Madrid de 10 de diciembre de 2005 para entender que 

"[...] el prestador de servicios no es equiparable al editor porque es un mero distribuidor de la información. En este caso, y como se ha puesto de manifiesto Google se limita a proporcionar enlaces a páginas web, por lo que no participa en ningún caso en la elaboración de la información incluida en las páginas web cuyos enlaces incluye en los resultados de la búsqueda ni el director ejecutivo interviene en la redacción de las noticias incluidas en los resultados de las búsquedas ni en la selección de los contenidos a los que se remiten los enlaces."

Por lo tanto no hay margen de responsabilidad solidaria que explorar por esa vía, confirmando la

Otra cuestión interesante es que el demandante dice que a Google no le es de aplicación la LSSICE porque no tiene su domicilio en España. Esta alegación se rechaza porque:

"[...] el artículo 2.2 de la LSSI declara que resulta de aplicación la citada Ley cuando la sociedad, aunque no tenga su domicilio en España, opera mediante establecimiento permanente en España entendiendo que existe establecimiento permanente cuando disponga en España, de forma continuada o habitual, de instalaciones o lugares de trabajo, en los que realice toda o parte de su actividad. En este caso, según resulta incluso de la documentación aportada por la actora para facilitar el emplazamiento de la demandada, se deduce que si bien Google Inc. no tiene el domicilio social en España, sino en California (Estados Unidos) opera en España mediante una oficina permanente de ventas sita en la Torre Picasso, Plaza Pablo Ruiz Picasso planta 26, de Madrid (lugar en el que se hizo el emplazamiento) y además actúa en España mediante una entidad filial, Google Spain S.L. cuyo único socio fundador es Google Inc. teniendo su domicilio social en Barcelona."

La Audiencia Provincial de Madrid confirmó la existencia que Google Inc opera en España mediante establecimiento permanente.

Google combatió el emplazamiento realizado mediante varios escritos afirmando en todo momento que no tenía un establecimiento permanente en España. Esto es muy importante, pues como se ha señalado en varias ocasiones es uno de los caballos de batalla del buscador para que no le sean de aplicación las normas españolas y europeas a su actividad, en concreto la Ley Orgánica de Protección de Datos.

Esto no es lo mismo que en el Caso Alfaques, y que haya un pronunciamiento contradictorio, es que allí se demandó a Google Spain y no a Google Inc.

El Tribunal Supremo mantiene que Google Inc. tiene una oficina de ventas en España y por lo tanto le es de aplicación la LSSICE, para las exclusiones de responsabilidad;

"[...] la aplicación de la LSSICE al caso es correcta al constar acreditado en el procedimiento que la demandada Google Inc. dispone conforme al artículo 2 de la LSSICE de una oficina de ventas en España, según su propia información corporativa disponible, concepto que ha de encuadrarse en el supuesto de domicilio fuera de España, pero con disponibilidad de «forma continuada o habitual, de instalaciones o lugares de trabajo, en los que realice toda o parte de su actividad."

Sin embargo, que esto sea así no debe afectar a la aplicabilidad de la LOPD a Google ya que el ámbito de aplicación de esta norma se define por el artículo 2.1.c):

"Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito."

Que Google tenga una oficina de ventas en España no significa que trate datos con medios situados aquí, si bien si debería servir para la aplicación del resto del ordenamiento.

Para las cuestiones sobre el fondo del fallo y el conocimiento efectivo recomiendo, nuevamente, leer el post de Jorge Campanillas.

Decir únicamente que el administrador de un sitio web se convierte, como ya era evidente con el resto de sentencias del Tribunal Supremo que se han ido conociendo, en una especie de juzgador cuando se produzca una solicitud de retirada por parte del interesado.

Y no siempre el administrador de la web está en disposición de valorar si procede retirar o no el contenido.

Más sobre Google Spain y su legitimación pasiva para demandas contra el buscador

Ya comenté la situación de Google Inc y Google Spain acerca de la posiblidad de que una u otra empresa pueda ser demandada en España por la actividades del buscador.

En estas dos entradas creo que se expone la situación de manera bastante detallada. Y a esa situación hay que sumar una sentencia, de fecha 14 de junio (6 días antes del segundo artículo enlazado) en la que la Audiencia Provincial de Madrid (pdf) resuelve un recurso de apelación respecto de la indexación de información aparecidas en los diarios "ABC" y el "El País".

El caso era el de una persona que fue condenada por apropiación indebida en por la Audiencia Provincial de Madrid en 2004 y que luego el Tribunal Supremo absolvió en 2006. Esta persona solicitó que se considerara que existía una intromisión ilegitima en su honor de los medios que informaron de su imputación y condena.

El juzgado de primera instancia nº 2 de Madrid, en sentencia de 7 de septiembre de 2011, desestimó la demanda contra Google Spain S.L. acogiendo la falta de legitimación pasiva. (También absolvió a los medios por la caducidad de la acción del artículo 9.5 de la LO 1/1982)

Ahora la Audiencia Provincial ratifica la absolución de la primera instancia, si bien, no termina de dejar clara la situación respecto de la legitimación pasiva de Google, es más, parece enmendar al Juzgado de Primera Instancia en este aspecto, si bien ello no obsta la absolución de Google Spain S.L.

Se apoya para ello en otra sentencia de la misma Audiencia Provincial, de 19 de febrero de 2010 (pdf) en la que la demandada era Google Inc. y se alegaba que al no estar en Europa no le era aplicable la LSSICE y por lo tanto no tenía derecho a las exclusiones de responsabilidad.

