07 abril 2016
Derecho al olvido y buscadores: ¿ante quién se ejercita?, ¿quién responde?
Por José Luis Piñar Mañas, abogado y catedrático de Derecho Administrativo
La Sentencia de la Sala de lo Contencioso-Administrativo, Sección Sexta, del Tribunal Supremo, de 14 de marzo de 2016 ha concluido que Google Spain S.L. carece de legitimación pasiva y en consecuencias no tiene la consideración de responsable del fichero o tratamiento a efectos de ejercer ante ella el llamado derecho al olvido frente al motor de búsqueda que gestiona Google Inc. Es decir, quien debe atender tal derecho es la central de Mountain View, en Estados Unidos, no la filial española. El Tribunal Supremo revoca de este modo la Sentencia de la Audiencia Nacional de 29 de diciembre de 2014, dictada en el recurso 69/2012. Sin embargo, la Sentencia de la Sala de lo Civil del Tribunal Supremo, constituida en Pleno, de 5 de abril de 2016, considera que la filial española puede ser demandada en un proceso civil de protección de derechos fundamentales pues tiene, a estos efectos, la consideración de responsable en España del tratamiento de datos realizado por el buscador Google.
Cuando el Tribunal de Justicia de la Unión Europea dictó su capital, incluso histórica, Sentencia de 13 de mayo de 2014, asunto C-131/12, Google Spain y Google Inc. vs. Agencia Española de Protección de Datos y Mario Costeja González, colocó de un día para otro la protección de datos en la agenda de las grandes multinacionales y dotó al derecho fundamental a la protección de datos personales de una fuerza y protagonismo que no había tenido o conocido hasta entonces, no ya a nivel europeo, sino, literalmente, mundial.
Como es de sobra conocido, el Tribunal de Justicia falló, por un lado (primero), que el derecho europeo sobre protección de datos y, en este caso, el derecho nacional español, se aplican a una empresa que, si bien ubicada en Estados Unidos, cuenta con una filial en territorio español que lleva a cabo una actividad económica que directa o indirectamente tiene relación con el motor de búsqueda. Por primera vez, por tanto, el Tribunal afirma la aplicación extraterritorial de la Directiva de Protección de Datos a una empresa radicada fuera de la Unión Europea y del Espacio Económico Europeo.
Por otra parte (segundo) el Tribunal considera que la actividad que lleva a cabo el buscador constituye un tratamiento de datos personales, de modo que se le aplican todos los principios de protección de datos, así como los deberes de los responsables, entre los que se encuentra el de atender las peticiones que los titulares de los datos hagan en ejercicio de sus derechos de acceso, rectificación, cancelación y oposición. En consecuencia, el buscador, en nuestro caso Google, como responsable del tratamiento de los datos, debe atender los requerimientos que los afectados le hagan para que se eliminen –se desindexen- del buscador los resultados de la búsqueda cuando ésta se haga tomando el nombre de la persona como criterio para ello.
Pero, en fin (tercero), el Tribunal dejó claro que el derecho a la desindexación no es absoluto, sino que debe ponerse en relación con otros derechos tales como el derecho a la libertad de información y expresión, lo que exige que deba hacerse, antes de tomar la decisión, una ponderación entre los derechos afectados, al objeto de que se haga prevalecer el que en cada caso se considere preminente. Ponderación que corresponde al gestor del motor de búsqueda en cuanto responsable del tratamiento, sin perjuicio de la tutela y control que posteriormente corresponden a la Agencia de Protección de Datos y en última instancia a los Tribunales.
La revolución que la Sentencia del Tribunal de Justicia ha supuesto es incuestionable. Además lo ha hecho en base a la interpretación, no sólo de la Directiva 95/46/CE, sobre protección de datos, sino de los artículos 7 (derecho a la intimidad) y 8 (derecho a la protección de datos) de la Carta Europea de Derechos Humanos. Es decir, ha fijado la interpretación constitucional del alcance y límites de tales derechos.
