INTERNACIONAL
AEPD-Internacional
EEUU-UE
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a efectos del EEE) - Ya en vigor, pero Aplicable solo a partir del 25 de mayo de 2018 - Comentario a su contenido y a las novedades que introduce Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave
STSJE-Gran sala de 6 de octubre de 2015 (asunto C- 362/14) - Procedimiento prejudicial — Datos personales — Protección de las personas físicas frente al tratamiento de esos datos — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8 y 47 — Directiva 95/46/CE — Artículos 25 y 28 — Transferencia de datos personales a países terceros — Decisión 2000/520/CE — Transferencia de datos personales a Estados Unidos — Nivel de protección inadecuado — Validez — Reclamación de una persona física cuyos datos han sido transferidos desde la Unión Europea a Estados Unidos — Facultades de las autoridades nacionales de control - La Sala falla así:
"1) El artículo 25, apartado 6, de la de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en su versión modificada por el Reglamento (CE) nº 882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003, entendido a la luz de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que una Decisión adoptada en virtud de la referida disposición, como la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, por la que la Comisión Europea constata que un tercer país garantiza un nivel de protección adecuado, no impide que una autoridad de control de un Estado miembro, a la que se refiere el artículo 28 de esa Directiva, en su versión modificada, examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado. 2) La Decisión 2000/520 es inválida."
APDCM Agencia de Protección de datos de la Comunidad de Madrid
Más sobre Comunicaciones electrónicas
Internet
Dirección IP - No exención del deber de informar a los usuarios
STS-3ª-6 de 3 oct 2014 (Rec. 6153/2011) - DIRECCIÓN IP. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Se discute si una dirección IP puede considerarse un dato de carácter personal. No cabe duda de que a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado. Los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP -
"El 8 de enero de 2009 la representación de PROMUSICAE presentó un escrito ante la AEPD en el que solicitó, al amparo del artículo 5.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD ), la exención del deber de informar a los usuarios de redes peer to peer (P2P) sobre el tratamiento de sus datos, que la solicitante pretendía llevar a cabo para el ejercicio de defensa de los derechos de propiedad intelectual de los productores y editores de fonogramas y videos musicales. (...) A la vista del anterior escrito, la AEPD acordó iniciar el procedimiento de exención del deber de información al interesado, previsto en el artículo 5.5 de la LOPD, de conformidad con los trámites establecidos para dicho procedimiento en el artículo 155 del RD 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la LOPD, finalizando el procedimiento por la resolución de la AEPD de 2 de julio de 2009, antes citada, que acordó no autorizar a PROMUSICAE la aplicación de lo dispuesto en el artículo 5.5 de la LOPD , en las condiciones señaladas en la resolución. (...) En este caso, la pretensión de la parte recurrente, según resulta tanto de su escrito de inicio del procedimiento administrativo, como del suplico de su demanda, es la obtención de la exención prevista en el artículo 5.5 LOPD del deber que establece el artículo 5.4 del mismo texto legal de informar a los interesados acerca del tratamiento de sus datos de carácter personal, y no se aprecia que dicho concreto y particular interés haya quedado satisfecho por la reforma operada por la Ley 2/2011, que establece ciertamente medidas de salvaguarda de los derechos de propiedad intelectual, pero por una vía distinta a la interesada por la parte recurrente, pues en la norma invocada por el Abogado del Estado esas funciones de salvaguarda se encomiendan a un órgano administrativo, la Comisión de Propiedad Intelectual, mientras que en el presente recurso la pretensión de la parte recurrente es, con esa misma finalidad de protección de los derechos de propiedad intelectual, la obtención para sí misma de la exención del deber legal de informar a los interesados del tratamiento de sus datos de carácter personal, que es materia sobre la que no puede apreciarse ninguna modificación por la norma citada por el Abogado del Estado. (...) CUARTO.- Como hemos indicado, el segundo motivo del recurso de casación sostiene que la sentencia recurrida se equivoca cuando sienta la premisa de que las direcciones IP son datos de carácter personal, pues para la parte recurrente las direcciones IP que pretende tratar no son datos de carácter personal, en el sentido de la LOPD, sino que se trata de datos disociados, pues dicha parte por sí misma es incapaz de llegar a conocer, a partir del dato de la dirección IP, la identidad, u otros datos de identificación de la persona de que se trate. Añade la parte recurrente que, de la prueba practicada en el recurso, resulta que carece de los medios técnicos precisos para llegar a averiguar la identidad real de la persona física que utiliza la dirección IP, con la consecuencia de que, en tales circunstancias, no es posible considerar que las direcciones IP que PROMUSICAE pretende tratar constituyan datos personales, haciendo la sentencia recurrida una lectura equivocada de la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008. Esta cuestión es tratada y resuelta en la sentencia recurrida, que llega a la conclusión de que las direcciones IP (Internet Protocols) deben ser consideradas como datos personales, tras razonar que entran dentro del concepto legal de dato personal del artículo 3.1) LOPD y 5.f) de su Reglamento, y que dicha conclusión resultó avalada por la sentencia del TJCE en el asunto C- 275/2006.
