Autor: José Ramón de Verda y Beamonte, Catedrático de Derecho civil de la Universidad de Valencia.
j.ramon.de-verda@uv.es
1. Recientemente ha recaído una sentencia que ha tenido gran repercusión mediática, como suelen ser todas las que tienen que ver con la protección de los derechos fundamentales frente al riesgo derivado del uso indebido de las nuevas tecnologías.
En este caso, el derecho afectado por el reclamante es el del tratamiento de datos de carácter personal, que nuestra jurisprudencia constitucional, con apoyo en el art. 18.4 CE, configura como un derecho autónomo, como consecuencia de la gran depuración conceptual de nuestro ordenamiento jurídico, merced a la detallada regulación de los derechos fundamentales que lleva a cabo nuestra Carta Magna, que contrasta con la parquedad de otros textos constitucionales o internacionales, como es el Convenio de Roma, cuyo artículo 8 consagra un supra-concepto, el del respeto al derecho a la vida privada, que es un auténtico cajón de sastre para reconducir derechos no protegidos específicamente por el Tratado; y lo mismo sucede en la Ley Fundamental de Bonn, en la que el derecho fundamental al libre desarrollo de la personalidad, reconocido en su parágrafo 2, cumple la misma función de supra-concepto con fuerza expansiva.
Sin embargo, entre nosotros, aunque en este punto el texto constitucional no sea todo lo claro que sería deseable, es común distinguir entre “intimidad” y “vida privada”, conceptos no coincidentes. Es evidente que dentro de ese “patrimonio personal y familiar propio, vivencial y existencial” en que consiste la intimidad hay que situar, por ejemplo, aspectos como las propias convicciones, ideológicas o religiosas, la orientación sexual, la filiación bilógica de la persona adoptada, las relaciones afectivas no exteriorizadas públicamente, el estado de salud o la información genética. Por el contrario, en la vida privada hay datos, que los demás no tienen por qué conocer, pero que, objetivamente, no parece que puedan ser considerados como parte de ese “reducto de inmunidad” (con el que la jurisprudencia constitucional identifica la intimidad), sin cuya preservación “no es realizable, ni concebible siquiera, la existencia en dignidad”. Sería, por ejemplo, el caso del importe de la nómina mensual o de los datos bancarios.
No se trata de que la persona no deba tener control sobre la captación, utilización o difusión de estos datos de carácter personal, sino que lo que sucede es que esta protección debe tener lugar a través de un derecho fundamental distinto, que no es el de la intimidad, sino el de la autodeterminación informativa o de protección de los datos de carácter personal, del que es manifestación privilegiada la denominada libertad informática.
La Constitución española no consagra, al menos expresamente, un derecho a la autodeterminación informativa o a la protección de datos de carácter personal. En su art. 18.4 se limita a decir que “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
Por lo tanto, de este precepto lo único que se deduce es un mandato dirigido al legislador para que éste establezca una regulación de la informática que proteja los derechos de la personalidad de los ciudadanos, pensando que en las sociedades modernas el uso de las nuevas tecnologías puede ponerlos en peligro, pero no consagra un derecho fundamental especifico a la autodeterminación informativa, a pesar de lo cual la norma ha dado pie a la jurisprudencia del Tribunal Constitucional para reconocer dicho derecho fundamental.
A este respecto es especialmente importante la STC 254/1993, de 20 de julio, la cual afirma que el art. 18 CE “ha incorporado una nueva garantía constitucional, como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de la persona, de forma en último término, no muy diferente a como fueron originándose e incorporándose históricamente los distintos derechos fundamentales”. Más adelante, añade: “En el presente caso estamos ante un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad, pero también de un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento automatizado de datos”.
La STC 30/1999, de 8 de marzo, afirma que el art. 18.4 CE “consagra un derecho autónomo dirigido a controlar el flujo de informaciones que conciernen a cada persona, pertenezcan o no al ámbito más estricto de la intimidad, para así preservar el pleno ejercicio de sus derechos, evitando que la informatización de los datos personales propicie comportamientos discriminatorios”. Igualmente la STC 44/1999, de 22 de marzo, dice, en relación con el precepto, que éste, “no sólo entraña un específico instrumento de protección de los derechos del ciudadano frente al uso torticero de la tecnología informática, sino que consagra un derecho fundamental autónomo a controlar el flujo de informaciones que conciernen a cada persona -a la ‘privacidad’ según el neologismo que reza en la exposición de motivos de la [anterior Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de los datos de carácter personal]-, pertenezcan o no al ámbito más estricto de la intimidad, para así preservar el pleno ejercicio de sus derechos”.
La diferenciación entre “intimidad” y “vida privada” estaba, en efecto, bien expuesta por la Exposición de Motivos de la anterior LO 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de los datos de carácter personal.
En ella se decía, que “El progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida. Nótese que se habla de la privacidad y no de la intimidad: aquélla es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo-, la privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado”.