ALCANCE DE LA ELIMINACIÓN DE CONTENIDOS:TJUE
Dicho esto, lo cierto es que la reiterada Sentencia de mayo de 2014 no sólo ha consolidado puntos esenciales de la protección de datos, sino que también ha abierto no pocas vías de debate que tienen un largo recorrido. Una de ellas es la de la extensión y alcance de la eliminación de contenidos. El Tribunal de Justicia recuerda que el gestor de un motor de búsqueda, “como persona que determina los fines y los medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que dicha actividad satisface las exigencias de la Directiva 95/46 para que las garantías establecidas en ella puedan tener pleno efecto y pueda llevarse a cabo una protección eficaz y completa de los interesados, en particular, de su derecho al respeto de la vida privada” (apartado 38). No se pronuncia sin embargo de forma expresa acerca de si la eliminación de los contenidos debe extenderse también a la búsqueda efectuada desde los dominios “.com” o sólo a los dominios europeos (.fr; .es; .de etc.).
El llamado Advisory Council to Google on the Right to be Forgotten, del que tuve el honor de formar parte, consideró que, en base al principio de proporcionalidad y teniendo en cuenta la aplicación territorial de las normas y el posible interés de los internautas que operen fuera del territorio de la Unión Europea, la Sentencia debía considerarse cumplida si la eliminación de contenidos se refería a los dominios europeos (https://drive.google.com/file/d/0B1UgZshetMd4cEI3SjlvV0hNbDA/view; pág. 22 del Report).
Por su parte, el Grupo Europeo de Autoridades de Protección de Datos, el llamado Grupo del Artículo 29, mantiene una postura diferente en las Directrices que dirigió a las autoridades de protección de datos para la aplicación de la Sentencia, aprobadas el 26 de noviembre de 2014 (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp225_en.pdf). Considera en efecto que al objeto de hacer plenamente efectivos los derechos de los afectados no puede limitarse la desindexación a los dominios europeos sino que debe extenderse también al dominio “.com” (pág. 3 de las Directrices).
Por mi parte entiendo que extender la obligación de eliminar contenidos a dominios no europeos (o del EEE) supone una extralimitación en la interpretación de la Sentencia, pues en definitiva se estaría imponiendo más allá de aquéllos límites territoriales una interpretación de la relación existente entre derechos fundamentales (protección de datos y libertad de expresión sobre todo) que no tiene por qué ser la vigente en otros países. Hay que decir que en enero de 2016 Google ha extendido la eliminación de contenidos a todos los dominios cuando la búsqueda se hace desde el país del reclamante del derecho al olvido (vid. la información, por ejemplo, en http://www.theguardian.com/technology/2016/feb/11/google-extend-right-to-be-forgotten-googlecom). Sin embargo la Commission Nationale de l’Informatique et des Libertés (CNIL), autoridad francesa de protección de datos, acaba de exigir a los buscadores y en particular a Google, que eliminen la información de todos los dominios del buscador, incluido el dominio “.com”, al objeto de hacer plenamente efectivo el derecho de las “personas físicas residentes en Francia”, incluso si ello supone entrar “en conflicto con los derechos extranjeros” Decisión nº 2016-054, de 10 de marzo de 2016, por la que se impone una multa de 100.000 € a Google Inc., al no haber atendido el requerimiento previo de la CNIL de extender la desindexación a todos los dominios del buscador: https://www.cnil.fr/sites/default/files/atoms/files/d2016-054_sanction_google.pdf).
Otras de las vías abiertas por la Sentencia tienen un alcance más técnico pero con consecuencias de un calado incuestionable. Entre ellas, como ya he señalado en otras ocasiones, la duda que plantea el hecho de poder ejercer o no el derecho a la desindexación en caso de que el criterio de búsqueda no se base en el nombre de una persona física sino en otro que sin embargo identifique indubitadamente a una persona. O la habilitación que legitime la cesión de datos que se produce entre los editores de las páginas web y los buscadores, que no es otra cosa que una cesión de datos personales entre dos responsables, que necesita de una habilitación para ser legítima, sin que el consentimiento del afectado parezca serlo, pues no cabe duda de que no es para nada usual que quienes aparecen en páginas web hayan otorgado su consentimiento inequívoco para que sus datos personales sean indexados; ni siquiera el interés legítimo del responsable (de los gestores de los motores de búsqueda) a que se refiere el artículo 7.f) de la Directiva puede considerarse título habilitante en todo caso, tal como se advierte de alguna manera en el epígrafe 74 de la Sentencia de 13 de mayo de 2014. Tampoco queda claro que en ningún caso el buscador pueda notificar al editor la desindexación de las páginas web eliminadas (incluso se considera que en algunas ocasiones el primero debería consultar al segundo con carácter previo a la eliminación de cierta información, como ha señalado el Grupo del Artículo 29 en la Opinión que antes he citado).
