• Declaración de la Comisión (UE) en relación con este Acuerdo (2017)

UNIÓN EUROPEA

"1)      El artículo 25, apartado 6, de la de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en su versión modificada por el Reglamento (CE) nº 882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003, entendido a la luz de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que una Decisión adoptada en virtud de la referida disposición, como la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, por la que la Comisión Europea constata que un tercer país garantiza un nivel de protección adecuado, no impide que una autoridad de control de un Estado miembro, a la que se refiere el artículo 28 de esa Directiva, en su versión modificada, examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado.

2)      La Decisión 2000/520 es inválida."

APDCM Agencia de Protección de datos de la Comunidad de Madrid

"El 8 de enero de 2009 la representación de PROMUSICAE presentó un escrito ante la AEPD en el que solicitó, al amparo del artículo 5.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD ), la exención del deber de informar a los usuarios de redes peer to peer (P2P) sobre el tratamiento de sus datos, que la solicitante pretendía llevar a cabo para el ejercicio de defensa de los derechos de propiedad intelectual de los productores y editores de fonogramas y videos musicales. (...) A la vista del anterior escrito, la AEPD acordó iniciar el procedimiento de exención del deber de información al interesado, previsto en el artículo 5.5 de la LOPD, de conformidad con los trámites establecidos para dicho procedimiento en el artículo 155 del RD 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la LOPD, finalizando el procedimiento por la resolución de la AEPD de 2 de julio de 2009, antes citada, que acordó no autorizar a PROMUSICAE la aplicación de lo dispuesto en el artículo 5.5 de la LOPD , en las condiciones señaladas en la resolución. (...) En este caso, la pretensión de la parte recurrente, según resulta tanto de su escrito de inicio del procedimiento administrativo, como del suplico de su demanda, es la obtención de la exención prevista en el artículo 5.5 LOPD del deber que establece el artículo 5.4 del mismo texto legal de informar a los interesados acerca del tratamiento de sus datos de carácter personal, y no se aprecia que dicho concreto y particular interés haya quedado satisfecho por la reforma operada por la Ley 2/2011, que establece ciertamente medidas de salvaguarda de los derechos de propiedad intelectual, pero por una vía distinta a la interesada por la parte recurrente, pues en la norma invocada por el Abogado del Estado esas funciones de salvaguarda se encomiendan a un órgano administrativo, la Comisión de Propiedad Intelectual, mientras que en el presente recurso la pretensión de la parte recurrente es, con esa misma finalidad de protección de los derechos de propiedad intelectual, la obtención para sí misma de la exención del deber legal de informar a los interesados del tratamiento de sus datos de carácter personal, que es materia sobre la que no puede apreciarse ninguna modificación por la norma citada por el Abogado del Estado. (...) CUARTO.- Como hemos indicado, el segundo motivo del recurso de casación sostiene que la sentencia recurrida se equivoca cuando sienta la premisa de que las direcciones IP son datos de carácter personal, pues para la parte recurrente las direcciones IP que pretende tratar no son datos de carácter personal, en el sentido de la LOPD, sino que se trata de datos disociados, pues dicha parte por sí misma es incapaz de llegar a conocer, a partir del dato de la dirección IP, la identidad, u otros datos de identificación de la persona de que se trate. Añade la parte recurrente que, de la prueba practicada en el recurso, resulta que carece de los medios técnicos precisos para llegar a averiguar la identidad real de la persona física que utiliza la dirección IP, con la consecuencia de que, en tales circunstancias, no es posible considerar que las direcciones IP que PROMUSICAE pretende tratar constituyan datos personales, haciendo la sentencia recurrida una lectura equivocada de la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008. Esta cuestión es tratada y resuelta en la sentencia recurrida, que llega a la conclusión de que las direcciones IP (Internet Protocols) deben ser consideradas como datos personales, tras razonar que entran dentro del concepto legal de dato personal del artículo 3.1) LOPD y 5.f) de su Reglamento, y que dicha conclusión resultó avalada por la sentencia del TJCE en el asunto C- 275/2006.

(...) 