(...)
Esta Sala estima que las direcciones IP son datos personales, en el sentido del artículo 3 LOPD , ya que contienen información concerniente a personas físicas "identificadas o identificables". El hecho a que alude la parte recurrente, de no tener al alcance de su mano la identificación del titular de los datos por medios y plazos razonables, no es obstáculo para la conclusión que mantenemos de que se trata de datos personales, pues de conformidad con la definición de datos personales del artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por dato personal habrá de entenderse, al igual que señala el artículo 3.a) LOPD antes citado, toda información sobre una persona física identificada o identificable, añadiendo el artículo 2.a) de la Directiva 95/46 que "se considerará identificable toda persona cuya identidadpueda determinarse, directa o indirectamente, en particular mediante un número de identificación...".
No cabe duda que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.
La sentencia recurrida cita, en apoyo de su tesis de que las direcciones IP son datos personales, la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008 (asunto C-275/06 ), recaída en una petición de decisión prejudicial planteada por un Juzgado de lo Mercantil de Madrid, en un procedimiento promovido por la aquí parte recurrente, PROMUSICAE, contra un proveedor de acceso a internet (Telefónica de España, SAU), para que le comunicase los nombres y direcciones de determinados usuarios de internet. En relación con dicha sentencia del TJCE, es cierto que en su apartado 45 se afirma la condición de datos personales de los que eran objeto de la pretensión de la parte recurrente en el litigio principal, es decir, los nombres y direcciones de determinados usuarios solicitada por PROMUSICAE, sin que el TJCE se pronunciara respecto de las direcciones IP. Sin embargo, debe precisarse también que, en el mismo asunto, la Abogado General en sus conclusiones si mantiene (apartado 61), que el dato del usuario al que se han atribuido determinadas direcciones IP es un dato personal, en el sentido del artículo 2.a) de la Directiva 95/46 , es decir, información sobre una persona física identificada o identificable, pues "con ayuda de este dato se relacionan las actividades realizadas mediante el uso de la correspondiente dirección IP con el titular del punto de conexión" .
Por lo tanto, estimamos que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento."
Por otro lado, mediante este real decreto-ley se efectúa la incorporación al ordenamiento jurídico español del nuevo marco regulador europeo en materia de comunicaciones electrónicas, marco que está compuesto por la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Derechos de los Ciudadanos), y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación).
La transposición de estas Directivas se efectúa mediante la modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, así como una modificación puntual de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.
Las modificaciones introducidas en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, persiguen crear un marco adecuado para la realización de inversiones en el despliegue de redes de nueva generación, que permita ofrecer servicios innovadores y tecnológicamente más adecuados a las necesidades de los ciudadanos. Para ello, entre los objetivos y principios de la Ley, se introduce el fomento de la conectividad y la interoperabilidad extremo a extremo de redes y servicios de comunicaciones electrónicas y la promoción de la capacidad de los usuarios para acceder y distribuir información a través de cualquier aplicación o servicio. Todo ello, sin olvidar, las especiales necesidades de grupos sociales específicos, como los mayores y las personas con discapacidad o en situación de dependencia.
En lo referente a las obligaciones que puedan imponerse a operadores con poder significativo de mercado, se introduce la posibilidad de obligar a realizar una separación funcional entre activos de red y suministro al por mayor de productos de acceso, como remedio extraordinario para supuestos de fallo persistente de la competencia. No obstante, al tratarse de una medida de extraordinario calado, que puede tener fuertes repercusiones a largo plazo en distintos ámbitos, se establecen numerosas cautelas que garantizan que dicha medida solo será adoptada en casos justificados y tras una minuciosa evaluación de impacto.