SENTENCIA DEL TRIBUNAL SUPREMO DE 14 DE MARZO
Pues bien, la Sentencia del Tribunal Supremo de 14 de marzo de 2016 a la que me refería al principio de estas líneas se ha enfrentado a un tema de primer orden en lo que al régimen del derecho al olvido se refiere. Para comprender el alcance de la Sentencia debemos partir del hecho de que la Agencia Española de Protección de Datos (AEPD) venía exigiendo a Google Spain, S.L., que, como responsable del tratamiento, atendiese las solicitudes de eliminación de contenidos del buscador que se le presentasen.
Las reclamaciones de tutela de derechos (en particular del derecho de cancelación y/o derecho de oposición) presentadas ante la Agencia por numerosas personas frente a Google (a veces sólo Google Spain, a veces también frente a Google Inc.) dieron lugar a otras tantas resoluciones de la AEPD requiriendo al buscador a atender el derecho. No conforme con tales resoluciones, la empresa recurrió ante la Audiencia Nacional. Los recursos interpuestos por Google fueron igualmente numerosos y en el marco de uno de ellos, el que afectaba a Mario Costeja, la Audiencia planteó cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea, que se resolvió mediante la Sentencia que ya conocemos de 13 de marzo de 2014.
En dicha Sentencia el Tribunal de Justicia apuntó que, en aplicación del artículo 4.1.d) de la Directiva 95/46/CE, al contar el responsable del tratamiento (Google Inc) con un establecimiento en España (Google Spain) que lleva a cabo una actividad (siquiera sea comercial) que guarda relación con el motor de búsqueda, debe concluirse que tanto la Directiva como la Ley Orgánica de Protección de Datos se aplican a Google Inc. Y en consecuencia ésta debe atender las peticiones de eliminación de resultados que, tomando el nombre y apellido de una persona física como criterio de búsqueda, se le presenten.
Tras la Sentencia, tanto la AEPD como la Audiencia Nacional consideraron que no sólo Google Inc, sino también Google Spain debía atender los requerimientos de desindexación. Y aquí es donde se centra la controversia que ha resuelto el Tribunal Supremo en su reciente sentencia de 14 de marzo de este año 2016. La Sentencia es fruto del recurso de casación que Google Spain presentó contra la de la Audiencia Nacional de 29 de diciembre de 2014, como antes vimos. La Audiencia había resuelto a su vez un recurso interpuesto por Google Spain contra una resolución de la AEPD de 13 de diciembre de 2011 por la que requiere a Google Spain, como representante en España de Google Inc., a que adopte y realice las gestiones necesarias en orden a la exclusión de los datos personales del interesado contenidos en dos blogs anónimos incluidos en el sitio web http://www.blogspot.com del que es responsable el propio buscador Google.
En su resolución, en particular, la Agencia dispone que Google Spain “debió proceder a la exclusión de las informaciones contenidas en el foro relativas al reclamante y a impedir la captación por el buscador”. Por su parte Google Spain, en lo que ahora nos interesa, señaló en su escrito de demanda ante la Audiencia que ni era responsable del buscador ni representante de Google Inc. y que sencillamente se dedica a la gestión de publicidad, de modo que no es más que un mero agente de los servicios publicitarios de Google Inc, que es quien tiene la consideración de responsable del tratamiento.
AUDIENCIA NACIONAL Y LA DOCTRINA DE LOS ACTOS PROPIOS
La Audiencia Nacional –repito que en lo que ahora nos interesa- afirmó que “la responsabilidad de Google Spain, S.L. en el tratamiento de datos personales llevado a cabo en el marco del servicio de búsqueda en internet ofrecido por Google Inc. -gestor del motor de búsqueda- deriva de la unidad de negocio que conforman ambas sociedades… Carecería de lógica alguna excluir a Google Spain, S.L. de cualquier responsabilidad en el tratamiento de los datos personales que lleva a cabo Google Inc., tras afirmar que este tratamiento se sujeta al Derecho Comunitario precisamente por haberse llevado a cabo en el marco de las actividades de su establecimiento en España, del que es titular Google Spain, S.L., …..De no entenderse así se vería menoscabado el efecto útil de la Directiva 95/46/ CE y la protección directa y completa de las libertades y de los derechos fundamentales de las personas físicas, en particular el derecho a la intimidad, en lo que respecta al tratamiento de datos personales” (Fundamento Jurídico Séptimo).