Esta Sala estima que las direcciones IP son datos personales, en el sentido del artículo 3 LOPD , ya que contienen información concerniente a personas físicas "identificadas o identificables". El hecho a que alude la parte recurrente, de no tener al alcance de su mano la identificación del titular de los datos por medios y plazos razonables, no es obstáculo para la conclusión que mantenemos de que se trata de datos personales, pues de conformidad con la definición de datos personales del artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por dato personal habrá de entenderse, al igual que señala el artículo 3.a) LOPD antes citado, toda información sobre una persona física identificada o identificable, añadiendo el artículo 2.a) de la Directiva 95/46 que "se considerará identificable toda persona cuya identidadpueda determinarse, directa o indirectamente, en particular mediante un número de identificación...".
No cabe duda que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.
La sentencia recurrida cita, en apoyo de su tesis de que las direcciones IP son datos personales, la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008 (asunto C-275/06 ), recaída en una petición de decisión prejudicial planteada por un Juzgado de lo Mercantil de Madrid, en un procedimiento promovido por la aquí parte recurrente, PROMUSICAE, contra un proveedor de acceso a internet (Telefónica de España, SAU), para que le comunicase los nombres y direcciones de determinados usuarios de internet. En relación con dicha sentencia del TJCE, es cierto que en su apartado 45 se afirma la condición de datos personales de los que eran objeto de la pretensión de la parte recurrente en el litigio principal, es decir, los nombres y direcciones de determinados usuarios solicitada por PROMUSICAE, sin que el TJCE se pronunciara respecto de las direcciones IP. Sin embargo, debe precisarse también que, en el mismo asunto, la Abogado General en sus conclusiones si mantiene (apartado 61), que el dato del usuario al que se han atribuido determinadas direcciones IP es un dato personal, en el sentido del artículo 2.a) de la Directiva 95/46 , es decir, información sobre una persona física identificada o identificable, pues "con ayuda de este dato se relacionan las actividades realizadas mediante el uso de la correspondiente dirección IP con el titular del punto de conexión" .
Por lo tanto, estimamos que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento."

Por otro lado, mediante este real decreto-ley se efectúa la incorporación al ordenamiento jurídico español del nuevo marco regulador europeo en materia de comunicaciones electrónicas, marco que está compuesto por la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Derechos de los Ciudadanos), y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación).

La transposición de estas Directivas se efectúa mediante la modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, así como una modificación puntual de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.

Las modificaciones introducidas en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, persiguen crear un marco adecuado para la realización de inversiones en el despliegue de redes de nueva generación, que permita ofrecer servicios innovadores y tecnológicamente más adecuados a las necesidades de los ciudadanos. Para ello, entre los objetivos y principios de la Ley, se introduce el fomento de la conectividad y la interoperabilidad extremo a extremo de redes y servicios de comunicaciones electrónicas y la promoción de la capacidad de los usuarios para acceder y distribuir información a través de cualquier aplicación o servicio. Todo ello, sin olvidar, las especiales necesidades de grupos sociales específicos, como los mayores y las personas con discapacidad o en situación de dependencia.

En lo referente a las obligaciones que puedan imponerse a operadores con poder significativo de mercado, se introduce la posibilidad de obligar a realizar una separación funcional entre activos de red y suministro al por mayor de productos de acceso, como remedio extraordinario para supuestos de fallo persistente de la competencia. No obstante, al tratarse de una medida de extraordinario calado, que puede tener fuertes repercusiones a largo plazo en distintos ámbitos, se establecen numerosas cautelas que garantizan que dicha medida solo será adoptada en casos justificados y tras una minuciosa evaluación de impacto.

Asimismo, por este real decreto-ley se introducen importantes novedades en relación a los derechos de los operadores, reforzando su derecho a la ocupación de la propiedad pública y privada, que la norma exige que se garantice de modo efectivo. En todo caso, los límites a este derecho que pudieran llegar a imponerse habrán de estar basados en causas objetivas y ser proporcionados y no discriminatorios. Con el mismo objetivo de facilitar el despliegue de redes, se establece un plazo concreto para la resolución de las solicitudes de ocupación, que no podrá exceder de seis meses, salvo en caso de expropiación.

