La AEPD, hace ya dos años, en su Informe Jurídico 0214/2010, reconoció que los interesados pueden ejercitar el derecho de oposición frente a los buscadores, ya que “concurren todos los requisitos necesarios para que atiendan tal petición”. Además, la Agencia ha atendido numerosas reclamaciones de afectados reconociendo su ejercicio del derecho de oposición frente a Google Spain, S.L., instándola a adoptar las medidas necesarias para retirar los datos del interesado de su índice e imposibilite el acceso futuro a los mismos. La AEPD considera, en definitiva que todo interesado puede instar la cancelación de sus datos o de alguna información que le afecte, cuando entienda que esta “atenta o puede atentar” a su dignidad, entendida como un concepto amplio. Por el contrario, los buscadores niegan que exista en la normativa española y comunitaria en materia de protección de datos el “pretendido derecho al olvido” como el que habitualmente utiliza la AEPD para justificar su actuación.

Por el contrario, en los países de nuestro entorno la mayoría de las resoluciones en esta materia (Resolución de la Autoridad Italiana de Protección de Datos de 11 de diciembre de 2008; Sentencia del “Tribunal de Grande Instance de Paris”, de 14 de abril de 2008; Sentencia, de 2 de junio de 2009, del Juzgado de Primera Instancia de Bruselas) determinan que no es admisible pedir la cancelación de datos frente a Google al considerar que dicha empresa no está ubicada en ninguno de los Estados miembros de la UE y ejecuta su tratamiento de datos mediante servidores ubicados en EEUU, por lo que se dificultaría enormemente el ejercicio del derecho a cancelar datos personales.

Pues bien, en este contexto, la Sala de lo Contencioso Administrativo de la Audiencia Nacional mediante Auto, de 27 de febrero de 2012, ha planteado (por primera vez) al Tribunal de Justicia de la Unión Europea un conjunto de cuestiones prejudiciales sobre el derecho al olvido, entre ellas si la normativa comunitaria y nacional en materia de protección de datos se puede aplicar en este caso o si, como sostiene Google, los europeos debemos acudir a los tribunales de los Estados Unidos para poder ver reconocidos sus derechos.

Por ultimo, a finales del mes de febrero de 2012 se presentó la “Propuesta de Reglamento general de protección de datos de la Comisión Europea” estableciendo en su artículo 17 por primera vez de una forma clara, el derecho del interesado al olvido y de supresión respecto a sus datos personales. La propuesta establece las condiciones del derecho al olvido, incluida la obligación del responsable del tratamiento que haya difundido los datos personales de informar a los terceros sobre la solicitud del interesado de suprimir todos los enlaces a los datos personales, copias o réplicas de los mismos. En el Considerando nº53 de esta propuesta normativa se declara que “toda persona debe tener derecho a que se rectifiquen los datos personales que le conciernen y «derecho al olvido», cuando la conservación de tales datos no se ajuste a lo dispuesto en el presente Reglamento”.

Finalmente, destacar que éste incipiente Derecho está dando lugar a la aparición de empresas especializadas en eliminación de datos personales en Internet, como por ejemplo, BorrarMisDatos.es

Pues bien, técnicamente una nube es un conjunto de dispositivos de comunicaciones por los que circula la información en los procesos de transmisión a través de Internet. Cuando a ese medio de transporte se le añade la posibilidad de procesamiento de la información, es cuando nos encontramos con el conocido como cloud computing. Se trata, en síntesis, de utilizar una aplicación informática que almacena la información en servidores que están bajo el control de una tercera entidad prestadora del servicio.

El cloud computing se caracteriza porque el usuario dispone de servicios a la carta o bajo demanda compartiendo recursos con otros usuarios, con independencia de la localización exacta de dichos recursos que puede no ser conocida por el usuario del sistema. Por otro lado, se puede acceder a la red desde diferentes dispositivos (PC, móvil, PDA…) y de una forma rápida y aparentemente ilimitada. Existe, por otro lado, una capacidad de control por parte del prestador del servicio sobre el uso y el nivel de recursos utilizado.

Los tipos de servicios que se pueden desplegar en un cloud computing pueden presentarse a nivel de software (las aplicaciones son del prestador y se ejecutan en la nube); de plataforma (las aplicaciones del usuario se ejecutan en la infraestructura del proveedor); y de infraestructura (el proveedor ofrece los recursos básicos y el usuario, o consumidor, controla el sistema operativo e incluso determinados componentes de red, como por ejemplo, firewalls o cortafuegos).