Además –sigue la Audiencia- Google Spain ha actuado en numerosas ocasiones como si fuera responsable del tratamiento en otros tantos procedimientos de tutela de derechos ante la propia AEPD, lo que lleva a la aplicación de la doctrina de los actos propios. En fin, la Audiencia tampoco atiende la alegación de Google Spain de carecer de los medios necesarios para cumplir por sí misma la obligación impuesta por la AEPD – eliminación del índice de resultados proporcionado por el buscador de determinados enlaces-, pues “hay que tener en cuenta que la unidad material y funcional que conforma con Google Inc. conlleva su responsabilidad en el cumplimiento de la obligación, trasladándola al gestor del motor de búsqueda y contribuyendo a su realización, dada la relevancia de su participación en el funcionamiento del servicio de búsqueda en Internet que se ofrece a los internautas. De hecho, así se ha venido a reconocer, en el caso que nos ocupa, por Google Spain, S.L. que ha procedido al bloqueo provisional de resultados de la consulta a nombre del reclamante” (Fundamento Jurídico Séptimo).
Hay otras alegaciones y argumentos de enorme interés en la Sentencia de la Audiencia, pero desviarían ahora nuestra atención de la cuestión principal que quiero resaltar: si Google Spain es o no responsable del tratamiento a efectos de atender el llamado derecho al olvido, o si por el contrario esta consideración solo la tiene Google Inc y por tanto es a ella a quien corresponde eliminar la información del buscador. La Audiencia, como acabamos de ver, se inclina por considerar a ambas compañías como una suerte de corresponsables y concluye que la primera debe atender el derecho. La Sala Tercera del Tribunal Supremo, sin embargo, mantiene otra opinión (distinta de la que acaba de sustentar la Sala Primera, como ya adelanté al principio y de inmediato veremos).
RESPONSABLE DEL TRATAMIENTO Y SOLICITUD DE CANCELACIÓN
No voy a entrar ahora en los argumentos que utiliza la Sala Tercera del Supremo en contra de la aplicación de la doctrina de los actos propios por parte de la Audiencia. Voy a centrarme en la construcción que hace para concluir que Google Spain no tiene la consideración de responsable del tratamiento y por tanto no tiene la obligación de atender las solicitudes de cancelación que se presenten contra el buscador.
Ante todo debe señalarse que en la base de la doctrina de la Sala Tercera se encuentra la distinción que debe hacerse entre la posición que corresponde a Google Spain para justificar la aplicación a Google Inc de la Directiva sobre protección de datos y de la LOPD y la que le corresponde, o no, en cuanto responsable del tratamiento. Nada hay que objetar en cuanto a la primera cuestión.
En efecto, la Sala reitera, como no puede ser de otro modo, la postura del TJUE respecto a la conexión existente entre la actividad comercial que lleva a cabo Google Spain y el desarrollo (la financiación) del motor de búsqueda que gestiona Google Inc. Lo que lleva a la conclusión, ya de sobra conocida, de que ésta ha de cumplir con lo que exigen y establecen tanto la Directiva 95/46/CE como la LOPD. Ahora bien, esto no ha de llevarnos a concluir que Google Spain tiene también por ello la consideración de responsable del tratamiento en que consiste el motor de búsqueda.
La Sala de lo Contencioso del Supremo (sobre todo en el Fundamento Jurídico Séptimo de su Sentencia) lleva a cabo un detenido análisis del concepto de responsable del tratamiento, tanto en el derecho comunitario como en el nacional, y recuerda que el responsable es quien determina los fines, las condiciones y los medios del tratamiento de datos personales (art. 2.d) de la Directiva, y art. 3.d) de la LOPD). Recuerda lo que el Grupo del Articulo 29 analiza en el Dictamen 1/2010 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento», de 16 de febrero de 2010 (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2010/wp169_es.pdf) y concluye que “la caracterización como responsable del tratamiento de datos, frente a la intervención de otros agentes, viene delimitada por la efectiva participación en la determinación de los fines y medios del tratamiento, o dicho de otro modo, que la identificación del responsable del tratamiento exige una valoración fáctica acerca de su efectiva intervención en esos concretos aspectos de fijación de fines y medios del tratamiento, para lo cual es preciso establecer, en primer lugar, cual es la actividad de tratamiento de que se trata”.