En ese caso, la AP de Madrid señaló que Google INC:

"[...] opera en España a través de una oficina permanente que tiene en Torre Picaso, Plaza Ruiz Picaso nº 26, lugar en el que se procedió al emplazamiento de la demandada, actuando en España a través de una entidad filial, cuyo único socio fundador es la entidad demandada."

Y concluye:

"De lo expuesto debe entenderse que la sentencia ahora apelada ha procedido a una correcta aplicación del artículo 2 de la Ley 34/2002 , a los efectos de tener por acreditado la existencia de una oficina de ventas de la demandada en España a través de la cual realiza toda o parte de su actividad dirigida al mercado español."

Ahora la AP de Madrid retoma el argumento de esa sentencia para copiarlo como nuevo, ya que reproduce integramente un párrafo sin entrecomillado aunque con "notable" similitud. Así termina afirmando que:

La allí demandada [en la sentencia de 2010], actúa en España actuando en España a través de una entidad filial, cuyo único socio fundador es la entidad demandada, la aquí demandada GOOGLE SPAIN S.L. En el caso que se comenta [en la sentencia de 2010], en la que la demandada lo era GOOGLE INC, no GOOGLE SPAIN, se concluye, que la sentencia aplicó de manera el artículo 2 de la Ley 34/2002 , a los efectos de tener por acreditado la existencia de una oficina de ventas de la demandada en España a través de la cual realiza toda o parte de su actividad dirigida al mercado español.

Y a pesar de reconocer esa existencia de establecimiento, absuelve, pero no por el problema de falta de legitimación pasiva, sino por la eximente de responsabilidad del artículo 17 de la LSSICE.

"No obstante lo expuesto, el artículo 17 la Ley 34/2002 exime de responsabilidad a los prestadores de los servicios que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenido [...]"

Ese "no obstante" es la clave para entender que se rechaza la idea de la falta de legitimación pasiva, así habría que entender que, a pesar de no reconocerse esta situación, sigue sin ser sancionable la conducta de Google por aplicación de la LSSICE, siendo esta la causa del rechazo del recurso, como se indica en el último párrafo de los fundamentos de derecho.

El problema es que la sentencia no señala expresamente el rechazo de la falta de la legitimación pasiva argumentada, pero entiendo que sí se produce una estimación parcial del recurso en lo que a ese argumento se refiere; si bien no tiene consecuencias prácticas en el proceso concreto (es igualmente absuelta), aunque sí a los efectos de lo estudiado respecto de la posición jurídica de Google Spain en relación a Google Inc.

De momento seguimos con resoluciones de diferentes tribunales y ordenes jurisdiccionales contradictorias en lo que a la posibilidad de demandar a Google Spain S.L. por los servicios prestados por el buscador o Google Inc.

Google Spain, Google Inc y su legitimación pasiva en España

No sólo el volumen de negocio de Google es impresionante, el hecho de aportar algunos de los mejores servicios y más usados en internet hace que se vea envuelto en múltiples controversias jurídicas algunas de las cuales son del máximo interés jurídico. (Daría para un congreso analizar todos los aspectos legales de Google)

La prensa cuenta que Google no atiende los requerimientos de la Agencia de Protección de Datos, y califica como censura la solicitud de retirada de contenidos, y ya comenté que no estamos ante una censura sino ante un problema de interpretación jurídica..

La semana pasada también tuvimos conocimiento de la sentencia del Tribunal Supremo que resolvió el recurso planteado contra la sentencia de la Audiencia Provincial de Barcelona en el asunto "megakini.com".

Sobre el fondo del asunto y sus implicaciones en materia de propiedad intelectual, aplicación de derecho extranjero ("fair use"), límites, etc, quiero recomendar los artículos siguientes, que contienen en su conjunto una visión completa y bastante certera del contenido de la sentencia y de sus posibles consecuencias prácticas:

Andy Ramos:  Reflexiones sobre la Sentencia del Tribunal Supremo ¿que abre la vía a nuevos límites y principios?

Pedro de Miguel Asensio: Copias caché y funcionamiento de los buscadores de Internet en la jurisprudencia del Tribunal Supremo

Albert Sánchez Graells : El riesgo de ser viral gracias a Google: según el TS, la mayor difusión en internet es positiva per se

No debemos olvidar tampoco que una sola sentencia no construye jurisprudencia (artículo 1.6 del Código Civil), por lo que en función de lo que la doctrina construya a partir del análisis de esta puede que este resultado no se vea ratificado.

Dado que ya se han escrito excelentes comentarios sobre esta cuestión y en ellos hay preguntas e interrogantes para un animadísimo debate, quiero fijarme otro aspecto de la sentencia, o mejor dicho de todo el proceso judicial, al margen del fondo del asunto que me ha llamado la atención.

Se trata de la ausencia de respuesta en todo el proceso al problema de la legitimación pasiva de Google Spain S.L. (Hay que tener en cuenta que la persona demandada en este caso era Google Spain S.L., no Google Inc.)

Que no se haga ninguna alusión a ello en ninguna de las tras instancias (Juzgado, Audiencia Provincial y Tribunal Supremo) sólo significa que no se planteó nunca.

Antes de seguir, la falta de legitimación pasiva significa que no puedo ser demandado si no soy titular de ninguna relación jurídica con el demandante. Es, por ejemplo, como demandar a ACS (accionista mayoritario de Iberdrola) por un problema en la factura o el servicio con la eléctrica.

Google Inc es la empresa matriz, así podemos verlo en sus condiciones de servicio:

"Los Servicios se proporcionan a través de Google Inc. (en adelante, «Google»), cuyo domicilio social está ubicado en 1600 Amphitheatre Parkway, Mountain View, CA 94043, Estados Unidos."