El derecho a la protección de datos de carácter personal, tutelado administrativamente por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal, es objeto de una protección penal específica por el art. 197. 2 CP.
2. En la disciplina comunitaria la norma básica es la Directiva 95/46/CE, de 24 de octubre, de protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, la interpretación de cuyo art 2, a), b) y d) dio lugar a la sentencia que nos ocupa, que resuelve una cuestión prejudicial planteada por la Audiencia Nacional.
El pleito tiene su origen en una reclamación planteada ante la Agencia de Protección de datos de un internauta, que, cuando introducía en el motor de búsqueda de Google su nombre, obtenía como resultado vínculos hacia dos páginas de un periódico, en las que figuraba un anuncio en el que se le relacionaba con una subasta de inmuebles como consecuencia de un embargo por deudas a la Seguridad Social.
El internauta reclamó al periódico que eliminara o modificara la publicación para que no apareciesen sus datos personales, o utilizara las herramientas facilitadas por los motores de búsqueda para proteger estos datos. Por otro lado, solicitó que se exigiese a Google que eliminara u ocultara sus datos personales para que dejaran de incluirse en sus resultados de búsqueda y dejaran de estar ligados a los enlaces del periódico. Argumentaba que el embargo al que en su día se vio sometido estaba totalmente solucionado y resuelto desde hace años y carecía de relevancia actualmente.
La Agencia de Protección de Datos desestimó la reclamación dirigida al periódico, razonando que la publicación que éste había llevado a cabo estaba legalmente justificada, dado que había tenido lugar por orden del Ministerio de Trabajo y Asuntos Sociales y tenía por objeto dar la máxima publicidad a la subasta para conseguir la mayor concurrencia de licitadores. En cambio, sí estimó la reclamación contra Google, considerando que el requerimiento pretendido por el internauta podía dirigirse directamente a los explotadores de motores de búsqueda, sin suprimir los datos o la información de la página donde inicialmente está alojada e, incluso, cuando el mantenimiento de esta información en dicha página estuviera justificado por una norma legal.
Google interpuso recurso ante la Audiencia Nacional, que planteó una cuestión prejudicial ante el Tribunal de Luxemburgo, que declaró que el gestor de un motor de búsqueda, al explorar internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, “recoge” tales datos que “extrae”, “registra” y “organiza” posteriormente en el marco de sus programas de indexación, “conserva” en sus servidores y, en su caso, “comunica” y “facilita el acceso” a sus usuarios en forma de listas de resultados de sus búsquedas.
Considera, en definitiva, que se trata de operaciones que tienen encaje en el art. 2, b) de la Directiva 95/46, las cuales constituyen deben como “tratamiento” de datos personales; y ello, con independencia de que dichos datos hayan sido ya objeto de publicación en Internet y dicho motor de búsqueda no los modifique: el gestor del motor de búsqueda es quien determina los fines y los medios de esta actividad y del tratamiento de datos personales que efectúa en el marco de aquélla y, por consiguiente, debe considerarse “responsable” de dicho tratamiento en virtud del mencionado artículo 2, letra d).
Afirma que “la organización y la agregación de la información publicada en Internet efectuada por los motores de búsqueda para facilitar a sus usuarios el acceso a ella puede conducir, cuando la búsqueda de los usuarios se lleva a cabo a partir del nombre de una persona física, a que éstos obtengan mediante la lista de resultados una visión estructurada de la información relativa a esta persona que puede hallarse en Internet que les permita establecer un perfil más o menos detallado del interesado”; y añade: “en la medida en que la actividad de un motor de búsqueda puede afectar, significativamente y de modo adicional a la de los editores de sitios de Internet, a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, el gestor de este motor, como persona que determina los fines y los medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que dicha actividad satisface las exigencias de la Directiva 95/46 para que las garantías establecidas en ella puedan tener pleno efecto y pueda llevarse a cabo una protección eficaz y completa de los interesados, en particular, de su derecho al respeto de la vida privada”.
La conclusión es que el art. 2, b) y d), de la Directiva 95/46 “debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de ‘tratamiento de datos personales’, en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse ‘responsable’ de dicho tratamiento, en el sentido del mencionado artículo 2, letra d)”.
3. Esta declaración ha hecho correr ríos de tinta. Pero ¿es tan novedosa como se ha he hecho creer?
A mi parecer, sin desconocer su importancia, la sentencia considerada se halla en línea de continuidad con otros fallos anteriores del mismo Tribunal, en el que se había discutido si el prestador de servicios era un “provider of technical services” o si, por el contrario, un “provider of content services”, que ejercía un control sobre el contenido de los datos que alojaba.