En materia de protección de datos, se apuesta de manera decidida por alcanzar mayores niveles de seguridad, extremando las cautelas en lo que se refiere al tratamiento y la protección de datos por parte de los operadores.

En línea con la importancia que dan las Directivas 2009/136/CE y 2009/140/CE al refuerzo de la integridad y seguridad de las redes públicas de comunicaciones electrónicas, se obliga a los operadores a gestionar de manera adecuada los riesgos de seguridad que pudieran afectar a sus redes, atribuyendo al Ministerio de Industria, Energía y Turismo la supervisión de las obligaciones de información, notificación de incidentes y auditoría, entre otras, que en esta materia puedan imponerse.

La reforma refuerza, asimismo, los derechos de los usuarios de los servicios de comunicaciones electrónicas, regulando, entre otros, su derecho al cambio de operador con conservación del número, en el plazo de un día laborable y mejorando la información que ha de suministrárseles, prestándose especial atención a las necesidades de los usuarios con discapacidad.

En lo que se refiere a la gestión del dominio público radioeléctrico, se generaliza la aplicación de los principios de neutralidad tecnológica y de los servicios y se profundiza en la regulación del mercado secundario de espectro. Con ello se pretende maximizar el rendimiento de los recursos espectrales asignados a los operadores, lo que redundará en beneficio de la innovación tecnológica y en una mayor oferta de mejores servicios.

Adicionalmente, se refuerzan las facultades de verificación del uso efectivo y eficiente del dominio público radioeléctrico, habida cuenta la relevancia que, como valor escaso y de importancia creciente, adquiere la garantía de un buen uso de este recurso.

Por último, se modifican varios artículos de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico, a fin de adecuar su régimen a la nueva redacción dada, por la Directiva 2009/136/CE, a la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, debiéndose destacar la nueva redacción que se da a su artículo 22.2, para exigir el consentimiento del usuario sobre los archivos o programas informáticos (como las llamadas «cookies») que almacenan información en el equipo de usuario y permiten que se acceda a ésta; dispositivos que pueden facilitar la navegación por la red pero con cuyo uso pueden desvelarse aspectos de la esfera privada de los usuarios, por lo que es importante que los usuarios estén adecuadamente informados y dispongan de mecanismos que les permitan preservar su privacidad.

Plataformas colaborativas

Buscadores

"SEXTO .- Actividad del motor de búsqueda.

En primer lugar, debemos partir que diversas cuestiones suscitadas en las demandas después de la STJUE de 13 de mayo de 2014 ya carecen de relevancia al haber sido resueltas por dicha Sentencia, entre ellas si la actividad de un motor de búsqueda como proveedor de contenido debe calificarse de «tratamiento de datos personales». 

En efecto, en la contestación a dicha cuestión prejudicial suscitada por esta Sala la citada Sentencia se dice: 

"El artículo 2, letras b ) y d), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el sentido del mencionado artículo 2, letra d)". 

Por otro lado, en el apartado 28 de la indicada Sentencia se afirma que 

"debe declararse que, al explorar Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el gestor de un motor de búsqueda «recoge» tales datos que «extrae», «registra» y «organiza» posteriormente en el marco de sus programas de indexación, «conserva» en sus servidores y, en su caso, «comunica» y «facilita el acceso» a sus usuarios en forma de listas de resultados de sus búsquedas. Ya que estas operaciones están recogidas de forma explícita e incondicional en el artículo 2, letra b), de la Directiva 95/46 , deben calificarse de «tratamiento» en el sentido de dicha disposición".

Se añade en el apartado 30 que 

"el Tribunal de Justicia ya ha declarado que las operaciones a las que se refiere el artículo 2, letra b), de la Directiva 95/46 deben calificarse de tal tratamiento también en el supuesto de que se refieran únicamente a información ya publicada tal cual en los medios de comunicación"

y se refiere para justificar esta conclusión en la Sentencia dictada en el asunto C-73/07. 

Por lo que se refiere a la pretensión de que se excluya de responsabilidad a quien afirma ser, solamente, un motor de búsqueda se señala en el apartado 38 que 

"en la medida en que la actividad de un motor de búsqueda puede afectar, significativamente y de modo adicional a la de los editores de sitios de Internet, a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, el gestor de este motor, como persona que determina los fines y los medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que dicha actividad satisface las exigencias de la Directiva 95/46 para que las garantías establecidas en ella puedan tener pleno efecto y pueda llevarse a cabo una protección eficaz y completa de los interesados, en particular, de su derecho al respeto de la vida privada". 