Asimismo, por este real decreto-ley se introducen importantes novedades en relación a los derechos de los operadores, reforzando su derecho a la ocupación de la propiedad pública y privada, que la norma exige que se garantice de modo efectivo. En todo caso, los límites a este derecho que pudieran llegar a imponerse habrán de estar basados en causas objetivas y ser proporcionados y no discriminatorios. Con el mismo objetivo de facilitar el despliegue de redes, se establece un plazo concreto para la resolución de las solicitudes de ocupación, que no podrá exceder de seis meses, salvo en caso de expropiación.
En materia de protección de datos, se apuesta de manera decidida por alcanzar mayores niveles de seguridad, extremando las cautelas en lo que se refiere al tratamiento y la protección de datos por parte de los operadores.
En línea con la importancia que dan las Directivas 2009/136/CE y 2009/140/CE al refuerzo de la integridad y seguridad de las redes públicas de comunicaciones electrónicas, se obliga a los operadores a gestionar de manera adecuada los riesgos de seguridad que pudieran afectar a sus redes, atribuyendo al Ministerio de Industria, Energía y Turismo la supervisión de las obligaciones de información, notificación de incidentes y auditoría, entre otras, que en esta materia puedan imponerse.
La reforma refuerza, asimismo, los derechos de los usuarios de los servicios de comunicaciones electrónicas, regulando, entre otros, su derecho al cambio de operador con conservación del número, en el plazo de un día laborable y mejorando la información que ha de suministrárseles, prestándose especial atención a las necesidades de los usuarios con discapacidad.
En lo que se refiere a la gestión del dominio público radioeléctrico, se generaliza la aplicación de los principios de neutralidad tecnológica y de los servicios y se profundiza en la regulación del mercado secundario de espectro. Con ello se pretende maximizar el rendimiento de los recursos espectrales asignados a los operadores, lo que redundará en beneficio de la innovación tecnológica y en una mayor oferta de mejores servicios.
Adicionalmente, se refuerzan las facultades de verificación del uso efectivo y eficiente del dominio público radioeléctrico, habida cuenta la relevancia que, como valor escaso y de importancia creciente, adquiere la garantía de un buen uso de este recurso.
Por último, se modifican varios artículos de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico, a fin de adecuar su régimen a la nueva redacción dada, por la Directiva 2009/136/CE, a la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, debiéndose destacar la nueva redacción que se da a su artículo 22.2, para exigir el consentimiento del usuario sobre los archivos o programas informáticos (como las llamadas «cookies») que almacenan información en el equipo de usuario y permiten que se acceda a ésta; dispositivos que pueden facilitar la navegación por la red pero con cuyo uso pueden desvelarse aspectos de la esfera privada de los usuarios, por lo que es importante que los usuarios estén adecuadamente informados y dispongan de mecanismos que les permitan preservar su privacidad.
Plataformas colaborativas
Guía de introducción a la Web 2.0: aspectos de seguridad y privacidad en las plataformas colaborativas
Buscadores
Texto íntegro original por el que el TSJCE abre el asunto C-131/12 (AEPD vs Google) - Mediante AAN 2 mar 2012, la Audiencia Nacional le había planteado cuestión prejudicial sobre la responsabilidad de los motores de búsqueda y el Derecho al Olvido - El 25 de junio de 2013 el Abogado General considera que los proveedores de servicios de motor de búsqueda en Internet no son responsables, sobre la base de la Directiva sobre Protección de Datos, de los datos personales incluidos en las páginas web que tratan, AUNQUE la normativa nacional de protección de datos les es de aplicación cuando establecen en un Estado miembro, a fin de promover y vender espacios publicitarios en su motor de búsqueda, una oficina que orienta su actividad hacia los habitantes de dicho Estado, aunque el tratamiento técnico de los datos se realice en otro lugar.
La STJUE (C‑136/17) precisó y actualiza los criterios a la luz del Reglamento General de Protección de Datos.
"SEXTO .- Actividad del motor de búsqueda.
En primer lugar, debemos partir que diversas cuestiones suscitadas en las demandas después de la STJUE de 13 de mayo de 2014 ya carecen de relevancia al haber sido resueltas por dicha
Sentencia, entre ellas si la actividad de un motor de búsqueda como proveedor de contenido debe calificarse
de «tratamiento de datos personales».
En efecto, en la contestación a dicha cuestión prejudicial suscitada por esta Sala la citada Sentencia
se dice:
"El artículo 2, letras b ) y d), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de
24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que, por un lado,
la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por
terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición
de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos
personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales,
y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el
sentido del mencionado artículo 2, letra d)".