Para su implantación y por diversas razones opera empleando empresas filiales en otros lugares, como por ejemplo Google Ireland Limited.

"El presente acuerdo online de Google Apps for Business (el "Acuerdo") se establece entre Google Ireland Limited, una sociedad constituida conforme a las leyes de Irlanda con sede en Gordon House, Barrow Street, Dublín 4, Irlanda ("Google")"

Finalmente, tiene una empresa local, con personalidad jurídica propia, Google Spain S.L., que se dedica a la gestión de la publicidad que se inserta en el buscador.

Esto no es algo que diga yo, sino que es un argumento que emplea la propia empresa para contestar a los requerimientos que le realiza la Agencia Española de Protección de Datos:

TD 1075/2010 (pdf) "Es decir, Google Spain se limita a representar a Google Inc. en el negocio que ésta desarrolla de vender el espacio publicitario disponible en su página web, es sólo un Agente o representante mercantil exclusivo de Google Inc. y sólo representa a esta compañía en la promoción de la venta de los servicios publicitarios de Google Inc. Su actividad se limita a dichos servicios y, por ello, ni desarrolla la actividad de buscador ni cabe imputarle ninguna de las actividades ni consecuencias que se deriven de la actividad que ejecuta Google Inc. aunque esta empresa sea la matriz de Google Spain."

Pues bien, todo este entramado legal supone la existencia de diversas personas jurídicas, en principio independientes, por lo que cada una de ellas tiene sus propias obligaciones y derechos.

Actualmente cuando hay alguna reclamación en relación a la actividad del buscador y el demandado es Google Spain S.L., la respuesta es que esa mercantil no es responsable del buscador y que por lo tanto, a quien hay que reclamar es a Google Inc.

El ejemplo más claro de esto se dio en el caso "Camping Alfaques" en la que la sentencia de 23 de febrero de 2012 del juzgado nº 1 de Amposta, estableció que los dueños del camping no podían demandar a Google Spain S.L. por que:

"la demandada la entidad Google Spain, S.L. carece de legitimación pasiva en el procedimiento deducido contra ella, fundamentalmente porque, partiendo de que la legitimación implica una titularidad de los derechos e intereses que se hallan en conflicto y la existencia de un poder de disposición sobre los mismos, en este caso no consta que la entidad Google Spain, S.L. controle o tenga poder de disposición alguno sobre la relación jurídica en la que se basa la exigencia de responsabilidad deducida por la actora en su demanda. Así en primer lugar no consta que la entidad Google Spain, S.L. sea titular del buscador www.google.es en el que se ha publicado la información y gráficos lesivos del honor de la actora, según anunciaba ésta en su demanda, puesto que la titular del buscador es la entidad Google Inc., de modo que la demanda debería haberse dirigido a esta última. En segundo lugar, no consta que la entidad Google Spain, S.L. tenga una intervención concreta en la forma que tiene el buscador de mostrar los resultados, ni en el diseño o configuración de la página, ni en su redacción, siendo que su función principal es la venta de publicidad"

Es evidente que resulta extraño que en un caso como el de "megakini.com" no se alegase la misma falta de legitimación pasiva, puesto que lo pedido en la demanda sí tiene un origen que puede calificarse, a estos efectos, de similar.

¿O es que Google Spain sí consideraba que tenía responsabilidad en la gestión de los resultados y la caché de los mismos cuando se interpuso la demanda y ahora ya no?

Tenemos, por lo tanto, dos procesos civiles en los que la actuación de Google Spain es diametralmente opuesta en lo que a su relación con el buscador se refiere.

No creo que estemos, en este caso, ante un supuesto en el que pueda invocarse la doctrina de los actos propios.

Como ha dicho el Tribunal Supremo, STS de 9 de marzo de 2012:

"La doctrina de los actos propios tiene su fundamento en la protección de la confianza y en el principio de la buena fe, que impone un deber de coherencia y limita la libertad de actuación cuando se han creado expectativas razonables"

Exige igualmente esta doctrina la creación de una situación jurídica que afecte al autor y que sea incompatible con una conducta anterior y una pretensión actual que de buena fe pueda esperarse.

Y por supuesto se ampara el derecho a equivocarse y rectificar, de lo contrario, el haber actuado en un momento del pasado de una determinada manera no implica tener que hacerlo siempre igual, especialmente al seguir una concreta estrategia procesal.

Por lo tanto en un momento determinado eligió una estrategia, que nos habría privado del fallo del TS, y ahora elige otra, pero no creo que la respuesta en un caso deba vincular a la del otro.

Aunque es interesante porque en el ámbito administrativo, en relación con el derecho a la intimidad y la protección de datos y la Agencia encargada de velar por la normativa, la posición de Google es similar a lo actuado en el asunto "los Alfaques". Separación absoluta entre Google Spain y Google Inc. pero en procedimientos anteriores no era así.

No debemos olvidar que la normativa de protección de datos no establece las obligaciones al respecto en función del lugar de origen de los datos sino del lugar del tratamiento de los mismos. Por ello Google Inc no estaría en el ámbito de aplicación de la LOPD, con todas las ventajas que de ello se desprenden.

Como puede entenderse la cuestión de la legitimación pasiva en materia de protección de datos es esencial.

Ante las reclamaciones por particulares y las correspondientes tutelas de derechos de la AGPD, Google Spain S.L. indica, como se ha expuesto, que ella no tiene capacidad alguna sobre el buscador y que es Google Inc. quien debe ser la llamada al procedimiento, lo que es una suerte de alegación de falta de legitimación pasiva.

