¿Quién es el responsable y corresponsable del tratamiento de datos de carácter personal?

¿Quién es el responsable y corresponsable del tratamiento de datos de carácter personal?

La jurisprudencia emanada de la Sala de lo Contencioso-administrativo del Tribunal Supremo, que se sintetiza en la reciente sentencia de 14 de marzo de 2016, tiene declarado en torno a esta cuestión que “la letra d) del artículo 2 de la Directiva 95/46/CE establece que se entenderá por «responsable del tratamiento»: «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario». En el mismo sentido, se pronuncia el artículo 5.1.q) del Reglamento de Protección de Datos. Por su parte, el artículo 3.d) de la LOPD define como responsable del tratamiento a la «persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.”
Añade el Tribunal que “por su parte el Proyecto de Reglamento Europeo de Protección de Datos considera responsable del tratamiento a «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y medios del tratamiento de datos personales; en caso de que los fines y medios del tratamiento estén determinados por la legislación de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por la legislación de la Unión o de los Estados miembros». El Dictamen 1/2010, sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» adoptado el 16 de febrero de 2010 por el (Grupo de Trabajo del artículo 29 de la Directiva 95/46/ CE (GT29), dice en relación con el concepto de responsable del tratamiento lo siguiente: «El concepto de responsable del tratamiento es autónomo, en el sentido de que debe interpretarse fundamentalmente con arreglo a la legislación comunitaria de protección de datos, y funcional, en el sentido de que su objetivo es asignar responsabilidades en función de la capacidad de influencia de hecho, y, por consiguiente, se basa en un análisis de los hechos más que en un análisis formal. La definición de la Directiva consta de tres componentes fundamentales: el aspecto personal («la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo»); la posibilidad de un control plural («que solo o conjuntamente con otros»); los elementos esenciales para distinguir al responsable del tratamiento de otros agentes («determine los fines y los medios del tratamiento de datos personales»).En relación con la determinación de los fines y los medios se señala que «el hecho de determinar los «fines» del tratamiento trae consigo la consideración de responsable del tratamiento (de facto). En cambio, la determinación de los «medios» del procesamiento puede ser delegada por el responsable del tratamiento en la medida en que se trate de cuestiones técnicas u organizativas. Sin embargo, las cuestiones de fondo que sean esenciales a efectos de la legitimidad del tratamiento -como los datos que deban tratarse, la duración de su conservación, el acceso, etc.- deben ser determinadas por el responsable del tratamiento».

No cabe duda alguna de que Google Inc., que gestiona el motor de búsqueda Google Search, es responsable del tratamiento de datos, al determinar los fines, las condiciones y los medios del tratamiento de datos personales. No obstante, ello no implica que Google Inc. sea responsable del tratamiento en solitario, ya que no podemos olvidar que el citado artículo 2.d) de la Directiva 95/46/CE , alude a que la determinación de los fines y los medios del tratamiento de datos personales se puede hacer «sólo o conjuntamente con otros» , máxime si tenemos en cuenta, que «las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades» (apartado 56 de la Sentencia del TJUE de 13 de mayo de 2014 ).
A este respecto, en el Dictamen 1/2010 del GT29 se dice: «En el dictamen de la Comisión sobre la enmienda del PE, la Comisión menciona la posibilidad de que «varias partes determinen conjuntamente, para una única operación de tratamiento, los fines y los medios del tratamiento que se vaya a llevar a cabo» y, por lo tanto, en tal caso, «cada uno de estos corresponsables del tratamiento debe considerarse vinculado por las obligaciones impuestas por la Directiva de proteger a las personas físicas cuyos datos se estén tratando»» . Se añade que «la definición de tratamiento contenida en el artículo 2.b) de la Directiva no excluye la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales. Estas operaciones pueden producirse simultáneamente o en distintas fases». Y se concluye que «la participación de las partes en la determinación de los fines y los medios del tratamiento en el contexto del control conjunto puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales… Los distintos grados de control pueden dar lugar a distintos grados de responsabilidad, y desde luego no cabe presumir que haya una responsabilidad solidaria en todos los casos. Por lo demás, es muy posible que en sistemas complejos con varios agentes el acceso a datos personales y el ejercicio de otros derechos de los interesados también los puedan garantizar distintos agentes a diferentes niveles». Así las cosas, en la Sentencia del TJUE de 13 de mayo de 2014 se declara que «… el artículo 4, apartado 1, letra a), de la Directiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado «por» el propio establecimiento en cuestión, sino que se realice «en el marco de las actividades» de éste» (apartado 52). Además se añade que, «visto el objetivo de la Directiva 95/46 de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, ésta expresión no puede ser objeto de una interpretación restrictiva (véase, por analogía, la sentencia L’Oréal y otros, CEU:C:2011:474, apartados 62 y 63) (apartado 53).”
Explica la Sala que “por otro lado, y así se deduce de los apartados 55, 56 y 57 de la Sentencia de 13 de mayo de 2014 del TJUE , Google Spain, S.L. es un establecimiento del responsable del tratamiento de datos que se encuentra implicado en actividades relativas al tratamiento de datos personales, en cuanto que está destinado a la promoción y venta en España de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor, ya que constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades.

