julio 3

Google Spain condenada por intromisión ilegítima al usar de forma ilícita la imagen de una persona

En los procedimientos seguidos contra Google por el tratamiento y uso que hace de los datos de los usuarios, la multinacional norteamericana siempre ha mantenido que quien debe soportar la carga del procedimiento es Google Inc., con sede en Estados Unidos, defendiendo, en ocasiones hasta de forma numantina, que las diferentes sucursales que tiene a lo largo y ancho del mundo, como Google Spain, no tienen que responder ante las autoridades nacionales de los territorios correspondientes.

En este caso se discutía la responsabilidad de Google Spain por el tratamiento y publicación inconsentida de la imagen de una persona, cuya fotografía fue usada para crear un perfil falso en blogspot.com. Por ello, en el año 2009 se inició un proceso de tutela de derechos ante la Agencia de Protección de Datos contra Google Spain, S.L. que concluyó con una resolución instando a dicha entidad a que adoptara las medidas necesarias para que los datos del reclamante dejaran de publicarse.

Google recurrió dicha resolución de la Agencia, pero finalmente desistió del recurso aceptando la decisión. En ejecución de la misma, Google eliminó el perfil, pero la foto del demandante seguía siendo accesible desde una URL del dominio blogspot.com. Google no atendía los requerimientos que se le efectuaban, por lo que al final se presentó demanda por intromisión ilegítima frente a quien fue parte en el procedimiento administrativo, Google Spain, S.L.

El Juzgado que conoció el asunto estimó la falta de legitimación pasiva de Google Spain, considerando que tenía razón Google cuando sostenía que se debía haber demandado a Google Inc y no a Google Spain.

La Audiencia Provincial de Barcelona anula y deja sin efecto la sentencia dictada en primera instancia y declara la responsabilidad de Google Spain por la intromisión ilegítima que supone el uso de la imagen, condenando a cesar en el mismo. La Audiencia hace referencia al principio que prohíbe ir en contra de los actos propios y, dado que Google Spain desistió del recurso interpuesto frente a la resolución de la Agencia de Protección de Datos dictada en su contra, considera que debe desestimarse la excepción de falta de legitimación pasiva alegada por Google, pues de otra forma se estaría conculcando dicho principio.

En segundo lugar, y haciendo referencia a la última jurisprudencia europea y española, en relación con la afectación de derechos fundamentales como es el caso, acaba por concluir igualmente con el rechazo de la falta de legitimación pasiva y, por tanto, reconoce la responsabilidad de Google Spain en la intromisión ilegítima sufrida, condenando a Google a cesar en todo uso de la imagen del actor.

A continuación el texto de la sentencia.

AUDIENCIA PROVINCIAL

DE

BARCELONA

SECCIÓN UNDÉCIMA

ROLLO Nº 64/2017

PROC. ORDINARIO (DERECHO AL HONOR – 249.1.2) Nº 695/2015

JUZGADO PRIMERA INSTANCIA 9 GAVÀ

S E N T E N C I A Nº 322/2017

Ilmos. Sres.

Josep Maria Bachs Estany (Presidente)

Maria del Mar Alonso Martinez (Ponente)

Antonio Gomez Canal

En Barcelona, a veintiséis de junio de dos mil diecisiete.

VISTOS, en grado de apelación, ante la Sección Undécima de esta Audiencia Provincial, los presentes autos de Proc.Ordinario (Derecho al honor – 249.1.2), número 695/2015 seguidos por el Juzgado Primera Instancia 9 Gavà, a instancia de D./Dña. A contra GOOGLE SPAIN, S.L., siendo parte el Ministerio Fiscal los cuales penden ante esta Superioridad en virtud del recurso de apelación interpuesto por la parte actora, contra la Sentencia dictada en los mismos el día 25 de octubre de 2016, por el Sr/a. Juez del expresado Juzgado.