Tal y como refiere la Revista Abogados del CGAE, de Junio de 2011, un informe realizado por el “Centre for Economics and Business Research”, que data de 2010, estima que la tecnología cloud se convertirá en cinco años en uno de los principales impulsores de la creación de negocio, competitividad y crecimiento económico. Este estudio prevé la reducción de costes neta acumulativa, derivada del empleo de esta solución tecnológica, entre los años 2010 y 2015, de 22.000 millones de euros.   

En cuanto a los principales frenos a la adopción de sistemas de servicios cloud, la mayoría de los estudios que pueden consultarse señalan, en primer lugar la aparente falta de seguridad, seguido muy de cerca de la incertidumbre que genera la legislación relativa a la ubicación de la información, especialmente respecto a la normativa sobre protección de datos. Y no resulta baladí esta inquietud respecto a los problemas de seguridad física, lógica y jurídica que pueden (y de hecho, se dan) en los servicios de cloud, los cuales se  están prestando por entidades ubicadas en países en los que la instalación de procesos de este tipo es más rentable, es decir, cuyos costes son mas bajos.

Pues bien, si tenemos en cuenta la vigente normativa de protección de datos (fundamentalmente la L.O. 15/1999, de 13 de diciembre –en adelante, LOPD-; y el R.D. 1720/2007, de 21 de diciembre –en adelante, RLOPD-) la contratación de un proveedor de servicios de “cloud computing” conforma un supuesto de tratamiento de datos por cuenta de terceros, de manera que el prestador del servicio en la “nube” adquirirá el carácter de encargado del tratamiento siempre que no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de albergar los datos, sin utilizarlos en modo alguno en su provecho.

Al prestador del servicio de “cloud” le serán aplicables todas las obligaciones recogidas en los artículos 12 de la LOPD y 20 y siguientes del RLOPD, entre otras, la obligatoriedad de suscribir un contrato por escrito que incorpore las cláusulas que determinan los artículos meritados. Por otro lado, si dicho servicio de “cloud” es contratado por el propio encargado del tratamiento, será de aplicación lo previsto en el artículo 21 del RLOPD, respecto a la posibilidad de subcontratar los servicios.

La segunda cuestión de interés que es necesario tratar está relacionada con la circunstancia de que como consecuencia del uso de servicios en la “nube” se puede llegar a producir, lo que se denomina por la normativa, una “transferencia internacional de datos” (en adelante, TID).

Una TID se produce cuando se realiza un tratamiento de datos que implica transmitirlos fuera del Espacio Económico Europeo ─es decir, fuera de los 27 países integrantes de la Unión Europea, Islandia, Liechtenstein y Noruega─, que constituya una cesión de datos, o tenga por objeto tratamientos de datos realizados por entidades encargadas del mismo, por cuenta del responsable del fichero establecido en España. Si se da una TID es de aplicación lo previsto en los artículos 33 y 34 de la LOPD; y 65 a 70 del RLOPD.

Las TID efectuadas desde España requieren, como regla general, la previa autorización del Director de la Agencia Española de Protección de Datos (en adelante, AEPD). No obstante, los artículos 34 de la LOPD y 67.1 del RLOPD excluyen tal requisito para determinados supuestos, como por ejemplo, cuando la transferencia tenga como destino un Estado miembro de la Unión Europea o un Estado respecto del cual la Comisión Europea, en el ejercicio de sus competencias, haya declarado que garantiza un nivel adecuado de protección, equiparable al establecido en la Directiva 95/46/CE del Parlamento Europeo y del Consejo (hasta el momento, Suiza, Argentina, Guernsey, la Isla de Man, Jersey, Islas Feroe, Israel, Principado de Andorra, y por último, Uruguay). Igualmente se consideran como Estados de nivel adecuado de protección, y por tanto no requiere de la autorización del Director de la AEPD, las TID a Canadá y las entidades de EE.UU. adheridas a los principios de Puerto Seguro (Safe Harbor).

