En el verano que ya ha pasado, he tenido tiempo de echar un vistazo a algunos asuntos que había apartado y que merecían alguna reflexión, sobre todo para saber cómo se mueve la protección de datos en los casos de empresas que no residen en España.

Entre los “papeles” apartados estaba también la Resolución de la Agencia Española de Protección de Datos (AEPD) de Tutela de Derechos TD/01239/2010, que ha dado lugar a la Resolución R/00668/2011.

De qué va esta Resolución: una madre acude a la Agencia Española de Protección de Datos (AEPD) porque Facebook, Google y Youtube no habían atendido su derecho de cancelación. Es decir, la señora, en defensa de los intereses de su hijo menor, que se había visto objeto de vejaciones en las mencionadas Webs, decide pelearse con “Los Grandes”; si es que el amor de madre…

La posición de Facebook en esta historia.

  1. Facebook Spain, S.L. dice que no tiene nada que ver con lo que hace la empresa madre (Facebook, Inc.) y que, para cualquier quejas, que se dirijan al 1601 South California Avenue de Palo Alto, California, USA.
  2. Que, incluso si la filial española tuviera algo que ver, el tratamiento de datos realizados en su red social entra dentro de las actividades domésticas que, como se sabe, quedan fuera de la aplicación de la LOPD (art. 2.a, LOPD).
  3. Que, incluso admitiendo que no tiene razón en los anteriores dos puntos, pues, no tiene ninguna responsabilidad frente a los contenidos publicados, en su red, por otras personas.

Bien, la AEPD, en las 20 páginas de la mencionada Resolución desmonta uno a uno los tres argumentos de Facebook y aún le queda tiempo para resolver sobre quién tiene que contestar a los derechos de cancelación ejercidos en los casos de los vídeo publicados en Youtube.

Las conclusiones de la AEPD

Facebook Spain, S.L. es responsable (en España y, por lo tanto, es el sujeto pasivo que debe cumplir con las obligaciones de la LOPD) de los datos tratados por Facebook, Inc., en aplicación del art. 3.1.c), y 2., R.D. 1720/2007, cuyo texto es mejor transcribir:

1. Se regirá por el presente Reglamento todo tratamiento de datos de carácter personal:

c. Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen con fines de tránsito. En este supuesto, el responsable del tratamiento deberá designar un representante establecido en territorio español.

2. A los efectos previstos en los apartados anteriores, se entenderá por establecimiento, con independencia de su forma jurídica, cualquier instalación estable que permita el ejercicio efectivo y real de una actividad.”.

Ya había anotado yo que el «criterio del establecimiento no era definitivo para saber qué legislación nacional aplicar en materia de protección de datos, así que la AEPD vuelve a reafirmar este concepto según el cual, a partir de ahora, no habrá más excusas interpretativas:

Señores de multinacionales que tienen sede fuera de la UE, si tienen “cualquier instalación que permita el ejercicio efectivo y real de una actividad” en España, sírvanse cumplir con la LOPD.

De hecho, este mismo artículo 3, R.D. 1720/2007 refleja lo que ya había dicho el art. 4, Directiva 95/46/CE, que, en sus considerandos 19 y 20, ya había dado las oportunas indicaciones para los casos de tratamientos de datos personales realizados por empresas con su sede oficial fuera del territorio de la UE.

Para no correr el riesgo de quedarse corta en su argumentación, la AEPD también retoma el Dictamen 5/2009, del Grupo de Trabajo del art. 29 que ya había indicado la necesidad de aplicación de la legislación europea de protección de datos para los motores de búsqueda.

El segundo argumento que desmonta la AEPD es el del tratamiento de datos en las redes sociales como actividad doméstica y, como tal, exento de la aplicación de la LOPD.

En este caso, la AEPD vuelve a hacer referencia al Dictamen 5/2009, del Grupo de Trabajo del art. 29, concretamente, al apartado 3.1.3 que también trascribo:

3.1.3. Tratamiento de datos de terceros usuarios.

La aplicación de la exención doméstica se ve también limitada por la necesidad de garantizar los derechos de los terceros, especialmente por lo que se refiere a los datos sensibles”.

Conclusión: los proveedores de servicios de redes sociales son responsables del tratamiento de datos (es decir, contra ellos se puede ejercer el derecho de cancelación) en virtud de la Directiva relativa a la protección de datos, no aplicándose la exención del carácter doméstico.

Para desmontar el tercer y último argumento (Facebook no sería responsable por comentarios publicados en su red por otros usuarios), la AEPD recurre al art. 16, LSSICE (en la Resolución se habla del art. 6, pero es el 16, un pequeño error lo tiene cualquiera). De esta forma, la AEPD concluye que “si bien Facebook Spain, S.L. no es responsable de los contenidos que aparecen en su red social, debe realizar las gestiones necesarias en orden a su retirada o imposibilidad de acceso a los mismos cuando la Agencia Española de Protección de Datos, como órgano competente, así lo determine”.

Conclusión general: los usuarios españoles (y extranjeros residentes en España) que quieran ver borrados contenidos que hacen referencia a su persona publicados en Facebook, puede exigir que la red social los borre y, si se encuentran con una negativa como respuesta (o más probablemente, no les hacen caso), pueden acudir a la AEPD para que ésta deshaga el entuerto.

El derecho de cancelación también ejercido frente a Youtube, para que fueran borrados algunos vídeos. No habiendo obtenido respuesta, la afectada (en realidad, la madre del afectado, en representación de su hijo menor) también se dirigió a la AEPD. Ésta, para mi sorpresa, obliga a Google Spain, S.L. a atender la solicitud de la señora. ¿Y qué pinta Google en todo esto si los vídeo están en Youtube? Pues, resulta que la AEPD tiene indicios según los cuales Google Spain, S.L. actúa en España como representante del servicio ofrecido por Youtube (declaraciones efecuadas por la directiva de Google España, ante los medios de comunicación, respecto a sus políticas sobre el contenido de sus plataformas, en concreto, Youtube.

Mi sorpresa aumentó cuando me enteré que el Documento de Privacidad de Youtube en España remite directamente a la ¡Política de Privacidad de Google!. Y ¡es verdad! Lo pueden leer aquí: http://www.youtube.com/t/privacy_at_youtube.

En fin, parece que, poco a poco, se va solucionando la supuesta extraterritorialidad de Internet, de manera que (por lo menos en la UE) quien vea sus datos personales tratados en redes sociales, siempre podrá acudir a la Agencia de Protección de Datos de su País para que ésta obligue a las grandes corporaciones a eliminar sus datos.