Por otro lado, en el apartado 28 de la indicada Sentencia se afirma que
"debe declararse que, al explorar
Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el
gestor de un motor de búsqueda «recoge» tales datos que «extrae», «registra» y «organiza» posteriormente en
el marco de sus programas de indexación, «conserva» en sus servidores y, en su caso, «comunica» y «facilita
el acceso» a sus usuarios en forma de listas de resultados de sus búsquedas. Ya que estas operaciones están
recogidas de forma explícita e incondicional en el artículo 2, letra b), de la Directiva 95/46 , deben calificarse
de «tratamiento» en el sentido de dicha disposición".
Se añade en el apartado 30 que
"el Tribunal de Justicia ya ha declarado que las operaciones a las que
se refiere el artículo 2, letra b), de la Directiva 95/46 deben calificarse de tal tratamiento también en el supuesto
de que se refieran únicamente a información ya publicada tal cual en los medios de comunicación"
y se refiere
para justificar esta conclusión en la Sentencia dictada en el asunto C-73/07.
Por lo que se refiere a la pretensión de que se excluya de responsabilidad a quien afirma ser, solamente,
un motor de búsqueda se señala en el apartado 38 que
"en la medida en que la actividad de un motor de
búsqueda puede afectar, significativamente y de modo adicional a la de los editores de sitios de Internet, a
los derechos fundamentales de respeto de la vida privada y de protección de datos personales, el gestor
de este motor, como persona que determina los fines y los medios de esta actividad, debe garantizar, en el
marco de sus responsabilidades, de sus competencias y de sus posibilidades, que dicha actividad satisface
las exigencias de la Directiva 95/46 para que las garantías establecidas en ella puedan tener pleno efecto y
pueda llevarse a cabo una protección eficaz y completa de los interesados, en particular, de su derecho al
respeto de la vida privada".
En consecuencia, ninguna duda cabe que la actividad de un motor de búsqueda como proveedor de
contenido debe calificarse de «tratamiento de datos personales».
Ligado con lo expuesto, nos encontramos con la cuestión referente a la aplicación en la resolución
recurrida de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio
Electrónico.
La resolución recurrida considera que los buscadores en el ejercicio de su actividad, efectúan un
tratamiento de datos de carácter personal por lo que están obligados a hacer efectivo el derecho de
cancelación y/oposición del interesado que se opone a que se indexe y sea puesta a disposición de los
internautas determinada información a él referente que se encuentra en páginas de tercero y permiten
relacionarles con la misma, y a cumplir con los requerimientos que les dirija la AEPD en la tutela de esos
derechos.
Al mismo tiempo señala también que como los datos personales obtenidos por el buscador, que es un
intermediario de la sociedad de información según la Ley 34/2002, de 11 de julio, pueden afectar a la dignidad
de las personas y lesionar derechos de un tercero, el Director de la AEPD como órgano competente para
velar por el cumplimiento de la legislación de datos y controlar su aplicación puede requerir al responsable del
tratamiento de los datos, la adopción de medidas necesarias para la adecuación del tratamiento de los datos
a las disposiciones de la Ley Orgánica 15/1999, ejerciendo las facultades que le atribuye su artículo 37, así
como a los efectos establecidos en los artículos 8 y 17 de Ley 34/2002, de 11 de julio.
En las demandas se cuestiona la aplicación de la Ley 34/2002, de 11 de julio, al considerar, en esencia,
que el buscador es un mero intermediario de la sociedad de la información y no es responsable del tratamiento.
La Directiva 95/46/CE que regula la protección de datos de las personas físicas, dictada con anterioridad
a la aparición, o al menos a la utilización generalizada de los motores de búsqueda, no contiene referencia
expresa a los servicios de la sociedad de la información, ni previsión específica respecto a los buscadores.
Posteriormente, se dicta la Directiva 2000/31/CE, del Parlamento Europeo y del Consejo, de 8 de junio
de 2000, relativa a determinados aspectos de los servicios de la sociedad de la información y comercio
electrónico (Directiva del comercio electrónico), que regula la actividad de los servicios de la sociedad de la
información y se remite en materia de protección de datos a la Directiva 95/46.