De hecho, este es uno de los aspectos esenciales que se van a dilucidar en la cuestión prejuidicial planteada ante el TJUE en relación a las solicitudes de retirada de datos personales de páginas web.

Pero, como decía, no siempre en este ámbito Google ha actuado de esta manera.

En un primer momento, de hecho, Google INC inscribió dos ficheros en la AGPD:

Uno denominado "órdenes de inserción"  para la "Gestión de incidencias relacionadas con los contratos de Google Inc" y otro con la misma finalidad pero denominado "órdenes de inserción en papel"

A estos dos, se suma uno más reciente para la recogida de los datos de Street View en cuyo caso es evidente que procede su inscripción pues los medios de recogida y tratamiento de los datos se encuentran en España.

Bien, pues en los tres casos, para el ejercicio de los derechos de acceso, rectificación, oposición y cancelación (ARCO) se ha indicado que el lugar para hacerlos efectivo es la sede de Google Spain S.L.

Incluso Google Spain se ha personado en procedimientos ante la Agencia y ha manifestado (TD 463/2007 pdf):

“que aunque pudiéramos eliminar la página ofensiva de nuestro índice, esta seguiría apareciendo en la red. Cada pocas semanas nuestros robots rastrean la web (...) si el sitio está disponible en Internet (...) será añadido de nuevo a nuestro índice.”

Vaya!! Resulta que el índice sí era suyo y sus robots también...

Y también en otros casos, en procedimiento seguido igualmente contra Google Spain (TD 387/2008 pdf)

"Google manifiesta, en síntesis, que las informaciones obtenidas a través de sus resultados de búsqueda se encuentran en páginas de terceros cuyo acceso es público. En consecuencia, para eliminar dicho contenido de los resultados deberían desaparece del webmaster de la página de terceros."

Tenemos, en este campo que Google Inc, ha reconocido su sometimiento a la LOPD,  y que además, el buscador o los resultados si son de Google Spain, o al menos esta los ha sentido como suyos.

En muchas tutelas de derechos de la AGPD Google Spain manifiesta que no contestó a la reclamación del usuario porque no era ella la responsable, a pesar de que si un usuario busca en la web de la agencia si se va a encontrar con que Google Inc le designa como representante para el ejercicio de los derechos de acceso.

La discrepancia de argumentos ofrecida por la propia Google Spain en los procedimientos seguidos, así como su designación como representante de Google Inc para el ejercicio de derechos, puede hacer pensar a cualquiera que, efectivamente, es a través de Google Spain con quien hay que tratar para las cuestiones de protección de datos.

En este caso sí me genera más dudas la posición adoptada, aproximadamente a partir de 2009 (según la fecha de las resoluciones), de deslindar por completo Google Spain de Google Inc. puesto que sin tener establecimiento permanente ha inscrito ficheros (reconocimiento expreso de sometimiento a LOPD ¿?) y Google Spain es representante a efectos del ejercicio de los derechos.

Es cierto que puede alegarse que las solicitudes de retirada son propias de otros tratamientos de datos que no serían incluidos en los de esos ficheros, pero es difícil ver la diferenciación cuando en ninguno de los casos, al parecer, ha habido un tratamiento de datos con medios situados en España.

Esto es un resumen de la situación de Google en España y los problemas de legitimación pasiva que se han planteado, si bien habría que profundizar en cuestiones sobre la naturaleza de la relación Google Spain-Google Inc (que enseñen los contratos), la dependencia de la empresa de publicidad del buscador, etc, que podrían ampliar o difuminar esa linea que Google quiere trazar para limitar al máximo sus responsabilidades y permitiría o no, demandar en España a Google Spain como responsable de las cosas que hace Google Inc.

Google, no nos tomes el pelo con la censura...

Es habitual que las grandes empresas pongan a sus servicios de comunicación a colaborar con los servicios jurídicos para la mejor consecución de los objetivos de la empresa.

Un ejemplo de esto lo estamos viendo con las acusaciones de Google a España de querer ejercer la censura, poniendo en el centro de las críticas a la Agencia de Protección de Datos por las solicitudes de retiradas de datos personales.

Con ello se consiguen llamativos titulares en los medios, y que dejan una imagen de país mala como censor de la libertad en internet.

Según la prensa:

"Google se ha negado a retirar 270 enlaces a resultados de búsqueda que solicitó la Agencia Española de Protección Datos (AEPD) en el segundo semestre de 2011 y ha acusado al organismo de pretender ejercer "censura" gubernamental."

Pero la razón para la solicitud de retirada de los resultados de búsqueda y para la negativa de Google a llevarla a cabo no está tanto en un problema de que España, a través de la AGPD, quiera censurar internet y tampoco es que Google sea una empresa bondadosa que incumple por defendernos a todos.

La razón de que unos pidan y otros lo nieguen está en una discusión jurídica sobre el ámbito de aplicación de la Ley Orgánica 15/1999 de Protección de Datos.

La AGPD entiende que esa norma es aplicable a Google Inc, a través de Google Spain, y Google Spain dice que ella no es responsable de lo que haga Google Inc con el buscador y que Google Inc está fuera del ámbito de aplicación de la norma, por lo que tiene que cumplir con la LOPD.