 

ANTECEDENTES DE HECHO

 PRIMERO.- La parte dispositiva de la Sentencia apelada es del tenor literal siguiente: “FALLO: Que desestimando íntegramente la demanda interpuesta por el Procurador Sr. Ros, actuando en nombre y representación de A, contra Google Spain SL, DEBO ABSOLVER y ABSUELVO al demandado de todos los pedimentos de la demanda.

Cada parte abonará sus costas y las comunes por mitad.”

 SEGUNDO.- Contra la anterior sentencia se interpuso recurso de apelación por GOOGLE SPAIN, S.L. [SIC] y dado el oportuno traslado a las demás partes se elevaron las actuaciones a esta Audiencia Provincial.

TERCERO.- Se señaló para votación y fallo el día 7 de junio de 2017.

CUARTO.- En el presente juicio se han observado y cumplido las prescripciones legales.

VISTO, siendo Ponente la Ilma. Magistrada Dña. Maria Del Mar Alonso Martínez.

 

FUNDAMENTOS DE DERECHO

Primero.- La actora recurre en apelación la sentencia de instancia, interesando la estimación de la demanda, en la que solicitó la declaración de haberse producido una intromisión ilegítima en los términos de los arts. 7 y 2 de la L.O. 1/1982 y la consiguiente responsabilidad civil de la demandada en los hechos que dejó descritos y la condena de ésta a cesar en todo uso de la imagen del instante, especialmente en la dirección o URL que detalla y a satisfacer la suma que se acuerde, en concepto de indemnización por la intromisión ilegítima sufrida, con expresa condena en las costas de ambas instancias a la demandada.

La demandada se opuso al recurso, interesando su desestimación y la confirmación de la resolución apelada, con expresa condena en las costas a la recurrente.

El Ministerio Fiscal presentó informe adhiriéndose al recurso.

Segundo.- Refiere la apelante que el objeto del procedimiento y del recurso es que la demandada cese en la publicación de una fotografía íntima y personal, accesible desde una página web que gestina a traves del servicio de ” blogspot” y que se determine si su actuación al demandar a Google Spain es correcta o si por el contrario, como consideró el Juzgado de instancia, tendría que haber demandado solo a Google Inc.

Valora la existencia de error en la valoración de la prueba cuando se refiere que la demandada en todo momento alegó su falta de legitimación, y considera que no fue así cuando en vía administrativa y contenciosa desistió del recurso, añadiendo que aceptada la resolución de la Agencia Española de Protección de datos, que dispuso instar a la ahora apelada para que adoptara las medidas necesarias para que los datos personales del reclamante, objeto del procedimiento no apareciesen, eliminó el perfil que se había creado , si bien no cesó de forma efectiva en el tratamiento de sus datos , en concreto de su imagen , que seguía siendo accesible desde páginas gestionadas por Google en la URL http: 4.bp.blogspot.com/…, por lo que le requirió para que cesara en el aludido tratamiento, no siendo atendido, lo que propició denuncia por incumplimiento ante la referida Agencia, que no fue atendida al referir que la imagen aparecía asociada al domino “moviespictures.org”, siendo esta decisión recurrida y desestimado el recurso.

Sigue exponiendo que el acceso a la fotografía desde España fue bloqueado.

En este orden de ideas considera que por el desestimiento se aceptó la obligación de adoptar las medidas necesarias para que sus datos personales no aparecieran, entre los que se encuentra su imagen, estando ante una actuación contra los actos propios, aludiendo además a la existencia de suspuestos en que Google Spain asume su condición de responsable del tratamiento.

Refiere también que deben sopesarse los derechos en liza, debiendo prevalecer sus derechos fundamentales sobre una estricta y formalista interpretación de las normas rituales y que si bien es cierto que la jurisprudencia o precedentes judiciales existentes no presentan una unívoca posición, debería prevalecer el criterior de la Sala de lo Civil del T.S. sobre el de la Sala de lo Contencioso -Administrativo.