Dicho esto, comparte con el TJUE la idea de que Google Inc es responsable, como gestor del motor de búsqueda, del tratamiento, y coincide también con lo que afirma en este punto la Audiencia Nacional. Pero de inmediato advierte que “La controversia se produce cuando la sentencia [de la AN] añade que, además, existe una corresponsabilidad de Google Spain S.L. y ello en razón de la unidad de negocio que conforman ambas sociedades”. Cierto que de acuerdo a la Directiva y a la LOPD es posible la existencia de varios responsables de tratamiento, pero, señala la Sala: “Por lo tanto, no estableciéndose la responsabilidad solidaria y haciéndose cargo cada corresponsable de las obligaciones correspondientes a su participación, al que debe exigirse su cumplimiento, es preciso determinar y acreditar en cada caso la existencia y el alcance de la participación de cada uno en la determinación de los fines y medios del tratamiento para que pueda hablarse de corresponsabilidad, lo que en modo alguno se ha producido en este caso respecto de Google Spain y que como, ya hemos indicado, no puede fundarse en la vinculación mercantil o empresarial que existe entre Google Inc. y Google Spain, S.L., que es lo que en definitiva sostiene la sentencia recurrida, pues la coparticipación, desde su propia definición semántica como “acción de participar a la vez con otro en algo”, alude a la idea de participación conjunta en algún resultado o acción, lo que en este caso comportaría que tanto Google Inc. como Google Spain, S.L., concurrieran en la tarea de determinar los fines y medios del motor de búsqueda. Sin embargo, no es esto lo que sucede en este caso, pues claramente se nos dice que es Google Inc. quien gestiona el motor de búsqueda -Google Search-, sin que en ningún caso se evidencie participación alguna en ese cometido de Google Spain, S.L., cuya actividad es la propia de un establecimiento (filial o sucursal) de aquélla que se limita a la promoción y venta en España de los espacios publicitarios del motor de búsqueda, y en este sentido constituye una actividad conexa o vinculada económicamente a la de su matriz, pero de distinta naturaleza a la determinación de fines o medios del tratamiento. Y es que no debe identificarse ni confundirse la determinación de los fines y medios del tratamiento, que caracteriza la condición de responsable, con una actividad de colaboración en la consecución de sus objetivos, que en el Dictamen 1/2010 se identifica genéricamente como actividad de otros agentes. De ahí que solo Google Inc. es la responsable del tratamiento pues a ella corresponde en exclusiva la determinación de los fines, las condiciones y los medios del tratamiento de datos personales”.
La conclusión no puede ser otra que la estimación del recurso y, en lo que ahora nos interesa, que el derecho de cancelación u oposición frente al buscador debe ser atendido por el responsable, es decir, por Google Inc.
Hay que decir que la Sentencia no afecta al modo en que el derecho de cancelación puede ser ejercido por los interesados frente a Google, pues continúa operativo el procedimiento que la propia multinacional ha articulado (impreso o formulario disponible en su web) y, lo que es más importante, dado que la STJUE concluyó que Google Inc está sujeto tanto a la Directiva como a la LOPD, los afectados, en caso de no ver atendido su derecho, podrán presentar una reclamación de tutela de sus derechos ante la AEPD (en este sentido vid la información que la propia Agencia facilita en su web: https://www.agpd.es/portalwebAGPD/noticias-inicio/news/2016_03_15-ides-idphp.php)
SENTENCIA DEL TRIBUNAL SUPREMO DE 5 DE ABRIL
Dicho lo anterior, resulta que el propio Tribunal Supremo, pero esta vez la Sala Primera constituida en Pleno, ha considerado en su Sentencia de 5 de abril de 2016, que Google Spain sí tiene legitimación pasiva a efectos de ser considerada responsable del tratamiento en orden a poder exigir una indemnización por violación del derecho al honor, a la intimidad y a la protección frente al tratamiento automatizado de los datos de carácter personal.
La solución a la que llega en este caso el Supremo es, pues, diferente. La propia Sala Primera considera que su criterio es distinto que el de la Sala Tercera, pero advierte que las sentencias de ésta “no tienen efecto prejudicial respecto de la resolución que haya de adoptarse en el presente recurso. Debe recordarse la existencia de distintos criterios rectores en las distintas jurisdicciones, por la diversidad de las normativas que con carácter principal se aplican por unas y otras”.