Lo que dice Google (a través de Google Spain S.L.) en los procedimientos seguidos en la AGPD, como por ejemplo en  la Tutela de Derechos 01257/2010 (pdf) es:

"Es decir, Google Spain se limita a representar a Google Inc. en el negocio que ésta desarrolla de vender el espacio publicitario disponible en su página web, es sólo un Agente o representante mercantil exclusivo de Google Inc. y sólo representa a esta compañía en la promoción de la venta de los servicios publicitarios de Google Inc. Su actividad se limita a dichos servicios y, por ello, ni desarrolla la actividad de buscador ni cabe imputarle ninguna de las actividades ni consecuencias que se deriven de la actividad que ejecuta Google Inc. aunque esta empresa sea la matriz de Google Spain.
Concluye Google alegando que Google Inc. es la única compañía de quien, en su caso, se podría exigir la eventual atención de cualesquiera derechos, quejas o sugerencias de las personas en relación con los servicios que presta esta compañía.

Normativa aplicable, partiendo de la premisa anterior, esto es, que el responsable único es Google Inc., y tras analizarse en las alegaciones por Google la normativa comunitaria y nacional de transposición, así como los criterios expuestos por el G 29, concluye que “dado que los servicios de buscador los presta Google Inc. desde los Estados Unidos, no resulta de aplicación ni la directiva europea de protección de datos ni la ley española que la aplica.”

Y a la AGPD este criterio no le sirve, estimando las tutelas, que son recurridas sistematicamente por Google y han motivado, entre otros motivos, el planteamiento de una cuestión prejudicial ante el TJUE que resolverá esta cuestión. 

Aunque es posible que la decisión del Tribunal llegue con la nueva Directiva y/o Reglamento de Protección de Datos que ya prevé cambiar esto para que las empresas americanas no se escapen.

Así que por favor, señores de Google, "don't be evil", no nos tomen el pelo y no confundan censura con lo que es un problema de legitimación pasiva y normativa aplicable, que son dos cosas muy diferentes.

Google, Street View y la protección de datos; nuevo asalto

La relación amor-odio de Google con la Agencia Española de Protección de Datos, y con la normativa en España de fondo, no deja de deparar capítulos interesantes.

Tenemos como gran hito la cuestión prejudicial planteada en relación a varios aspectos, principalmente sobre el ámbito de aplicación de la normativa de protección de datos y su alcance a empresas que no tratan los datos en territorio de la UE, que además se presenta como el primer gran envite judicial del (mal llamado) "derecho al olvido".

En este caso he defendido que el problema es que la Directiva, y en consecuencia nuestra LOPD, está mal pensada ya que el ámbito de aplicación de la norma no debe dictarse en función del lugar donde la empresa trate los datos, sino de la nacionalidad de los interesados cuyos datos son tratados. Afortunadamente este criterio parece que es el que se acoge en la anunciada reforma de la normativa a nivel europeo. 

En este asunto mi opinión, con la legislación actual, coincide con la de Google.

Pero, además de eso, está el asunto "Street View", del que tenemos un nuevo capítulo.

En su momento Google envió sus coches a recorrer el país con sus cámaras para poder traernos esta útil herramienta.

Claro que en este caso sí que parece indiscutible que los datos son tratados utilizando medios en el país sujeto a la LOPD, por lo que Google debió cumplir con esta norma. 

Mucho más si no sólo se recogieron datos personales de imagen, aunque en su divulgación se difuminen, sino que se incluyen otras muchas cosas que jamás debieron haberse recogido (contraseñas, SSID's, localización de puntos de acceso, etc.)

En este caso, por el contrario, defendí que era el momento de que la AGPD entrase a fondo contra el buscador por ese tratamiento de datos sin respeto a la LOPD.

Pero al interponerse una denuncia penal la prejudicialidad penal obliga a que se agote esa vía antes de que el órgano administrativo pueda terminar su expediente. (Desconozco el estado actual del procedimiento, se que se archivó en Guipuzcoa pero continuó en Madrid por la vía penal).

Con estos antecedentes se anuncia nuevo capitulo, dado que la empresa tiene intención de repetir sus paseos con las cámaras con el fin de actualizar los datos que ofrece en el servicio. Ante estas noticias, la AGPD requirió a Google (pdf):

• información sobre el tipo de datos que serán recogidos, 
• la finalidad de la recogida, lugares y periodos de conservación de los datos personales recogidos en las imágenes, 
• los procedimientos para anonimizar los datos personales (imágenes, matrículas…) antes de su publicación,
• y para su eliminación, así como información sobre los medios disponibles para que los ciudadanos puedan solicitar la eliminación de sus datos directamente ante la compañía
• así como la inscripción del fichero de datos correspondiente

Los dos primeros puntos y el quinto, son basicamente las obligaciones propias de la inscripción y deben ser previas a la generación del fichero o tratamiento.

El cuarto se corresponde con el ejercicio del derecho de cancelación.

El tercero es el más complicado de cumplir, por no decir imposible, puesto que aunque se difumine un rostro o una matrícula, no es más difícil saber quien es quien aparece en Street View que averiguar, para quien no es un ISP, el titular de una IP., y esta si es considerada un dato de caracter personal. De todas formas es evidente que estamos ante tratamiento de datos, y así se desprende de este requerimiento.

Pero sigue faltando como se obtiene el consentimiento para el tratamiento de los datos, que es previo a cualquier otra consideración.

A esta petición Google responde que:

• No captarán, en ningún caso, datos de localización de redes WI-FI, ni datos transferidos mediante las mismas.
• Antes de la publicación de las imágenes se aplicará una tecnología de difuminado permanente e irreversible aplicable a los rostros identificables y matrículas de vehículos.
• Ponen a disposición de los usuarios una herramienta mediante la que pueden comunicar e informar sobre cualquier imagen en la que aparezcan ellos, sus familias, sus coches o domicilios, para que se realicen nuevos difuminados, incluso si la imagen ya ha sido previamente difuminada. Esta herramienta es accesible a través del link en la parte inferior izquierda de todas las imágenes Street View.