Por todo ello entiende que debe estimarse el recurso y declararse la legitimación pasiva de la demandada.

TERCERO.- Según STS de 21 de abril de 2006 ,”el principio del derecho que prohíbe ir contra los actos propios encuentra apoyo legal en el artículo 7.1 del Código Civil ( LEG 1889, 27) y está actualmente sancionado en el artículo 111-8 de la Ley Primera del Código civil de Cataluña (LCAT 2003, 14). La jurisprudencia sobre este principio es muy abundante. Como resumen, se deben citar los requisitos que se han venido exigiendo para que pueda aplicarse este principio general, que son: a) que el acto que se pretenda combatir haya sido adoptado y realizado libremente; b) que exista un nexo causal entre el acto realizado y la incompatibilidad posterior; c) que el acto sea concluyente e indubitado, por ser «expresión de un consentimiento dirigido a crear, modificar y extinguir algún derecho generando una situación desacorde con la posterior conducta del sujeto» ( sentencias de 21 de febrero de 1997 [ RJ 1997, 1906] ; 16 febrero 1998 [ RJ 1998, 868] ; 9 mayo 2000 [ RJ 2000, 3194] ; 21 mayo 2001 [ RJ 2001, 3870] ; 22 octubre 2002 [ RJ 2002, 8777] y 13 marzo 2003 [ RJ 2003, 2582], entre muchas otras). Significa, en definitiva, que quien crea en una persona una confianza en una determinada situación aparente y la induce por ello a obrar en un determinado sentido, sobre la base en la que ha confiado, no puede además pretender que aquella situación era ficticia y que lo que debe prevalecer es la situación real.”

A la vista de lo actuado ha de considerarse que efectivamente la oposición de la demandada, circunscrita a su falta de legtimación pasiva sí constituye una actuación en contra de sus actos propios, pues si bien, en procedimiento seguido ante la Agencia Española de Protección de Datos, la ahora apelada opuso que no era ni responsable ni la encargada de la prestación del servicio, señalando a Google Inc, e interpuso recurso contencioso-administrativo contra la resolución que se dictó, no puede obviarse que posteriormente desistió del mismo y tal acto, con independencia de la motivación propia que lo propiciara, constituye una clara manifestación unilateral de conformidad con la resolución que hasta ese momento se apelaba, que pasa a ser firme , sin haber aceptado su tesis.

Ello ya determinaría la pertinencia de estimar el recurso y la apelación, sopena de incurrir en actuación contraria al principio referido.

CUARTO.- Sentado lo anterior debe valorarse si se comparte el criterio de la resolución apelada, en cuanto estima la excepción de falta de legitimación o si por el contrario se entiende que no existe la misma y a la vista de lo actuado esta cuestión debe resolverse en sentido negativo, considerando lo expuesto por el T.S. en Sentencia de 05/04/2016, en la que se refiere que Google Spain esta legitimada pasivamente, en un proceso de protección de derechos fundamentales, pues tiene, a estos efectos, la consideración de responsable en España del tratamiento de datos realizado por el buscador de Gooble, señalando además “… La razón por la que el TJUE considera aplicable la normativa comunitaria europea sobre protección de datos fue, en opinión de ésta Sala , que Google Spain podía ser considerada como responsable del tratamiento, entendiendo este concepto en un sentido amplio acorde con la finalidad de la Directiva”…” Google Spain se dedica al ejercicio efectivo y real de una actividad mediante una instalación estable en España . Además, al estar dotada de personalidad jurídica propia, es de este modo una filial de Google Inc, en territorio español , y , por lo tanto , un establecimiento en el sentido del art. 4 , apartado 1, letra a) de la Directiva (apartado 49).”