En el procedimiento enfocado a obtener la previa autorización del Director de la AEPD, ─fuera de los supuestos previstos en el artículo 34 de la LOPD─, se verificará, por parte de la AEPD, que se dan las garantías adecuadas de protección de los datos objeto de la futura transferencia internacional. El carácter adecuado del nivel de protección que ofrece el país de destino se evalúa por la AEPD atendiendo a todas las circunstancias que concurran en la TID, tomando especial consideración a la naturaleza de los datos y a la finalidad y duración del tratamiento; el país de origen y el país de destino final; las normas generales, o sectoriales, vigentes en el país tercero; el contenido de los informes de la Comisión Europea; y las normas profesionales y las medidas de seguridad en vigor en dichos países. Las Resoluciones del Director de la AEPD, por las que se acuerde que un determinado país proporciona un nivel adecuado de protección de datos son publicadas en el BOE, siendo accesible, además, a través de la web de la Agencia, una relación actualizada de países cuyo nivel de protección ha sido considerado adecuado.

En los casos en los que se pretenda realizar una TID con destino a un Estado que se considera que no proporciona un nivel adecuado de protección, según el artículo 70 del RLOPD, será necesario recabar la autorización del Director de la AEPD, el cual la concederá siempre y cuando exista un contrato escrito celebrado entre el exportador y el importador que garantice al afectado tanto los derechos y libertades fundamentales, como el ejercicio de sus derechos. Se considera que este contrato resulta adecuado si está adaptado a las cláusulas contractuales tipo que, para las TID, establecen las Decisiones de la Comisión Europea que dan cumplimiento a lo establecido en el artículo 26.4 de la Directiva 95/46/CE. En este sentido, es imprescindible apuntar que la realización de un tratamiento de datos por cuenta del responsable del fichero responsable del servicio de cloud, que implique una TID, debe respetar el contenido de lo que se conoce como “Cláusulas Contractuales Tipo”, que se incluyen en el Anexo de la “Decisión de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE”.

En definitiva, la contratación de un proveedor de servicios de “Cloud Computing” constituye un supuesto de tratamiento de los datos por cuenta de terceros y corresponde al responsable cumplir aquellos aspectos de la normativa de protección de datos que le sean exigibles conforme a la legislación española y, en particular, la relativa a la formalización de un contrato por escrito; y el cumplimiento, en su caso, de las reglas que rigen las TID.

Finalmente, deben tenerse muy en cuenta las graves consecuencias que puede suponer incumplir la referida normativa, ya que transferir datos personales, bien de modo temporal o definitivo, que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable, sin autorización del Director de la AEPD, constituye una infracción muy grave, de acuerdo con lo dispuesto en el artículo 44.4.d) de la LOPD, que conlleva exponerse a sanciones que van de los 300.001 a los 600.000 €.

Señalar, por último, que estamos con Ramón Miralles, en su artículo “Cloud computing y protección de datos”, (Revista de Internet, Derecho y Política Nº11. Octubre de 2010. UOC) cuando apunta que los aspectos más relevantes con el cumplimiento legal que deben ser considerados al tratar los servicios de “cloud computing” y protección de datos, son, en primer lugar, la perdida de control sobre el tratamiento de la información, tanto por parte de los afectados, como de los responsables del tratamiento; las dificultades de encajar jurídicamente a los encargados del tratamiento en las prestaciones de servicios de “cloud”; los problemas normativos que ocasionan las transferencias internacionales de datos y, finalmente, la resolución de incidentes sobre protección de datos en situaciones de multiterritorialidad.

Dada la importancia de esta figura, y sus implicaciones en materia de protección de datos, la AEPD ha abierto una consulta pública para conocer la opinión y experiencia de prestadores de servicios, usuarios y expertos. Puede accederse aquí a la nota de prensa.

Los representantes de los trabajadores (comité de empresa, delegados de personal, sindicales, de prevención, etc.) no son órganos de la empresa, por lo que la puesta a su disposición de los instrumentos de videovigilancia, o entrega total o parcial de las imágenes de los trabajadores, constituye una cesión de datos, sujeta a los requisitos del artículo 11 de la LOPD. Lo cual implica que es necesario el consentimiento de los trabajadores afectados (es decir, de todos los que hayan sido captados por las cámaras). Los representantes de los trabajadores no son titulares del derecho de acceso a los datos personales (a las imágenes).

Se trata de un derecho personalísimo que solo puede ejercitar el propio trabajador interesado, salvo que éste haya otorgado un poder específico para ello, por lo que bien pudiera atribuirse expresamente dicha posibilidad de ejercicio a un representante de los trabajadores.