La importancia de la cuestión estriba en que, como explica el considerando 42 de la Directiva 2000/31/CE, la exenciones de responsabilidad en ella prevista “sólo se aplican a aquellos casos en que la actividad del prestador de servicios de la sociedad de la información se limita al proceso técnico de explotar y facilitar el acceso a una red de comunicación mediante la cual la información facilitada por terceros es transmitida o almacenada temporalmente, con el fin de hacer que la transmisión sea más eficiente”; y, más adelante, precisa: “Esa actividad es de naturaleza meramente técnica, automática y pasiva, lo que implica que el prestador de servicios de la sociedad de la información no tiene conocimiento ni control de la información transmitida o almacenada”.
Es, por ello, que en no pocos litigios tramitados ante el Tribunal de Luxemburgo, se ha discutido la naturaleza del servicio realizado por un prestador de servicios a efectos de determinar si quedaba, o no, sujeto a la exención de responsabilidad prevista en el art. 14.1 de la Directiva 2000/31/CE.
El precepto dispone que “Los Estados miembros garantizarán que, cuando se preste un servicio de la sociedad de la información consistente en almacenar datos facilitados por el destinatario del servicio, el prestador de servicios no pueda ser considerado responsable de los datos almacenados a petición del destinatario, a condición de que: a) el prestador de servicios no tenga conocimiento efectivo de que la actividad a la información es ilícita y, en lo que se refiere a una acción por daños y perjuicios, no tenga conocimiento de hechos o circunstancias por los que la actividad o la información revele su carácter ilícito, o de que, b) en cuanto tenga conocimiento de estos puntos, el prestador de servicios actúe con prontitud para retirar los datos o hacer que el acceso a ellos sea imposible”.
La STJUE (Gran Sala) de 23 de marzo de 2010, caso Google Francia y otros c. Louis Vuitton y otros, analiza la subsunción en el precepto de la actividad de un prestador de servicios de referenciación (Google) que almacena como palabra clave un signo idéntico a una marca de renombre y organiza la presentación en una pantalla de anuncios a partir de tal signo.
Afirma que la exención de responsabilidad contemplada en la norma sólo “se aplica al prestador de un servicio de referenciación en Internet cuando no desempeñe un papel activo que pueda darle conocimiento o control de los datos almacenados”; de modo que “Si no desempeña un papel de este tipo, no puede considerarse responsable al prestador de los datos almacenados a petición del anunciante, a menos que, tras llegar a su conocimiento la ilicitud de estos datos o de las actividades del anunciante, no actúe con prontitud para retirar los datos o hacer que el acceso a ellos sea imposible”.
La STJUE de 12 de julio de 2011, dictada en el marco del asunto c-324/09, caso L’Oréal contra eBay, reitera dicha doctrina, en este caso, en relación a un prestador que, como eBay, explota un mercado electrónico en el que se muestran anuncios de productos ofrecidos por personas registradas, que han creado una cuenta de vendedor, permitiendo a los compradores potenciales pujar por los objetos ofrecidos por los vendedores o que los adquieran por un precio fijo, a través de un sistema denominado “¡Cómpralo ya”. Los vendedores pueden, por otra parte, crear “tiendas en línea” en los sitios web de eBay. En su caso, eBay también presta asistencia a los vendedores para optimizar sus ofertas, crear sus tiendas en línea y promover e incrementar sus ventas. Igualmente, hace publicidad de algunos de los productos que se ofrecen a la venta en su mercado electrónico, gracias a la presentación de anuncios a través de operadores de motores de búsqueda como Google.
El litigio surgió, porque en las webs europeas de eBay se estaban comercializando algunos productos que eran falsificaciones de la marca L’Oréal, artículos de muestra o que estaban destinados a su venta fuera del Espacio Económico Europeo.
El TJUE reitera que el art. 14.1 de la Directiva 2000/31 “se aplica al operador de un mercado electrónico cuando éste no ha desempeñado un papel activo que le permita adquirir conocimiento o control de los datos almacenados”, precisando que “Este operador desempeña tal papel cuando presta una asistencia consistente, en particular, en optimizar la presentación de las ofertas de venta en cuestión o en promover tales ofertas”.
En el supuesto de que el operador haya desempeñado un papel puramente pasivo, le será de aplicación el citado precepto, por lo que sólo quedará sujeto a responsabilidad y podrá ser condenado al pago de una indemnización de daños y perjuicios, “cuando haya tenido conocimiento de hechos o circunstancias a partir de los cuales un operador económico diligente hubiera debido constatar el carácter ilícito de las ofertas de venta en cuestión y, en caso de adquirir tal conocimiento, no haya actuado con prontitud”.
Conviene advertir que la jurisprudencia del Tribunal de Estrasburgo considera a Google y a eBay proveedores de servicio de alojamiento de datos (que, en sentido amplio, lo son), porque en la Directiva no existe una norma semejante al art. 17 de la Ley 34/2002, de julio, de servicios de la sociedad de información y de comercio electrónico, que contempla la exención de responsabilidad de los prestadores que faciliten enlaces a contenidos o instrumentos de búsqueda.
José Ramón de Verda y Beamonte
Catedrático de Derecho civil de la Universidad de Valencia