En línea con lo anterior sigue exponiendo que una solución como la propuesta por Google Spain, basada en un concepto estricto de “responsable del tratamiento”, que lleva a considerar que la única legitimada pasivamente para ser demandada en un proceso de protección de derechos fundamentales por la vulneración causada por el tratamiento de datos que realiza el buscador Google es la sociedad matriz , Google Inc, sociedad de nacionalidad norteamericana con domicilio social en California, supondría frustrar en la práctica el objetivo de ” garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas…” Añadiendo que … ” los sujetos protegidos por la normativa sobre protección de datos son las personas físicas ( art. 1 y 2.a de la Directiva ). El efecto útil de la normativa comunitaria se debilitaría enormemente si los afectados hubieran de averiguar, dentro del grupo empresarial titular de un motor de búsqueda, cúal es la función concreta de cada una de las sociedades que lo componen, lo que en ocasiones, constituye incluso un secreto empresarial y en todo caso, no es un dato accesible al público en general. También se debiltaría el efecto útil de la Directiva si se diera trascendencia, en el sentido que pretende la recurrente Google Spain, a la personificación jurídica que el responsable del tratamiento de datos diera a sus establecimientos en los distintos Estados miembros, obligando de éste modo a los efectos a litigar contra sociedades situadas en un país extranjero . ” … ” En definitiva , de aceptar la tesis de la recurrente y circunscribir la legitimación pasiva a la compañía norteamericana Gooble Inc, se daría el contrasentido de que estaríamos otorgando a la normativa sobre tratamiento de datos personales una finalidad teórica de protección muy elevada de los derechos de la personalidad de los afectados por el tratamiento y emplearíamos unos criterios muy amplios para fijar su ámbito de aplicación territorial…”

No puede obviarse tampoco que la expresada Sentencia, con referencia al TJUE expone que ” las actividades del gestor del motor de búsqueda, Google Inc y las de su establecimiento en España, Google Spain, con relación al funcionamiento del buscador Google Search, en su versión española alojada en la página web www.google.es están indisociablemente ligadas, pues la primera no sería posible sin la segunda, que le aporta los recursos económicos y la presentación de resultados de la búsqueda, consecuencia del tratamiento automatizado de datos personales, viene acompañada de la presentación de publicidad vinculada a los términos de búsqueda introducidos por los internatuas, cuya contratación es promovida por Google Spain. “

Como ya se señala en la resolución de la Agencia Española de Protección de Datos, el TJUE en Sentencia de 06/77/2003 determinó que la conducta que consiste en hacer referencia en una página web a diversas personas e identificarlas por su nombre o por otros medios, constituye un tratamiento total o parcialmente de datos personales.

Es lo expuesto y la interdependencia y vinculación existente entre ambas sociedades, así como la facilidad de la demandada para cumplir la resolución de la mentada agencia, lo que conduce a estimar la ausencia de la excepción de legitimación pasiva.

En consecuencia debe estimarse la demanda en cuanto a las pretensiones iniciales, sin que proceda la condena a la satisfacción de suma alguna, en concepto de Indemnización por la ilegítima intromisión, al no existir prueba que conduzca a cuantificar de forma razonable y racional aquel importe, no constando concretos perjuicios o inconvenientes motivados al apelante.

QUINTO .- Estimada la apelación parcialmente no procede expresa imposición de las costas originadas en ésta alzada, conforme al contenido del art. 398 de la L.E.C. en relación con el art. 394 del mismo cuerpo legal.

Vistos los preceptos legales citados y demás de general y pertinente aplicación

 

FALLAMOS

Que estimando parcialmente el recurso de apelación interpuesto por A contra la sentencia dictada en fecha 25 de octubre de 2016 por el Juzgado de Primera Instancia nº 9 de Gavà, en los autos de que el presente rollo dimana, debemos revocar y revocamos la misma, estimando parcialmente la demanda y declarando que se ha producido una intromisión ilegítima en los términos de los arts. 7 y 2 de la L.O. 1/1982 , condenando a la demandada a cesar en todo uso de la imagen del actor, especialmente en la dirección o URL, http: //4.bp. blogspot.com/…, sin expresa imposición de las costas causadas por el recurso de apelación.