Además, afirma la Sentencia de 13 de mayo de 2014 del TJUE que la presentación de datos personales en una página de resultados de una búsqueda, constituye un tratamiento de dichos datos y concluye que, al encontrarse acompañada en la misma página de la presentación de publicidad vinculada a los términos de búsqueda, «es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de autos el territorio español » (apartado 57). En definitiva, la responsabilidad de Google Spain, S.L. en el tratamiento de datos personales llevado a cabo en el marco del servicio de búsqueda en internet ofrecido por Google Inc. -gestor del motor de búsqueda deriva de la unidad de negocio que conforman ambas sociedades, en la que la actividad desempeñada por Google Spain, S.L. resulta indispensable para el funcionamiento del motor de búsqueda, pues de aquella depende su rentabilidad. El concierto de ambas sociedades en la prestación de tal servicio a los internautas lo hace viable económicamente y posibilita su subsistencia.”
Por último se declara por la Sala de lo Contencioso que “carecería de lógica alguna excluir a Google Spain, S.L. de cualquier responsabilidad en el tratamiento de los datos personales que lleva a cabo Google Inc., tras afirmar que este tratamiento se sujeta al Derecho Comunitario precisamente por haberse llevado a cabo en el marco de las actividades de su establecimiento en España, del que es titular Google Spain, S.L., y más aún tras aceptar la relevancia de su participación en la actividad conjuntamente desempeñada por ambas, en relación con el funcionamiento del motor de búsqueda y el servicio que mediante el mismo se presta a los internautas, que conlleva el tratamiento de datos personales que nos ocupa. De no entenderse así se vería menoscabado el efecto útil de la Directiva 95/46/ CE y la protección directa y completa de las libertades y de los derechos fundamentales de las personas físicas, en particular el derecho a la intimidad, en lo que respecta al tratamiento de datos personales, que tiene por objeto garantizar, tal y como se desprende de su artículo 1 y de su considerando 10 (véanse apartados 53 , 58 y 66 st. TJUE). Resulta interesante poner de manifiesto en este momento lo que se recoge en las observaciones escritas de la Comisión Europea presentadas al Tribunal de Justicia de la Unión Europea en relación con la cuestión prejudicial planteada por esta Sala, en las que se lee que «de acuerdo con las afirmaciones de la propia Google en su página Web «Google data centers» la mayor parte de los ingresos de Google proceden de la publicidad de gran interés para los consumidores de internet que buscan sobre productos y servicios relacionados.”

WHITMAN ABOGADOS
www.whitmanabogados.com
Sede Central: Explanada de España nº 2, 1ºdcha. Alicante