La Ley 34/2002, de 11 de julio, incorpora al ordenamiento jurídico español la citada Directiva 2000/31/
CE, e incluye (Anexo b) como "servicio de intermediación", entre otros, a los buscadores. Dicha norma en
sus artículos 8 y 17 limita la responsabilidad de los buscadores respecto de la información que dirijan a los
destinatarios de los servicios, pero permite se les pueda requerir para que retiren los datos que atenten a
determinados principios (entre ellos la dignidad de la persona).
Es decir, un motor de búsqueda es un intermediario de la sociedad de la información que, conforme
a la Sentencia del TJUE de 13 de mayo de 2014, cuando realiza una actividad consistente en localizar
información publicada o incluida en Internet por terceros relativa a personas físicas, indexarla de manera
automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden
de preferencia, efectúa un tratamiento de datos personales sometido a la normativa de protección de datos
(Directiva 95/46/CE), siendo el gestor del motor de búsqueda el responsable de dicho tratamiento.
La normativa comunitaria en materia de protección de datos reconoce a los interesados el derecho de
obtener del responsable del tratamiento la supresión, bloqueo y oposición, establecidos en los artículos 12.b )
y 14.1.a) de la citada Directiva 95/46/CE y en el mismo sentido se pronuncian los artículos 6.4 y 16 de la LOPD.
Por tanto, de acuerdo con la legislación específica de protección de datos, el responsable del tratamiento (que
en la definición del artículo 3.d) de la LOPD se equipara con el responsable del fichero) debe atender dicho
derecho, y como dicho responsable en supuestos como los que fueron objeto de planteamiento de la cuestión
prejudicial ante el TJUE es el gestor del motor de búsqueda, a él le corresponde, en su caso, adoptar las
correspondientes medidas en aplicación de la LOPD para hacer efectivo el derecho de oposición del afectado.
En definitiva, la aplicación de la normativa específica de protección de datos permite sin necesidad de
acudir a la Ley 34/2002, de 11 de julio, dar respuesta a estos supuestos de tratamiento de datos personales
efectuado por un motor de búsqueda del que es responsable el gestor del citado motor de búsqueda.
SÉPTIMO .- Aplicación territorial de la norma.
Otra de las cuestiones que han quedado resueltas en la Sentencia del TJUE de 13 de mayo de 2014 es la referente a la determinación de la aplicación territorial de la norma, es decir, si la normativa europea,
y, por tanto, la española en materia de protección de datos es aplicable al presente supuesto, y declara al
respecto:
"El artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que
se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento
del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición,
cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada
a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya
actividad se dirige a los habitantes de este Estado miembro".
El artículo 4.1.letra a) de la Directiva 95/46/CE y, en el mismo sentido los artículos 2.1.a) de la LOPD y
3.1.a) del Reglamento de Protección de Datos, establece que los Estados miembros aplican sus disposiciones
nacionales
«a todo tratamiento de datos personales cuando [...] sea efectuado en el marco de las actividades
de un establecimiento del responsable del tratamiento en el territorio del Estado miembro».
Dicha disposición
continúa así:
«cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados
miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos
cumple las obligaciones previstas por el Derecho nacional aplicable».
"El
presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un
establecimiento del responsable o del encargado del tratamiento en la Unión, independientemente de que el
tratamiento tenga lugar en la UE o no".
"que el tratamiento de datos personales realizado
en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa
que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado
miembro, se efectúa «en el marco de las actividades» de dicho establecimiento si éste está destinado a la
promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven
para rentabilizar el servicio propuesto por el motor" (apartado 55).
Para llegar a dicha conclusión parte la
Sentencia de "que Google Spain se dedica al ejercicio efectivo y real de una actividad mediante una instalación
estable en España. Además, al estar dotada de personalidad jurídica propia, es de este modo una filial de
Google Inc. en territorio español, y, por lo tanto, un «establecimiento», en el sentido del artículo 4, apartado
1, letra a), de la Directiva 95/46 " (apartado 49).
Se añade más adelante, que
"en efecto, en tales circunstancias, las actividades del gestor del motor de
búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente
ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor
de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio
que permite realizar las mencionadas actividades (apartado 56).
Y que
"sobre este particular, es necesario
recordar que, como se ha precisado en los apartados 26 a 28 de la presente sentencia, la propia presentación
de datos personales en una página de resultados de una búsqueda constituye un tratamiento de tales datos.
Pues bien, toda vez que dicha presentación de resultados está acompañada, en la misma página, de la
presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento
de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de autos el
territorio español (apartado 57).