Notifíquese la presente resolución a las partes haciéndoles saber que contra la misma no cabe recurso ordinario, con devolución del depósito en su caso consignado al recurrente.

Inclúyase en el libro de resoluciones definitivas dejando testimonio en el rollo de su razón procediendo seguidamente a la devolución de las actuaciones al juzgado con certificación de la presente para que cumpla lo ordenado.

Así por esta nuestra sentencia, juzgando de manera definitiva en segunda instancia, lo pronunciamos y firmamos.

J.M. Bachs. M. Alonso. A. Gómez. Rubricado.

PUBLICACION.- Leída y publicada ha sido la anterior sentencia en el mismo día de su fecha, por el Ilmo/a. Sr/a. Magistrado/a Ponente, celebrando audiencia pública. DOY FE.

Y para que así conste y su unión al rollo, expido la presente en Barcelona, a veintiseis de junio de dos mil diecisiete.

octubre 7

Las consecuencias de la sentencia Schrems sobre el modelo “safe harbor” de protección de datos

La reciente Sentencia del TSJUE dictada en el caso Schrems y la nota de prensa que la precedió han dado lugar a un vivo debate. Aquí intentaremos desgranar el caso y apuntar las eventuales consecuencias prácticas que pudiera generar, especialmente a las empresas españolas.

En primer lugar, analicemos el conflicto. El Sr. Maximillian Schrems, ciudadano austriaco, basándose en las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»), sostenía que debía comprobarse, por parte del equivalente a la Agencia Española de Protección de Datos, si las empresas incluidas en el sistema denominado “safe harbor” (puerto seguro) de EE.UU. de manera efectiva satisfacían los requisitos que impone la normativa europea de protección de datos.

Es decir, el principal conflicto residía en determinar si las autoridades nacionales europeas se encuentran facultadas para comprobar el cumplimiento de su normativa nacional y comunitaria sobre protección de datos. En un primer momento, dicha petición le fue denegada basándose en la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000 que daba carta de naturaleza al diseñado modelo “safe harbor”, objeto de un extenso y actual análisis en este trabajo enlazado. En este punto el Tribunal es claro y tajante: “una decisión de esa naturaleza no puede dejar sin efecto ni limitar las facultades expresamente reconocidas a las autoridades nacionales de control”, de forma que “toda autoridad nacional de control está investida, por tanto, de la competencia para comprobar si una transferencia de datos personales desde el Estado miembro de esa autoridad hacia un tercer país respeta las exigencias establecidas por la Directiva 95/46. “

Así, el hecho de la que Comisión haya “validado” el modelo “safe harbor” estadounidense, no impide que una autoridad nacional, como la Agencia de Protección de Datos, efectúe las labores de comprobación que considere pertinentes.

Pero la sentencia no se queda solamente en eso, va más allá, pues entra a analizar la validez de la Decisión de la Comisión sobre el “puerto seguro” estadounidense, para subrayar que en dicha Decisión, la Comisión no comprobó si se garantizaba el cumplimiento de la normativa europea, sino que simplemente se limita a analizar el régimen de puerto seguro. El tribunal europeo, sin entrar a analizar si el régimen concreto de puerto seguro cumple la normativa europea, constata que, en cualquier caso, las empresas norteamericanas están obligadas a dejar de aplicar el régimen del puerto seguro ante las autoridades públicas estadounidenses, por lo que todas las eventuales previsiones de este régimen quedarían en papel mojado. Además, si esta decisión supone privar a las autoridades nacionales de las facultades de control que le corresponden, el tribunal considera que la Comisión carecía de competencia para restringir de ese modo las facultades de las autoridades nacionales de control, por lo que acaba declarando inválida la Decisión de la Comisión, tal y como ha destacado la Agencia Española de Protección de Datos.