Como vemos es una respuesta ciertamente incompleta, principalmente porque no se dice nada por de la primera de las obligaciones antes de proceder a cualquier tratamiento de datos (art. 26 LOPD), esto es, la declaración del fichero a la AGPD.

A día de hoy sólo constan 2 ficheros inscritos a nombre de Google Inc, empresa que aparece como responsable del servicio:

Ante esto la Agencia se ha limitado a decir que "realizará el seguimiento y las comprobaciones necesarias para verificar el cumplimiento de la normativa española" lo que suena a amenaza pero me resulta muy poco concreto.

Google debería empezar por inscribir los ficheros correspondientes antes incluso de plantearse responder al requerimiento de la AGPD.

Además debería indicar que no es sólo que se difumine o borre el rostro de la persona que se lo indique o de todas en general, sino qué pasa con las imágenes captadas por sus servicios y si el procedimiento de "anonimización" alcanza también a estos datos que Google recoge aunque luego no los divulgue.

Desde e-privacidad han planteado una denuncia por estos hechos ante la AGPD, por lo que veremos como se desarrolla este apasionante nuevo capítulo en el que Google no lo está haciendo todo lo bien que debiera. 

De hecho, la mera ausencia de ficheros declarados debería suponer la imposición inmediata de una sanción, según la LOPD, por infracción del artículo 44.2.b, ya estén los vehículos recorriendo las calles o vayan a hacerlo.

[Actualización] Me confirman vía twitter dos avistamientos del coche de Google en San Sebastián y en Palencia, por lo que es evidente que no se está cumpliendo la LOPD, al menos en lo indicado.

Autocompletar, Google y el Poder Judicial; le puede pasar a cualquiera

La función de autocompletar de Google, que tan útil puede ser y que tan graciosa nos puede resultar, le ha supuesto a la compañía una serie de litigios en relación a los resultados sugeridos y posibles lesiones a los derechos al honor de personas o empresas relacionadas.

Google siempre mantiene que las sugerencias del servicio están basadas en las búsquedas previamente realizadas por los usuarios y que muestra aquellas más frecuentes en los primeros puestos.

Esto, como digo ha resultado en sentencias que han condenado al buscador por esta función. Recientemente en Japón Google se ha visto obligado a retirar el servicio por orden judicial.

El profesor Miquel Peguera en su blog reflexionaba sobre el alcance de la responsabilidad extra-contractual y la función autocompletar y recoge varias de las resoluciones judiciales (a favor en cuestiones de propiedad intelectual y en contra en cuestiones del derecho al honor) que se han venido produciendo.

Pero Google no es el único buscador, tenemos el buscador de jurisprudencia del Consejo General del Poder Judicial (CGPJ) que realiza una fantástica labor para poner a disposición de los ciudadanos la jurisprudencia de nuestros tribunales.

Y al igual que el de Google este buscador dispone de la función de autocompletar. 

Desconozco si los criterios para mostrar unos u otros resultados son las búsquedas más frecuentes u otras, pero las sugerencias son llamativas, como por ejemplo al buscar sentencias relacionadas con los Mossos d'esquadra e introduciendo la palabra "Mossos" el servicio sugiere como resultados:

"Mossos vejaciones multa", "Mossos integridad delito" "Mossos vejaciones" "Mossos corts torturas", "Mossos integridad moral delito"...

A cualquiera que vea que el CGPJ le recomienda eso en relación a una fuerza policial le resultará, como mínimo, desconcertante. (o no) Personalmente no creo que sea así como el CGPJ ve a los Mossos pero es lo que su buscador recomienda.

Y más si cuando buscamos simplemente "policía" los resultados son completamente diferentes

Se puede probar con alcalde (y los términos sugeridos son relacionados con prevaricación, etc.) y con otras palabras para ver cuales son las sugerencias que se hace desde el buscador.

Hasta la fecha no conozco ninguna acción judicial contra Google en España por esta función, pero tendría su gracia ver como resuelven los jueces algo que también hace su propio órgano de gobierno y cuyos resultados también pueden ser lesivos.

Google apps y los datos de los abogados

Se está planteando por parte de algunos colegios de abogados la posibilidad de contratar los sistemas de tratamiento de datos con Google Apps.

En concreto la pregunta la ha hecho pública el Decano del Colegio de Cartagena en su twitter:

En su día Javier Maestre, en este artículo, también señaló los problemas de este tipo de soluciones acertadamente, lo que motivo una respuesta de la mismísima Google, respuesta que si bien desmentía lo afirmado por Javier Maestre no analizaba la normativa y las condiciones de sus servicios para demostrar su compatibilidad.

La cuestión es si las aplicaciones que Google pone a disposición de los profesionales cumplen con el contenido de la Ley Orgánica 15/1999 de Protección de Datos (LOPD) y su normativa de desarrollo.

Desconozco si para los colegios de abogados, como el de Barcelona que han migrado su sistema de correo a Google Apps, se ha ofrecido un contrato personalizado y diferente a los términos de servicio que están publicados y accesibles para cualquiera. Es posible porque supongo que el BBVA, que ha anunciado recientemente un cambio similar, habrá exigido algo parecido.

Pero partamos de la base de que no hay un acuerdo específico, sino que simplemente estamos ante el contrato típico que Google publica en internet.

Es evidente que para un abogado Google en este caso, desde el punto de vista de la Protección de Datos, será un mero encargado del tratamiento siendo el abogado o el colegio el responsable del fichero, pues son estos quienes deciden sobre la finalidad, contenido y uso del tratamiento.