A partir de aquí la Sala Primera lleva a cabo su propia interpretación de la STJUE de 13 de mayo de 2014 y para ello parte de una interpretación mucho más amplia de responsable del tratamiento que la que acoge la Sala Tercera. Se basa en lo que el Tribunal de Justicia mantiene (en los apartado 51 y ss. de su Sentencia) para concluir que Google Inc. está sujeto a la normativa europea y nacional sobre protección de datos: “Dado que la propia presentación de datos personales en una página de resultados de una búsqueda constituye un tratamiento de tales datos, y toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, el TJUE consideró obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de Google Spain, el territorio español (apartado 57 [de la STJUE])”.
Y concluye la Sala: “siendo cierto que Google Inc, en tanto que gestor del motor de búsqueda Google Search, es responsable del tratamiento de datos, y así lo declara la STJUE …., también lo es que Google Spain puede ser considerada, en un sentido amplio, como responsable del tratamiento de datos que realiza el buscador Google Search en su versión española (www.google.es), conjuntamente con su matriz Google Inc y, por tanto, está legitimada pasivamente para ser parte demandada en los litigios seguidos en España en que los afectados ejerciten en un proceso civil sus derechos de acceso, rectificación, cancelación y oposición, y exijan responsabilidad por la ilicitud del tratamiento de datos personales realizado por el buscador Google en su versión española”. Y continúa la Sala Primera: “Una solución en sentido contrario, como la propugnada por Google Spain, basada en un concepto estricto de «responsable del tratamiento», que lleve a considerar que la única legitimada pasivamente para ser demandada en un proceso de protección de derechos fundamentales por la vulneración causada por el tratamiento de datos que realiza el buscador Google es la sociedad matriz, Google Inc, sociedad de nacionalidad norteamericana con domicilio social en California, supondría frustrar en la práctica el objetivo de «garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales» que, de acuerdo con el apartado 53 de la STJUE del caso Google, tiene la Directiva comunitaria”.
En mi opinión la interpretación que lleva a cabo la Sala Primera no es acorde con el concepto de responsable del tratamiento. Es comprensible y digno de tener en cuenta el esfuerzo interpretativo que hace para llegar a una conclusión loable: facilitar la acción del afectado para obtener una compensación que considera justa por violación de su derecho al honor, a la intimidad y a la protección de datos. Pero para ello fuerza en demasía el concepto de responsable del tratamiento, que es uno de los esenciales de la protección de datos.
¿Facilita la Sentencia de la Sala Tercera del Supremo el ejercicio del derecho al olvido? Seguramente no. ¿Es jurídicamente correcta la conclusión a la que llega? En mi opinión, sí. Por el contrario, la Sala Primera con su Sentencia no es que facilite el derecho al olvido, sino la obtención de una indemnización por los perjuicios sufridos por el afectado.
Pero es que en materia de derecho a la protección de datos no cabe ser voluntarista. Es un derecho de una gran complejidad técnica, que requiere de una aplicación muy clara de las normas. Siempre he mantenido que asimismo requiere de grandes dosis de sentido común, pero hay supuestos en los que la aplicación de la norma, europea y nacional, no puede llevar más que a una solución. Y me temo que esto es lo que cabalmente ocurre en el caso que comento.
La Sentencia del Tribunal de Justicia de 13 de mayo de 2014 es, como ya he resaltado, de una importancia capital. Pero no podemos obviar que así como ha resuelto importantes cuestiones, también, como señalaba más atrás, ha abierto vías de debate y reflexión que no siempre nos van a conducir a la solución que no pocos desearían.
La Sala de lo Contencioso Administrativo del Tribunal Supremo, con la Sentencia de 14 de marzo de 2016, ha dado un paso más para definir los verdaderos contornos del llamado derecho al olvido, mientras que la de la Sala de lo Civil de 5 de abril de 2016 ha querido dar solución a un caso concreto de responsabilidad civil extendiendo más allá de lo admisible el concepto de responsable del tratamiento.
Y todo ello porque nos movemos en un mundo global en el que sigue faltando una norma internacional vinculante que acierte a conjugar una realidad -el tratamiento de datos y el derecho a la privacidad en un escenario sin fronteras- con un marco jurídico global que sea capaz de resolver, más allá de criterios territoriales, los problemas que hoy hay planteados.
—————————————
Este trabajo se enmarca en el Proyecto de Investigación sobre Protección de datos y aplicación extraterritorial de las normas, Ref. DER 2012-35948, del Ministerio de Economía y Competitividad, del que el autor es IP.