Es decir, la normativa europea en materia de protección de datos y, por ende, la legislación del país de
la Unión Europea donde se encuentre el establecimiento, en este caso España, es de aplicación cuando
"el
gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la
promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige
a los habitantes de este Estado miembro" (apartado 60).
Por tanto, la tan repetida Sentencia del TJUE declara que Google Spain, S.L. constituye un
establecimiento de los referidos en el artículo 4.1.a) de la Directiva 95/46/CE, por constituir una instalación
estable en España dotada de personalidad jurídica propia y tratarse de una filial de Google Inc. en territorio
español, y realizarse el tratamiento de datos en el marco de las actividades de Google Spain, S.L., que está
destinado a la promoción y venta en España de los espacios publicitarios del motor de búsqueda, que sirven
para rentabilizar el servicio propuesto por el motor."
Derecho al Olvido y Derecho al Recuerdo (¿Derecho al Borrado?)
Texto íntegro original por el que el TSJCE abre el asunto C-131/12 (AEPD vs Google) - Mediante AAN 2 mar 2012 , la AN la Audiencia Nacional le había planteado cuestión prejudicial sobre la responsabilidad de los motores de búsqueda y el Derecho al Olvido - El 25 de junio de 2013 el Abogado General trata el derecho al olvido en los párrafos 101 y siguientes y concluye (párrafo 137):
Por estos motivos, propongo al Tribunal de Justicia que responda a la tercera cuestión en el sentido de que los derechos de supresión y cancelación de datos, establecidos en el artículo 12, letra b), y el derecho de oposición, recogido en el artículo 14, letra a), de la Directiva no se extienden a un derecho al olvido como el descrito en el auto de remisión."
Pero la STJCE de 13 de mayo de 2014 (asunto C-131/12) da la vuelta al asunto y reconoce el derecho al olvido y sostiene que una persona "puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no sólo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate", y, así, declara:
1) El artículo 2, letras b) y d), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el sentido del mencionado artículo 2, letra d).
2) El artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro.
3) Los artículos 12, letra b) y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, para respetar los derechos que establecen estas disposiciones, siempre que se cumplan realmente los requisitos establecidos en ellos, el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a páginas web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita.
4) Los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, al analizar los requisitos de aplicación de estas disposiciones, se tendrá que examinar, en particular, si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados obtenida tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en cuestión en la lista de resultados cause un perjuicio al interesado. Puesto que éste puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no sólo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate.
La STJUE (C‑136/17) de 24-9-2019 precisa y actualiza los criterios del a STJU (C-131/12, AEPD vs Google) a la luz del Reglamento General de Protección de Datos.
STS-1ª núm. 240/2016 de 5 de abril de 2016 (Rec. 3269/2014) - El tratamiento de los datos personales vinculados con la concesión de un indulto en un buscador de Internet deja de ser lícito una vez transcurrido un plazo razonable desde que se ha concedido el indulto si el afectado ejercita su derecho de oposición en relación a estos datos. Se debe ponderar el equilibrio entre el derecho a la información sobre la concesión de indultos y los derechos al honor, intimidad y protección de datos personales del indultado.
- SAN 5-05-2017 - Críticas a un cirujano (“un saca-perras para el que los pacientes no son más que chuchos”)
- SAN 2-11-2018 - Solicitud de patente de una salsa alimentaria a instancia de un cocinero ("salsa minono")
- SAN 14-12-2018 - Consumidores alertando sobre las prácticas de un empresario del sector inmobiliario, al que denominan “el artista de la estafa”
- SAN 8-11-2017 - El "zar del contrabando" en Colombia
- SAN 20-9-2019 - Ex jugador del FC Barcelona condendo hace 14 años por una falta de amenazas
- SAN 15-3-2019 - Director del Teléfono de la Esperanza absuelto de delitos contra la libertad sexual de sus pacientes
- SAN 21-6-2019 - Empresario del sector del ocio nocturno, vinculado con el caso Gürtel, beneficiado por la amnistía fiscal de 2012
- SAN 19-6-2017 - Lista de candidatos a elecciones municipales de 2011
- SAN 11-12-2018 - Ex político tratando de silenciar réplicas a su blog (El Pato Magenta)
- SAN 26-3-2019 (Rec. 479/2017) - Narcotraficante que intentó comprar el aeropuerto de Ciudad Real
"En efecto, de conformidad con la doctrina de este Tribunal, la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad. A los efectos que aquí importan, basta con recordar que (como sintetizan las SSTC 66/1995, de 8 de mayo, FJ 5; 55/1996, de 28 de marzo, FFJJ 6, 7, 8 y 9; 207/1996, de 16 de diciembre, FJ 4 e), y 37/1998, de 17 de febrero, FJ 8) para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres requisitos o condiciones siguientes: si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)."