En consecuencia, ninguna duda cabe que la actividad de un motor de búsqueda como proveedor de contenido debe calificarse de «tratamiento de datos personales». 

Ligado con lo expuesto, nos encontramos con la cuestión referente a la aplicación en la resolución recurrida de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico. 

La resolución recurrida considera que los buscadores en el ejercicio de su actividad, efectúan un tratamiento de datos de carácter personal por lo que están obligados a hacer efectivo el derecho de cancelación y/oposición del interesado que se opone a que se indexe y sea puesta a disposición de los internautas determinada información a él referente que se encuentra en páginas de tercero y permiten relacionarles con la misma, y a cumplir con los requerimientos que les dirija la AEPD en la tutela de esos derechos. 

Al mismo tiempo señala también que como los datos personales obtenidos por el buscador, que es un intermediario de la sociedad de información según la Ley 34/2002, de 11 de julio, pueden afectar a la dignidad de las personas y lesionar derechos de un tercero, el Director de la AEPD como órgano competente para velar por el cumplimiento de la legislación de datos y controlar su aplicación puede requerir al responsable del tratamiento de los datos, la adopción de medidas necesarias para la adecuación del tratamiento de los datos a las disposiciones de la Ley Orgánica 15/1999, ejerciendo las facultades que le atribuye su artículo 37, así como a los efectos establecidos en los artículos 8 y 17 de Ley 34/2002, de 11 de julio. 

En las demandas se cuestiona la aplicación de la Ley 34/2002, de 11 de julio, al considerar, en esencia, que el buscador es un mero intermediario de la sociedad de la información y no es responsable del tratamiento. 

La Directiva 95/46/CE que regula la protección de datos de las personas físicas, dictada con anterioridad a la aparición, o al menos a la utilización generalizada de los motores de búsqueda, no contiene referencia expresa a los servicios de la sociedad de la información, ni previsión específica respecto a los buscadores. 

Posteriormente, se dicta la Directiva 2000/31/CE, del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos de los servicios de la sociedad de la información y comercio electrónico (Directiva del comercio electrónico), que regula la actividad de los servicios de la sociedad de la información y se remite en materia de protección de datos a la Directiva 95/46. 

La Ley 34/2002, de 11 de julio, incorpora al ordenamiento jurídico español la citada Directiva 2000/31/ CE, e incluye (Anexo b) como "servicio de intermediación", entre otros, a los buscadores. Dicha norma en sus artículos 8 y 17 limita la responsabilidad de los buscadores respecto de la información que dirijan a los destinatarios de los servicios, pero permite se les pueda requerir para que retiren los datos que atenten a determinados principios (entre ellos la dignidad de la persona). 

Es decir, un motor de búsqueda es un intermediario de la sociedad de la información que, conforme a la Sentencia del TJUE de 13 de mayo de 2014, cuando realiza una actividad consistente en localizar información publicada o incluida en Internet por terceros relativa a personas físicas, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia, efectúa un tratamiento de datos personales sometido a la normativa de protección de datos (Directiva 95/46/CE), siendo el gestor del motor de búsqueda el responsable de dicho tratamiento.

La normativa comunitaria en materia de protección de datos reconoce a los interesados el derecho de obtener del responsable del tratamiento la supresión, bloqueo y oposición, establecidos en los artículos 12.b ) y 14.1.a) de la citada Directiva 95/46/CE y en el mismo sentido se pronuncian los artículos 6.4 y 16 de la LOPD. Por tanto, de acuerdo con la legislación específica de protección de datos, el responsable del tratamiento (que en la definición del artículo 3.d) de la LOPD se equipara con el responsable del fichero) debe atender dicho derecho, y como dicho responsable en supuestos como los que fueron objeto de planteamiento de la cuestión prejudicial ante el TJUE es el gestor del motor de búsqueda, a él le corresponde, en su caso, adoptar las correspondientes medidas en aplicación de la LOPD para hacer efectivo el derecho de oposición del afectado. 