De hecho Google se define como procesador de datos en sus ToS:

El Cliente acepta que las responsabilidades de Google no incluyen la administración o gestión interna de los Servicios para el Cliente y que Google actúa únicamente como procesador de datos.

El encargado del tratamiento se define en la LOPD, artículo 3, como:

Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Las obligaciones del encargado del tratamiento se establecen tanto en la LOPD como en el Real Decreto 1720/2007 (RPD).

La LOPD en su artículo 12.2 señala que:

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

Vemos que ya en la LOPD hay una obligación de la existencia de una relación contractual y con un contenido mínimo.

Este contrato serían las condiciones de servicio de Google Apps, disponibles en este enlace.

En las mismas unicamente se dispone, en relación a los datos personales lo siguiente:

1.1 Instalaciones y transferencia de datos. Las instalaciones que se empleen para almacenar y procesar Datos de cliente deberán cumplir con normas de seguridad razonables y en ningún caso podrán ser inferiores a las normas de seguridad de las instalaciones en las que Google almacena y procesa información similar propia. Google ha puesto en marcha procedimientos y sistemas estándares del sector para garantizar la seguridad y la confidencialidad de los Datos de cliente, para protegerlos de amenazas o de peligros previstos contra su seguridad o integridad, y para protegerlos del acceso o del uso no autorizado. Como parte del proceso de proporcionar los Servicios, Google puede transferir, almacenar y procesar los Datos de cliente en los EE.UU. y en otros países donde Google o sus representantes tengan instalaciones. Al hacer uso de los Servicios, el Cliente da su consentimiento para la transferencia, el procesamiento y el almacenamiento de Datos de cliente.

La única referencia que contiene el contrato es sobre las medidas de seguridad, y aunque sabemos que Google está adscrito a la política de Puerto Seguro (Safe Harbour) lo cierto es que el contrato permite enviar datos  a otros países.

Además la única referencia que se hace es a "procedimientos estandar del sector" pero sin más detalles.

Pero como vemos no recoge el contenido mínimo exigido por la LOPD, esto es la obligación de tratar los datos unicamente conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

La ausencia de los elementos de este contenido mínimo, determina, aunque sólo lo sea a efectos formales el incumplimiento de una Ley Orgánica.

Y ello sin entrar a valorar lo que Google hace con los datos, que realmente no podría hacer ningún tipo de labor de indexación o análisis, lo que impediría, por ejemplo, que se mostrase publicidad en Gmail.

Desconozco si los letrados del colegio de Barcelona ven publicidad cuando acceden a su servicio de correo, pero como digo, con este contrato y esta legislación ello no sería posible.

Como se ve, y salvo que el contrato aplicable sea otro, veo muy complicado que la respuesta a la pregunta del Sr. Decano sea afirmativa. 

[Actualización] Hay otra versión del contrato para el caso de firmar con Google Irlanda que tiene más previsiones sobre protección de Datos. Gracias a Alonso Hurtado por el aviso.

Sin embargo la existencia de este contrato no cambia mucho la respuesta. Hay un apartado específico de protección de datos que dice:

• 1.4. Políticas de privacidad. El Cliente acepta que Google procese los datos personales de sus Usuarios finales como parte de los Servicios dentro del ámbito de las capacidades de dichos Servicios, las cuales se estipulan en las Políticas de privacidad de Google. El Cliente, por lo tanto, solicita a Google que le proporcione los Servicios y procese los datos personales de los Usuarios finales en virtud de las Políticas de privacidad de Google y Google, por su parte, se obliga a llevar a cabo estas acciones. Las Políticas de privacidad de Google se incorporan al presente Acuerdo por referencia. El Cliente acepta proteger la privacidad de los Usuarios finales mediante el cumplimiento de una política, que será debidamente comunicada y que en ningún caso protegerá menos que las propias Políticas de privacidad de Google.
• 1.5. Protección de datos. En el Apartado 1.4. y 1.5. del presente Acuerdo, los términos "datos personales", "procesar", "control de los datos" y "procesar los datos" reciben el significado que se estipula en la Directiva de la Unión Europea. A propósito de este Acuerdo y con respecto a los datos personales de los Usuarios finales, por el presente, las partes acuerdan que el Cliente será el encargado de realizar el control de los datos y Google el encargado de procesarlos. Google se compromete a aplicar las medidas técnicas y organizativas que correspondan para proteger estos datos personales ante la destrucción o pérdida accidental, modificación, revelación o acceso no autorizado, ya sea de forma accidental o ilegal.

Pero siguen faltando las referencias de obligado cumplimiento por la LOPD.

A propósito del despropósito de Google Street View, la hora de las Agencias de Protección de Datos.

El asunto de los coches de Street View y la captación de más datos de los necesarios, para en principio, cartografiar en 3 dimensiones nuestras ciudades va camino de, y debería, convertirse en un auténtico problema para los responsables de Google.

A mi la iniciativa inicial de Street View siempre me ha parecido perfecta, contamos con una herramienta para visitar una ciudad de una manera diferente y lo cierto es que Google lo ha montado muy bien.

Sin embargo las útimas noticias acerca de los datos capturados deberían tener especial relevancia desde un punto de vista jurídico.

Las autoridades de protección de datos de la Unión Europea han comenzado a requerir al buscador para que aclare que ha pasado con los datos.

Según lo publicado en un primer momento se estarían recopilando las direcciones MAC de los router wifi, es decir, el número que identifica a ese equipo entre el resto de routers.

A medida que se ha ido investigando se está descubriendo que también se han recopilado comunicaciones electrónicas a medida que el vehículo avanzaba.

