A mediados de este año que finaliza, Google Spain recibió una solicitud de oposición al tratamiento de los datos personales de un usuario, ya que al introducir su nombre y apellidos en el campo de búsqueda de la función “Autocompletar”, se le asociaba a la palabra “gay”, resultándole “molesto y ofensivo”, convirtiéndose, según él, en “una puerta a la difamación”. Tras el correspondiente procedimiento de tutela de derechos, se ha dictado por la Agencia Española de Protección de Datos (AEPD), la Resolución (R/02647/2012) en la que se estima el derecho de oposición por este servicio y que, a continuación, analizamos.
Como todos sabemos, la actividad del buscador (como parte del negocio que en el territorio nacional realiza Google, complementario al del espacio publicitario ofrecido) se compone de dos fases:
- Una primera fase, que utiliza dispositivos de navegación permanentemente por la Red, visitando los sitios web que encuentran, analizando su contenido, extrayendo las palabras que consideran útiles e incluyéndolas en una lista con la referencia a la dirección del sitio web de donde las extrajeron.
- Una segunda fase, que compara entre las palabras incluidas por el usuario para la búsqueda y la lista creada por Google. El usuario obtiene una lista de resultados en la que se incluyen las referencias a los sitios web en que aparecen las palabras del criterio de búsqueda, ordenándolos en atención a la mayor o menor relevancia de la coincidencia.
Según la argumentación de Google en el procedimiento abierto por la AEPD, el criterio de cruce de información está basado en una mera yuxtaposición de términos de búsqueda que la estadística indica que con cierta frecuencia aparecen juntos, sin que se pueda establecer una relación semántica entre ellos y sin que pueda prejuzgar el resultado. Asimismo, las consultas se muestran a petición de un usuario en tiempo real, y desaparecen de la pantalla del usuario tan pronto como éste sale de la página. Por ello, estas consultas sólo se almacenan transitoriamente (temporalidad del tratamiento de los datos) y se procesan de acuerdo con criterios estadísticos que cambian constantemente (lo que justifica la ausencia de fichero -art. 3b) de la LOPD-).
Sin embargo, lo cierto es que al usuario del buscador se le está ofreciendo, de forma automática y relacionada con esos términos de búsqueda, una información que puede incluir, como en el caso que ha dado lugar al debate, aspectos relativos a su orientación sexual (sea o no cierto el dato) información que, de acuerdo con lo establecido por el artículo 7.3 de la LOPD, sólo puede ser tratado y cedido "cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente".
Tomando en consideración otros ejemplos, si en la función de autocompletar del buscador, introducimos las palabras "Gandhi era", automáticamente el buscador de Google nos sugiere "amigo de Hitler" y "racista". Otro caso, es cuando introducimos las palabras "Bill Gates" y automáticamente aparecen sugerencias como "el anticristo" ó "es autista".
Ante estos supuestos, y a simple vista, la asociación entre un nombre personal y un calificativo, constituye un tratamiento de datos personales, y en la mayoría de los ejemplos, un tratamiento de datos considerado de nivel alto por la normativa española de protección de datos (ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual de una persona).
El hecho de que exista o no tratamiento de datos personales, determinará si es de aplicación la normativa de protección de datos personales, pero aún en caso de que no lo fuese, la indefensión del particular, a nuestro juicio, podría evitarse acudiendo al amparo de la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen. Si bien, resultaría mucho más difícil probar el daño moral por esta vía que solicitar la protección de los derechos de acceso, rectificación, cancelación y oposición ante la AEPD.
Así, la fundamentación jurídica utilizada por la AEPD en el caso analizado, para argumentar que existe tratamiento de datos personales, se basa en conceptos básicos como el artículo 3.a) de la LOPD que considera, en línea con lo dispuesto en la Directiva 95/46/CE, como dato de carácter personal "Cualquier información concerniente a personas físicas identificadas o identificables".
Con mayor precisión, el artículo 5.1.f) del Real Decreto 1720/2007, de 21 de diciembre (RLOPD), define los datos de carácter personal como "Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables", añadiendo el artículo 5.1.o) que se considera persona identificable "toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social", y que "una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados".
Teniendo en cuenta estas definiciones, no cabe duda de que la asociación de un nombre y apellidos de una persona y la palabra "gay" implica la existencia de una información concreta relacionada con la persona a la que se refieren los nombres y apellidos; es decir, nos encontramos ante datos de carácter personal, convirtiéndose tal atributo en una información directamente relacionada con la vida sexual de la persona, que tiene la condición de dato especialmente protegido, conforme al artículo 7.3 de la LOPD.
Este ha sido el criterio de la AEPD para resolver, hace pocos días, sobre el procedimiento de tutela de derechos abierto contra Google Spain, por infracción del artículo 34 del RLOPD, (relativo al derecho de oposición), ya que las alegaciones de Google para justificar que no existía jurídicamente tratamiento de datos personales y que la función de "Autocompletar" está basada en algoritmos sin intervención humana, quedó desestimada.
Google ha sido sancionado por un servicio que ofrece su buscador. Pero la verdadera pregunta es: ¿Realmente tiene Google la capacidad y los medios para evitar que la función de "Autocompletar" no asocie términos o calificaciones a los datos personales de las personas sean usuarios o no del buscador?
La respuesta la encontramos en el propio servicio "Google Suggest®" (prestado por Google), en cuyas características la compañía afirma que: "excluimos un grupo limitado de resultados relacionados con contenido infractor de derechos de autor, de incitación al odio, violento o pornográfico."
De acuerdo con ello, podemos entender que el motor de búsqueda sí toma determinadas decisiones acerca de los contenidos que pueden o no aparecer. Si bien entre los parámetros de exclusión no se encuentra el que la información contenga datos de carácter personal o el ejercicio de los derechos establecidos en la LOPD, a diferencia de lo que sucede en relación con los derechos de propiedad intelectual, respecto de los que sí se prevé una posible exclusión singular.
Es decir, en el caso de datos especialmente protegidos (como la asociación de una persona con la palabra "gay"), no debería procederse al tratamiento de aquéllos respecto de los que no constase la existencia del consentimiento del interesado o una habilitación legal para ello, por lo que, de acuerdo con lo expresado en esta Resolución de la AEPD, existen serias dudas sobre la adecuación de la funcionalidad de autocompletado de Google, tal y como se encuentra configurada en la actualidad, a la normativa española y europea de protección de datos personales.
Como conclusión, podemos decir que para la AEPD el buscador de Google, a través de la función de "Autocompletar", realiza un tratamiento de datos personales por las razones ya expuestas. Asimismo, considera que se realizan perfiles con los datos almacenados en las listas (se hace alusión a la impugnación de valoraciones del art. 13 de la LOPD) y además, independientemente de que la función se realice de forma mecánica o no, existe la posibilidad de modificar los resultados de la búsqueda en relación con la protección de los derechos de propiedad intelectual, si bien, y ahí está el problema, no se aplica tal limitación conforme a las exigencias legales de protección de datos personales que menciona la AEPD, de manera que no se lesionen, por el uso del servicio, los derechos de los particulares.
Por tanto, estamos ante el primer caso de esta índole que afecta a personas físicas, pues los supuestos similares planteados con anterioridad se referían a personas jurídicas (i.e. Italia, Francia, Argentina), y que sin duda afecta directamente a la esfera de los derechos fundamentales de los ciudadanos.
En definitiva, la Resolución de la AEPD de la que parte este post es una primera e importante piedra para sentar las bases del funcionamiento de los buscadores que son puestos a disposición de los internautas, por lo menos en España.