Testamento digital inverso o Derecho al Olvido
Testamento digital inverso: ¿Una forma de ejercicio del derecho al olvido? (Ramón Rey Ruiz, 23 octubre, 2014)
Neutralidad de la Red
El dictamen emitido por el Supervisor Europeo de Protección de Datos (SEPD) - Sobre ello, La Comisión Europea quiere aplicar de forma práctica el principio de neutralidad en la red (Euroalert, 2011)
Tratamiento de Datos por interés legítimo sin el consentimiento del Interesado
STJCE 24 nov 2011 (casos C-468/10 y C-469/10 acumulados) - "1) El artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que se opone a una normativa nacional que, para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éste, sino además que dichos datos figuren en fuentes accesibles al público, excluyendo así de forma categórica y generalizada todo tratamiento de datos que no figuren en tales fuentes. 2) El artículo 7, letra f), de la Directiva 95/46 tiene efecto directo."
Creación de ficheros
STS 5 dic
2008 - Analiza el procedimiento de aprobación de una disposición de
carácter general de creación ficheros
Concepto de fichero y esfuerzo despropororcionado
SAN 17 sep 2008 - El nº de móvil por sí no basta para identificar a su usuario
sin un esfuerzo 'desproporcionado' y, por tanto, no resulta de
aplicación la LOPD. Ademas, la AEPD no es competente para entrar dentro
de los contratos entre empresas o anunciantes y particulares.
La cesión de datos vs. el encargo de tratamiento
Recién nacidos
Tratamiento de datos personales de los recién nacidos en los centros asistenciales que integran la red sanitaria única de utilización pública de la Comunidad de Madrid (APDCM Instr 1/209)
Justificantes médicos
Tratamiento de datos personales en la emisión de justificantes médicos en la Comunidad de Madrid (APDCM Instr 2/209)
Datos de salud y oposiciones
STC 159/2009 - Facilitar datos de salud obtenidos en un proceso de selección de personal viola el art. 18.1 CE por invadir la intimidad personal. - Breve comentario a la sentencia (Emilio Guichot, en la Revista de la APDCM)
Investigación de accidentes de aviación
Tratamiento de datos personales en el marco de la investigación y prevención de accidentes e incidentes en la aviación civil (María Martín Pardo de Vera, Junio 2011)
Privacidad yTrabajo
Marketing y Protección de Datos
Marketing y Protección de Datos (I) : Concepto de Dato Personal (Víctor Roselló Mallol, 2009, en Noticias Jurídicas)
Marketing y Protección de Datos (II) : Requisitos generales comunes al tratamiento de Datos Personales (Víctor Roselló Mallol, 2009, en Noticias Jurídicas)
Marketing y Protección de Datos (III) : Principios básicos del tratamiento de Datos Personales (Víctor Roselló Mallol, 2009, en Noticias Jurídicas)
Marketing y Protección de Datos (IV) : Uso de datos con fines publicitarios (Víctor Roselló Mallol, 2009, en Noticias Jurídicas)
Derecho a la Información vs Derecho a la Intimidad (protección de datos)
ATC 155/2009 - Comentario (Ángel Igualada, sep 2009, AEPD) - No hay prevalencia del derecho fundamental a la información sobre el derecho fundamental a la protección de datos (intimidad), debiendo resolverse caso a caso, mediante el correspondiente juicio de proporcionalidad, conforme al que, para comprobar si
una medida restrictiva de un derecho fundamental es válida, debe cumplir tres condiciones: Si tal medida es susceptible de conseguir el
objetivo propuesto (juicio de idoneidad), si, además, es necesaria, en
el sentido de que no exista otra medida más moderada para la
consecución de tal propósito con igual eficacia (juicio de necesidad),
y finalmente si la misma es ponderada o equilibrada, por derivarse de
ella más beneficios o ventajas para el interés general que perjuicios
sobre otros bienes o valores en conflicto (juicio de proporcionalidad
en sentido estricto)
AMÉRICA
Habeas data - Foro sobre privacidad de profesionales de Hispanoamérica-
|
|