Obviamente la  interesada denunciante tuvo conocimiento de ello, cuando al ejercer su derecho de acceso, Experian detalló, porque así se lo exige la LOPD, quién había accedido a sus incidencias en el fichero común, en los últimos seis meses, resultando una de ellas la entidad BBVA.

El Banco manifestó que los datos se consultaron por dicha entidad por error, algo por otra parte, difícil de mantener ya que constaban cuatro consultas a los datos de la denunciante.

Recuerda la Agencia en la meritada resolución que la Audiencia Nacional exige a las entidades que operan en el mercado de datos una especial diligencia a la hora de llevar a cabo el uso o tratamiento de tales datos o su cesión a terceros, visto que se trata de la protección de un derecho fundamental de las personas a las que se refieren los datos, por lo que los depositarios de éstos deben ser especialmente diligentes y cuidadosos a la hora de realizar operaciones con los mismos. Conforme a esta doctrina jurisprudencial, la Agencia considera que resulta evidente la existencia en este caso de, al menos, una falta de diligencia debida que le era exigible en los hechos denunciados atribuibles plenamente al BBVA.

Resulta llamativo que, como ocurre en todos los procedimientos de este tipo, el sancionado debe hacer efectiva la sanción en un número de cuenta del propio BBVA. Sin duda paradójico.

Aparte de los requisitos que se establecen para la inclusión de datos en un fichero de morosos, el artículo 42 del Real Decreto 1720/2007, determina que los datos contenidos en el fichero común de morosidad sólo pueden ser consultados por terceros cuando precisen enjuiciar la solvencia económica del afectado. Se presume que concurre dicha circunstancia cuando el afectado mantenga con el tercero algún tipo de relación contractual que aún no se encuentre vencida; cuando el afectado pretenda celebrar con el tercero un contrato que implique el pago aplazado del precio; y cuando el afectado pretenda contratar con el tercero la prestación de un servicio de facturación periódica.

En estos dos últimos supuestos, es decir, cuando se pretenda suscribir un contrato con pago aplazado y se contrate un servicio de facturación periódica, los terceros deben informar por escrito a los interesados de su derecho a consultar el fichero común.

En los supuestos de contratación telefónica de los productos o servicios referidos anteriormente, la información podrá realizarse de forma no escrita, correspondiendo al tercero la prueba del cumplimiento del deber de informar.

En primer lugar me resulta sorprendente que un órgano administrativo, como es la AEPD, entre a conocer de ilícitos de naturaleza claramente penal, como es el caso, incluso a pesar de haberse incorporado al procedimiento administrativo la denuncia de estos hechos ante la Guardia Civil, y haber intervenido dicho Cuerpo Armado en la eliminación de dicho perfil en la red social. El artículo 7 del Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora (RD 1398/1993) viene a establecer la obligatoriedad de comunicación del ilícito penal al Ministerio Fiscal, acordándose la suspensión del procedimiento sancionador hasta que recaiga resolución judicial. En la Resolución comentada, la Agencia simplemente señala que “desconoce que se esté desarrollando proceso penal alguno”, por lo que resuelve sobre el fondo del asunto.

En segundo lugar, resulta llamativo que sea la propia AEPD la que oficie a la compañía de telecomunicaciones Euskaltel para que informe acerca de a quién correspondía la dirección IP desde la que se efectuaron las conexiones a la red social, pero es más llamativo como dicha entidad proveedora de acceso a Internet efectivamente proporciona esta información. En este sentido, cabe recordar que la “Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones”, exige a los operadores que conserven, con respecto al acceso a Internet, “el nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono”. El artículo 6 de la meritada norma establece expresamente que estos datos solo pueden ser cedidos previa autorización judicial, y además, solo a un colectivo concreto que se recoge como numerus clausus en su apartado segundo, a saber: Fuerzas y Cuerpos de Seguridad y funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en funciones de policía judicial; y al personal del Centro Nacional de Inteligencia en el curso de sus investigaciones. La AEPD, por lo tanto, no se encuentra dentro de este listado de agentes facultados que pueden ser cesionarios de la información, aunque siempre con autorización judicial.

Sin duda, argumentos a utilizar, por parte de la representación de la persona sancionada, en el correspondiente recurso ante la Audiencia Nacional.