Las reclamaciones contra Google Inc por el derecho al olvido podrán realizarse ante la Agencia de Protección de Datos

Se dictan varias sentencias que son continuación de las que se dictaron con fechas 11, 14 y 15 de marzo de 2016, relacionadas con el ejercicio del llamado derecho al olvido.

Al igual que en aquellos casos, Google Spain, S.L. cuestiona que tanto la resolución de la Agencia Española de Protección de Datos como la sentencia de la Audiencia Nacional, que se recurre, le atribuyan la condición de responsable del tratamiento de datos controvertido y le impongan la adopción de las medidas correspondientes para hacer efectivo el derecho de oposición o derecho al olvido del interesado, en tal concepto de responsable, atribuyéndole con ello una responsabilidad que no le corresponde.

Como en aquellas sentencias, las que ahora se dictan, siguiendo el criterio del Tribunal de Justicia de la Unión Europea establecido en sentencia de 13 de mayo de 2014, entienden que el responsable es Google lnc., como gestor del motor de búsqueda que realiza el tratamiento de datos en cuestión, consistente en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, finalmente, ponerla a disposición de los internautas.

Es Google lnc el que determina los fines y medios de ese tratamiento de datos, sin que participe en ello Google Spain S.L., que se limita a promocionar en el mercado español la venta de espacios publicitarios que se generan en el buscador.

En consecuencia es a Google lnc al que debe exigirse la adopción de las medidas necesarias para hacer efectivo el derecho al olvido ejercitado por los interesados.

A los argumentos ya reflejados en aquellas sentencias se añaden ahora las disposiciones del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de protección de datos) publicado en el Diario Oficial de la Unión Europea, de 4 de mayo de 2016, que vienen a confirmar las apreciaciones de aquellas sentencias.

Se regula expresamente en el Reglamento (art. 26) la corresponsabilidad en el tratamiento de datos, consistente en que dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento, coparticipación que exige la determinación de modo transparente  y de mutuo acuerdo de sus responsabilidades respectivas en el cumplimiento de  las  obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos de los interesados (entre ellos el derecho al olvido). Se descarta así la consideración de Google Spain, S.L. como corresponsable de un tratamiento de datos en cuya determinación de fines y medios no consta participación alguna y menos aún se identifica atribución de responsabilidad concreta al respecto.

Establece igualmente el Reglamento, que utiliza ya la denominación  «derecho al olvido» (art. 17), que «el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual está obligado a suprimir …». En el mismo sentido se precisa, que la decisión de la autoridad de control, aun notificada al establecimiento principal o único establecimiento del responsable en el territorio de un Estado miembro, se adopta en relación  con  el  responsable  del tratamiento, que es quien a su vez debe adoptar las medidas necesarias para garantizar el cumplimiento de la decisión en lo tocante a las actividades de tratamiento  en el contexto de todos sus establecimientos  en la Unión (art. 60.9 y 10). Lo que pone de manifiesto, que es al responsable del tratamiento  al que, según la ley, deben exigirse e imponerse las obligaciones derivadas del ejercicio del derecho al olvido y al que corresponde la adopción de las medidas oportunas para su cumplimiento.