En definitiva, la aplicación de la normativa específica de protección de datos permite sin necesidad de acudir a la Ley 34/2002, de 11 de julio, dar respuesta a estos supuestos de tratamiento de datos personales efectuado por un motor de búsqueda del que es responsable el gestor del citado motor de búsqueda. 

SÉPTIMO .- Aplicación territorial de la norma. 

Otra de las cuestiones que han quedado resueltas en la Sentencia del TJUE de 13 de mayo de 2014 es la referente a la determinación de la aplicación territorial de la norma, es decir, si la normativa europea, y, por tanto, la española en materia de protección de datos es aplicable al presente supuesto, y declara al respecto: 

"El artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro".

El artículo 4.1.letra a) de la Directiva 95/46/CE  y, en el mismo sentido los artículos 2.1.a) de la LOPD y 3.1.a) del Reglamento de Protección de Datos, establece que los Estados miembros aplican sus disposiciones nacionales 

«a todo tratamiento de datos personales cuando [...] sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro». 

Dicha disposición continúa así: 

«cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable».

En la misma línea se pronuncia el proyecto de reforma del Reglamento Europeo de Protección de Datos, aprobado el 12 de marzo de 2014 por el Parlamento Europeo, pendiente de aprobación definitiva del Consejo, que en su artículo 3.1 dispone: 

"El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado del tratamiento en la Unión, independientemente de que el tratamiento tenga lugar en la UE o no".

Ya hemos dicho que la Sentencia del TJUE de 13 de mayo de 2014 declara, la aplicación al caso que nos ocupa, de la Directiva 45/96/CE al considerar 

"que el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa «en el marco de las actividades» de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor" (apartado 55). 

Para llegar a dicha conclusión parte la Sentencia de "que Google Spain se dedica al ejercicio efectivo y real de una actividad mediante una instalación estable en España. Además, al estar dotada de personalidad jurídica propia, es de este modo una filial de Google Inc. en territorio español, y, por lo tanto, un «establecimiento», en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46 " (apartado 49). 

Se añade más adelante, que 

"en efecto, en tales circunstancias, las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades (apartado 56).

Y que 

"sobre este particular, es necesario recordar que, como se ha precisado en los apartados 26 a 28 de la presente sentencia, la propia presentación de datos personales en una página de resultados de una búsqueda constituye un tratamiento de tales datos. Pues bien, toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de autos el territorio español (apartado 57).

Es decir, la normativa europea en materia de protección de datos y, por ende, la legislación del país de la Unión Europea donde se encuentre el establecimiento, en este caso España, es de aplicación cuando

"el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro" (apartado 60). 

Por tanto, la tan repetida Sentencia del TJUE declara que Google Spain, S.L. constituye un establecimiento de los referidos en el artículo 4.1.a) de la Directiva 95/46/CE, por constituir una instalación estable en España dotada de personalidad jurídica propia y tratarse de una filial de Google Inc. en territorio español, y realizarse el tratamiento de datos en el marco de las actividades de Google Spain, S.L., que está destinado a la promoción y venta en España de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor."

Derecho al Olvido y Derecho al Recuerdo (¿Derecho al Borrado?)

Por estos motivos, propongo al Tribunal de Justicia que responda a la tercera cuestión en el sentido de que los derechos de supresión y cancelación de datos, establecidos en el artículo 12, letra b), y el derecho de oposición, recogido en el artículo 14, letra a), de la Directiva no se extienden a un derecho al olvido como el descrito en el auto de remisión."

"En efecto, de conformidad con la doctrina de este Tribunal, la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad. A los efectos que aquí importan, basta con recordar que (como sintetizan las SSTC 66/1995, de 8 de mayo, FJ 5; 55/1996, de 28 de marzo, FFJJ 6, 7, 8 y 9; 207/1996, de 16 de diciembre, FJ 4 e), y 37/1998, de 17 de febrero, FJ 8) para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres requisitos o condiciones siguientes: si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)."

Testamento digital inverso o Derecho al Olvido

Neutralidad de la Red

Tratamiento de Datos por interés legítimo sin el consentimiento del Interesado