Lo último es que Google ofrece entregar a las autoridades la información privada de los usuarios capturada con los sistemas de Street View.

Siempre he defendido públicamente que la legislación sobre protección de datos, empezando por la Directiva Europea 95/46/CE que es la base, está mal hecha en tanto en cuanto no se pone el acento en la protección de los datos de los ciudadanos sino en el lugar donde las están las empresas y donde realizan el tratamiento de los mismos, lo que provoca en la era de Internet que exista un marco privilegiado para las empresas que no están sometidas a este régimen tan estricto.

Ello provoca dos resultados perversos:

Por un lado, las empresas no compiten en igualdad de condiciones ya que unas no están sometidas a la normativa y por lo tanto no sólo no tienen que cumplir con las medidas de seguridad y sus costes, sino que además puede incluso comerciar de otra manera con los datos que obtienen de los usuarios. El ejemplo perfecto es tuenti y facebook.

Y por otro lado, los derechos de los ciudadanos, cual es su intimidad y su privacidad se ve condicionada por normativas que no tiene ni porqué entender ni compartir, ni tan siquiera elegir por medio de sus votos.

Es cierto que se ha tratado de, en la era en la que una empresa de China puede prestarme servicios a través de Internet, buscar una forma de vincular a esas empresas no sometidas al ámbito de aplicación de la norma mediante interpretaciones que personalmente no me terminan de convencer, como aquella que considera que una cookie es un dispositivo y que como se instala en el ordenador del usuario de esa forma la empresa ya trata los datos personales en el ámbito de aplicación de la norma.

Es evidente que una Directiva del año 1995 no podía prever lo que ha sucedido con Internet posteriormente y es necesaria una revisión, en particular del apartado dedicado al ámbito de aplicación. Y lo mismo debe predicarse de la Ley Orgánica 15/1999 de Protección de Datos, que debería impedir que empresas que no respetan la intimidad de los ciudadanos españoles puedan prestar servicios en España.

Pero por el momento, la situación es la que es.

Ahora bien, si durante todos estos años empresas como Google han estado prestando servicios a ciudadanos en España, y en la UE, y podría dudarse si los servicios entrarían o no en el ámbito de aplicación descrito, lo que sin duda ha evitado que prosperen más sanciones de la Agencia de Protección de Datos española contra la empresa.

Ahora bien, dado que han utilizado vehículos que han recorrido las calles de nuestras ciudades para capturar los datos si que no hay excusa o exoneración por el ámbito de aplicación de la norma, artículo 2.1  LOPD:

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

1. Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
2. Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
3. Cuando el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Es evidente que Google debería cumplir con la LOPD, al menos para el tratamiento de los datos recabados para el servicio Street View.

De hecho, en la búsqueda de ficheros inscritos en la Agencia Española de Protección de Datos sólo aparecen inscritos 13 ficheros y en ninguno de ellos se hace referencia, o al menos yo no soy capaz de encajar, el tratamiento efectuado en el caso Street View, por lo que de entrada se incumple la primera de las obligaciones de la LOPD, cual es la declaración del fichero.

Ya sólo con esto la AGPD, que tiene competencias para actuar de oficio vía artículo 28 Real Decreto 428/1993, debería iniciar un procedimiento sancionador contra la empresa, amén de muchas otras conductas que deben ser objeto de sanción puesto que si se han recopilado direcciones de email, etc., etc., las sanciones, que si se denunciasen individualmente podrían ser varios cientos y alcanzar algunos millones de euros, deben ser ejemplares.

Lo que me parece absurdo es que la empresa pueda alegar que se trata de un error o que se recogieron esos datos sin querer, que se programó mal. Es decir, ello significaría que es el propio programa informático el que ha hecho lo que le ha dado la gana, que ellos no lo programaron así. Esto que sería un gran avance en inteligencia artificial, a día de hoy, no es creíble.

Pero si realmente ha habido una captación de comunicaciones personales de usuarios, en mi opinión la fiscalía debería intervenir y analizar si de alguna manera, nuestro mal diseñado para los delitos en internet Código Penal (como brillantemente expuso recientemente en Logroño el Fiscal especialista de Guipuzcoa) permite encajar esa conducta dentro de los delitos del Capítulo 1 del Título X.

Realmente es complicado a primera vista, ya que los requisitos de punibilidad son complicados de demostrar en este supuesto, en particular el daño a tercero (197.2 y 197.1) y la voluntad de Google de conocer los secretos (197.1), que pueda prosperar una acción penal hasta el punto de llegar a una condena, pero ciertamente creo que hay hechos suficientemente graves como para iniciar una investigación en profundidad.

"1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses."

"2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero."

Supongo que el ofrecimiento realizado por la empresa de entregar los datos capturados a las autoridades va en la línea de que se pueda comprobar en qué consisten las captaciones y se puedan depurar las responsabilidades y que no se trate de un intento de compra de la voluntad de investigar estos hechos.

Es decir, que con ese ofrecimiento Google no le esté diciendo al estado de lo que es capaz y de como este puede servirse de los servicios de aquel para fines contrarios a nuestro ordenamiento jurídico, ya que si los funcionarios públicos no pueden interceptar comunicaciones bajo pena de cometer un delito, que esto se encargue "indirectamente" a empresas me parece aun más preocupante.

En mi opinión, en esta ocasión Google ha cometido un grave error y puede pagar unas muy caras consecuencias.

Esperemos que la actitud vacilante que las autoridades siempre han tenido frente al buscador no se repita y se haga cumplir la ley en todos sus extremos.