
La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente dos resoluciones ordenando el archivo de las actuaciones en procedimientos que coinciden en un punto muy interesante: la incapacidad fáctica ¿y jurídica? de la Agencia para ejercer funciones de investigación fuera de España o del Espacio Económico Europeo.
El primer caso se trata del expediente N.º: EXP202301164, en el que el reclamante denuncia a su hermano por presuntamente subir un vídeo en YouTube de un procedimiento judicial en el que ambos fueron partes. El reclamado contesta diciendo que fue el Juzgado quien le facilitó el CD con la grabación, que el vídeo tiene consideración de información pública y que, aunque no tuvo éxito, intentó eliminar el vídeo. Posteriormente en su escrito de alegaciones el reclamado menciona que desconocía que dicho vídeo hubiese sido subido a YouTube, que tampoco sabía que existía un canal de YouTube con su nombre y que se ha enterado de todo ello como consecuencia de la reclamación
Pese a que hay una incongruencia evidente entre la primera declaración del reclamado y su escrito de alegaciones sobre la que no se pronuncia la AEPD, lo interesante de dicha Resolución radica en cómo ha ejercitado la AEPD sus potestades de investigación para determinar quién es el titular del canal de YouTube en el que se encuentra subido el vídeo. En primer lugar, la AEPD envía una solicitud de información a Google Spain para que aclare la cuestión, pero la empresa contesta señalando YouTube es un servicio prestado por Google Ireland Limited, responsable de los datos de los usuarios en el EEE y Suiza, por lo que Google Spain no se encuentra habilitada ni autorizada para compartir dicha información.
Consecuentemente, la AEPD dirige solicitud de información a Google Ireland, que responde alegando que los servicios de YouTube son ofrecidos por Google LLC, una empresa norteamericana regida por las leyes estadounidenses y que por tanto no puede aportar la información salvo que se siga una de las vías contempladas por el derecho nacional, por ejemplo el proceso de la Sección 1782 del Título 28 del Código de los Estados Unidos, los procedimientos descritos en el Convenio de la Haya sobre Obtención de pruebas en el extranjero o mediante orden firmada de un juez o magistrado español. Ante estas circunstancias, la AEPD ordena el archivo de las actuaciones, señalando que “no se han encontrado evidencias que acrediten la existencia de infracción en el ámbito competencial de la AEPD”, ya que no ha sido posible atribuir la responsabilidad (autoría) de los hechos denunciados.
Por otro lado, tenemos la Resolución del expediente N.º: EXP202304525, relativo a un caso de extorsión a cambio de no publicar un vídeo en el que el reclamante aparece masturbándose. Básicamente, el reclamante manifiesta que han publicado un video suyo con contenido sexual en determinada página web sin su consentimiento; la AEPD realiza labores de investigación que terminan con una dirección IP cuyo registro whois está localizado en Costa de Marfil, solicitan a Meta Platforms Ireland Limited (anteriormente Facebook) identificación del IP, pero la plataforma contesta señalando que el perfil de Instagram denunciado está localizado fuera de Europa y que por tanto no están habilitados para identificar al usuario. Ante estas circunstancias la AEPD concluye que al no haber sido posible atribuir la responsabilidad por la publicación de del vídeo corresponde acordar el archivo de las actuaciones.
Puede que el archivo de estos casos deje una sensación de impunidad e incluso de falta de diligencia por parte de la AEPD; no obstante, si nos atenemos al ámbito de aplicación del Reglamento UE 2016/679 General de Protección de Datos (RGPD), veremos que se limita a: i. responsables y encargados del tratamiento con un establecimiento en la UE y ii. al tratamiento de datos de interesados que residan en la UE por parte de responsables/encargados que no tengan establecimiento en la UE, pero únicamente en lo relativo a la oferta de bienes y servicios y al control del comportamiento de los interesados, siempre que ambas acciones tengan lugar dentro de la UE.
Visto lo anterior, toda vez que los casos comentados fueron i. presuntamente ejecutados por sujetos fuera de la UE y ii. que dichos actos no son relativos a la oferta de bienes y servicios ni al control del comportamiento de los interesados, en principio ni siquiera sería necesario identificar a los reclamados, ya que dichos actos quedarían fuera del ámbito de aplicación de la normativa de protección de datos europea y, por tanto, de las competencias de la AEPD. Entonces, resulta curioso determinar por qué la AEPD destinaría tiempo y medios en intentar identificar a unos sujetos que llevaron a cabo actos que en principio están fuera de sus competencias.
Una posible respuesta es que la AEPD buscó descartar que las acciones hubiesen sido realizadas por sujetos europeos a través de empresas/usuarios extracomunitarios, únicamente a efectos de burlar la normativa europea y entorpecer las facultades de investigación de la Agencia, que al ser un órgano administrativo carece mecanismos efectivos como el auxilio judicial para desplegar actuaciones en otras jurisdicciones. Ahora bien, si este fuese el caso, cabría preguntarse por qué la AEPD no exploró el resto de las vías disponibles para recabar más información (como las sugeridas por Google) o al menos por qué no argumenta la improcedencia de dichas vías.
Lejos de ser una particularidad en la actuación de la AEPD estos conflictos jurisdiccionales son inherentes al uso de internet, que desde sus inicios ha supuesto un reto para los Estados en cuanto a la regulación de los actos que tienen lugar en la red, así como en la aplicación de dichas regulaciones (véase el caso Yahoo! vs. LICRA, de inicios de los 2000). En todo caso, lo anterior no ha de ser una justificación para la falta de diligencia en cuanto a las investigaciones por parte de órganos judiciales/administrativos de los actos que se cometen a través de internet, ni mucho menos una respuesta a las preguntas que surgen de la lectura de estos procedimientos, algunas ya expuestas y otras como: ¿basta entonces para escapar de la competencia de la AEPD crear una cuenta en un país fuera de la UE? ¿no deberían tener las empresas como Google o Meta una obligación de colaboración con las autoridades de los países en los que operan a través de sus filiales? ¿cabría abrir una investigación de oficio ante Google o Meta por vulneración del deber de colaboración con la AEPD, o al menos para exigir que se finalice el tratamiento? Las respuestas, esperemos, vendrán en siguientes resoluciones.