Y ahora las consecuencias de esta decisión. De un lado, los ciudadanos europeos, como el Sr. Schrems, podrán exigir de sus respectivas Agencias de Protección de Datos que se compruebe si en su caso concreto se respeta la normativa y, en su caso, instar la suspensión de la transferencia de datos. En este sentido la Agencia Española de Protección de Datos ha indicado que “las Autoridades europeas de protección de datos, que ya observaron deficiencias en el Puerto Seguro y las plasmaron en varias cartas y dictámenes, han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo, garantizando una aplicación consistente de la misma en todos los países de la UE.”

Y en relación con las empresas españolas que pudieran estar afectadas por mantener flujos de datos con empresas estadounidenses, hay que tener en cuenta que esta sentencia no implica que se prohíban por completo las transferencias de datos a los Estados Unidos, sino que esos flujos, si no nos encontramos en uno de los supuestos de excepción previstos, requerirán autorización del Director de la Agencia Española de Protección de Datos. Es preciso destacar en cualquier caso que el incumplimiento del régimen sobre transferencias internacionales de datos es considerado una infracción muy grave sancionable con multa de hasta 600.000 Euros), por lo que hay que andarse con ojo.

Para entender las consecuencias prácticas, pensemos en una tienda online que tiene contratado con una norteamericana el alojamiento, pasarela de pago o cualquier servicio similar que implique el acceso o tratamiento de datos. Sería la figura del encargado del tratamiento. De entrada, habría que tener un contrato, análogo a cualquier encargado del tratamiento que actuara en el mercado español o europeo y cumplir las previsiones relativas a esta figura que contiene nuestro ordenamiento. Pero en lo que se refiere a las acciones que se deben tomar en relación con la transferencia internacional, si no se quiere cambiar de proveedor de servicios, habría dos opciones. La primera es solicitar autorización al Director de la Agencia. La segunda, mucho más cómoda, es ver si resulta aplicable alguna de las excepciones que prevé la normativa. Las más socorridas son las siguientes:

– Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

– Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

– Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

De las tres, las dos últimas, en mayor medida que la primera, contienen conceptos un tanto indeterminados, susceptibles de interpretaciones diversas y potencialmente conflictivos. Por tanto, la más utilizada es la primera: recabar el consentimiento del usuario. Dado que para tratar sus datos es preciso obtener su consentimiento, habría que incluir en ese párrafo de la política de privacidad una referencia a que el usuario también consiente esa transferencia internacional. El detalle de los datos a proporcionar al usuario sería un debate aparte.

Incluso podría irse más allá y poner de manifiesto, ya en la política de privacidad, en caso de ser así, que dicha transferencia es necesaria para la ejecución de la relación que se entabla con el usuario, recabando en todo caso su consentimiento para ello.

Pero hay empresas que pueden verse implicadas en las transferencias que no mantienen contacto con las personas cuyos datos son objeto de tratamiento. Pensemos, por ejemplo, en una empresa de hosting que tiene contratado un servicio de copias de seguridad de las webs de sus clientes en Estados Unidos (subencargado del tratamiento). En este caso, la empresa de hosting debería informar en el contrato con sus clientes sobre los servicios que son objeto de subcontratación y ahí es donde habría que hacer referencia a que esos servicios implican una transferencia internacional de datos y que será responsabilidad del cliente cumplir la normativa correspondiente, procediendo, en caso de ser necesario, a recabar el consentimiento de sus usuarios.

En resumen, revisar la política de privacidad y los contratos con clientes y proveedores.

Pero no siempre será posible acudir a estos supuestos de excepción, en cuyo caso habrá que solicitar la autorización del Director de la Agencia Española de Protección de Datos.

En cualquier caso, habrá que estar pendiente de las labores de coordinación anunciadas por las autoridades nacionales de control que irán dando más detalles sobre el régimen de aplicación.