Finalmente,  a  la vista  de  la  sentencia  de  la  Sala  Primera  de  este  Tribunal Supremo de 5 de abril de 2016-   recurso 3269/2014,  sobre tutela del derecho al  honor,  a  la  intimidad,  a  la  propia  imagen  y  a  la  protección  de  datos  de carácter  personal, que se  refiere a  la responsabilidad  de Google Spain en el tratamiento de tales datos y la incidencia que para el ejercicio por el interesado del  derecho  a  la  tutela  judicial  efectiva  puede  tener  la  consideración  como responsable de Google lnc., con domicilio en otro país- asumiendo y siguiendo el argumento de dicha Sala  13  en el sentido de que las posibles diferencias  de criterio entre ambas Salas se justifican  por la existencia  de «distintos  criterios rectores en las distintas jurisdicciones,  por la diversidad de las normativas que con carácter principal se aplican en unas y otras», se reflejan en esta sentencia de  la  Sala  33,    en  primer  lugar,  las  razones  expuestas  en  la  misma  como justificación    de   la      identificación   de   Google     lnc.   como   responsable   del tratamiento  al que debe dirigirse el titular de los datos personales en ejercicio de  su  derecho  y,  en  segundo  lugar,  se  indica  que,  en  el  ámbito  de  esta jurisdicción  contencioso-administrativa,  la tutela de los derechos  de oposición, acceso,  rectificación    y     cancelación     reconocidos     al   titular    de    los   datos personales  objeto  de tratamiento,  se  recaba  mediante  la  impugnación  de  la correspondiente  resolución  de  la Agencia  Española  de  Protección  de  Datos, resolución que se produce a través de un procedimiento  que comienza  con la reclamación o comunicación dirigida al responsable del tratamiento,  ejercitando el correspondiente derecho (art. 25 R.O. 1720/2007), frente a cuya respuesta el interesado puede formular reclamación ante la referida Agencia Española de Protección de Datos (art. 117 R.O. 1720/2007), que deberá dictar resolución en el plazo de seis meses, contra la cual puede  interponerse el recurso contencioso administrativo (art. 18 LOPD 15/1999). lter procedimental que no presenta dificultad o carga significativa para el interesado, por el hecho de que se identifique como responsable a Google lnc., con domicilio legal en California, en ninguna de las fases ese procedimiento.

«Así, en la primera fase, según dispone el  art. 24 del Real Decreto 1720/2007, de 21 de diciembre, que aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, frente al responsable del tratamiento, ha de responder a un medio sencillo y gratuito, sin que en ningún caso pueda suponer para el responsable un ingreso adicional, pudiéndose ejercitar tales derechos a través de los servicios de cualquier índole para la atención al público o el ejercicio de reclamaciones relacionadas con el servicio prestado de que disponga el responsable del tratamiento, imponiendo a dicho responsable la obligación de atender la solicitud del interesado aun  cuando no hubiera utilizado el procedimiento establecido específicamente al efecto por aquel, siempre que el interesado haya utilizado un medio que permita acreditar el envío y la recepción de la solicitud.

La reclamación, por lo tanto, se formula electrónicamente de manera sencilla, gratuita y directa por el interesado, siendo válida en cualquier forma que permita justificar que se ha enviado y recibido por el responsable. Ello se facilita todavía más cuando, como sucede en este caso, el responsable Google lnc., según dice, implementando la tantas veces citada sentencia del TJUE sobre el derecho al olvido, ofrece a los interesados información completa sobre el ejercicio de su derecho, facilita los correspondientes formularios  y proporciona instrucciones precisas para cumplimentarlos, habiendo establecido un Consejo Asesor, compuesto por cualificados miembros de distintos países, para evaluar las solicitudes y remitiendo al interesado, caso de desacuerdo con la decisión adoptada, a su impugnación ante la autoridad de  protección  de datos local, en congruencia con lo dispuesto en el art. 35 del citado  Real Decreto 1720/2007, que establece genéricamente el plazo de diez días para resolver por el responsable, transcurrido el cual sin resolución, el interesado podrá interponer la reclamación prevista en el art. 18 de la LO 15/1999 ante la Agencia de Protección de Datos.

Tampoco en esta segunda fase, ante la Autoridad de control, se aprecia dificultad o carga significativa para el ejercicio de su derecho por el interesado, por el hecho de que el responsable del tratamiento sea una entidad como Google  lnc.  domiciliada  en  otro  país,  pues,  como  dispone  el  art.  117  del Reglamento aprobado por Real Decreto 1720/2007, basta para la iniciación del procedimiento la presentación de la correspondiente reclamación ante la Agencia Española de Protección de Datos, sin que las comunicaciones con el responsable del tratamiento en el ámbito del procedimiento abierto presenten mayores exigencias que las llevadas a cabo directamente por el interesado, máxime teniendo en cuenta la implicación de los intervinientes en el desarrollo de la llamada sociedad de la información y la constante evolución normativa hacia la tramitación de los procedimientos a través de medios electrónicos, como refleja el art. 71 de la nueva Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común; que esto es así resulta de los numerosos procedimientos ante la Agencia de Protección de Datos tramitados con la intervención de Google lnc., sin ir más lejos el procedimiento que dio lugar al recurso contencioso administrativo en el que se plantearon por la Sala de la Audiencia Nacional las cuestiones prejudiciales resueltas por el TJUE en la referida sentencia de 13 de mayo de 2014.