STS 574/2016, 14 de Marzo de 2016

JurisdicciónEspaña
EmisorTribunal Supremo, sala tercera, (Contencioso Administrativo)
Número de resolución574/2016
Fecha14 Marzo 2016

T R I B U N A L S U P R E M O

Sala de lo Contencioso-Administrativo

Sección: SEXTA

S E N T E N C I A

Sentencia Nº: 574/2016

Fecha de Sentencia: 14/03/2016

RECURSO CASACION Recurso Núm.: 1380 / 2015

Fallo/Acuerdo: Sentencia Estimatoria

Votación: 08/03/2016

Procedencia: AUD.NACIONAL SALA C/A. SECCION 1

Ponente: Excmo. Sr. D. Octavio Juan Herrero Pina

Secretaría de Sala : Ilma. Sra. Dña. Angeles Moreno Ballesteros

Escrito por: JADL

Nota:

PROTECCIÓN DE DATOS. PROCEDIMIENTO DE TUTELA DE DERECHOS. LEGITIMACIÓN PASIVA. RESPONSABLE DEL TRATAMIENTO. NO LO ES GOOGLE SPAIN, S.L.

RECURSO CASACION Num.: 1380/2015

Votación: 08/03/2016

Ponente Excmo. Sr. D.: Octavio Juan Herrero Pina

Secretaría Sr./Sra.: Ilma. Sra. Dña. Angeles Moreno Ballesteros

S E N T E N C I A 574/2016

TRIBUNAL SUPREMO.

SALA DE LO CONTENCIOSO-ADMINISTRATIVO SECCIÓN: SEXTA

Excmos. Sres.: Presidente:

D. Octavio Juan Herrero Pina

Magistrados:

Dª. Margarita Robles Fernández

D. Juan Carlos Trillo Alonso

D. Wenceslao Francisco Olea Godoy

Dª. Inés Huerta Garicano

En la Villa de Madrid, a catorce de Marzo de dos mil dieciséis.

Esta Sala ha visto el recurso de casación número 1380/2015, interpuesto por la Procuradora de los Tribunales Dª. Gracia López Fernández, en nombre y representación de la sociedad mercantil Google Spain, S.L., contra la sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de fecha 29 de diciembre de 2014, dictada en el recurso contencioso- administrativo número 69/2012 en el que se impugna la resolución de 13 de diciembre de 2011 del Director de la Agencia Española de Protección de Datos, que estima la reclamación de tutela de derechos formulada por D. Indalecio contra la citada entidad mercantil. Interviene como parte recurrida el Abogado del Estado, en la representación legal que le es propia.

ANTECEDENTES DE HECHO

PRIMERO

La sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de 29 de diciembre de 2.014 , objeto de este recurso, contiene el siguiente fallo:

Que desestimando el presente recurso contencioso administrativo interpuesto por la procuradora GRACIA LÓPEZ FERNÁNDEZ, en la representación que ostenta de GOOGLE SPAIN, S.L., contra la resolución descrita en el primer fundamento de esta Sentencia, debemos confirmar la resolución recurrida por ser conforme a derecho, interpretada en el sentido que señala el penúltimo de los Fundamentos Jurídicos. Todo ello con expresa imposición de costas a la parte recurrente.

SEGUNDO

Notificada dicha sentencia se presentó escrito por la representación procesal de la entidad mercantil GOOGLE SPAIN , S.L., manifestando su intención de preparar recurso de casación, que se tuvo por preparado por resolución de 8 de abril de 2015, emplazando a las partes ante esta sala del Tribunal Supremo.

TERCERO

En el escrito de interposición del recurso de casación se hacen valer siete motivos, el primero y el séptimo al amparo del art. 88.1.c) de la Ley reguladora de esta Jurisdicción y los demás de la letra d) de dicho precepto, solicitando que se case y anule la sentencia recurrida y se estime el recurso contencioso-administrativo interpuesto por Google Spain solicitando la anulación de la resolución de 13 de diciembre de 2011 del director de la AEPD, por la que estima la reclamación formulada por D. Indalecio en el procedimiento de Tutela de Derechos TD/0142/2012.

CUARTO

Admitido a trámite el recurso, se dio traslado a la parte recurrida para que formalizara escrito de oposición, rechazándose por el abogado del Estado los motivos de casación invocados y solicitando la desestimación del recurso, por ser conforme a Derecho la resolución judicial impugnada.

QUINTO

Conclusas las actuaciones quedaron pendientes de señalamiento para votación y fallo, a cuyo efecto se señaló el día 8 de marzo de 2016, fecha en que tal diligencia ha tenido lugar.

Siendo Ponente el Excmo. Sr. D. Octavio Juan Herrero Pina , Magistrado de la Sala.

FUNDAMENTOS DE DERECHO

PRIMERO

Por resolución del director de la Agencia Española de Protección de Datos de 13 de diciembre de 2011 se estima la reclamación formulada por D. Indalecio "contra GOOGLE SPAIN, S.L. instando a dicha entidad, como representante en España de la compañía estadounidense del sitio web http//www.blogspot.com, para que adopte y realice las gestiones necesarias en orden a la exclusión de los datos personales del interesado contenidos en los blogs objeto de la presente tutela de derechos". Con ello se daba respuesta a la reclamación de cancelación de datos, formulada por el interesado, en relación con informaciones personales que aparecían en el buscador Google utilizando su nombre y apellidos, recogida en determinados blogs.

Interpuesto recurso contencioso administrativo por la entidad Google Spain, S.L., se dictó sentencia por la Sala de lo Contencioso Administrativo de la Audiencia Nacional de fecha 29 de diciembre de 2014 , desestimando el recuso y confirmando la resolución impugnada.

A tal efecto y apoyándose en los pronunciamientos de la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2.014, dictada en el asunto C-131/12 , decisión prejudicial planteada por la Sala de la Audiencia Nacional en el recurso 725/2010 (de semejante contenido), la Sala de instancia señala que ninguna duda cabe que la actividad de un motor de búsqueda como proveedor de contenidos debe calificarse de tratamiento de datos personales, que es el gestor del motor de búsqueda el responsable de dicho tratamiento, que corresponde al gestor del motor de búsqueda adoptar, en su caso, las medidas en aplicación de la LOPD para hacer efectivo el derecho de oposición del afectado, que la normativa europea en materia de protección de datos y, por ende, la legislación del país de la Unión Europea donde se encuentra el establecimiento, en este caso en España, es de aplicación cuando "el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro". Rechaza la alegación de falta de motivación de la resolución de la AEPD. Frente a la alegación de falta de legitimación pasiva de Google Spain en el procedimiento administrativo, entiende la Sala de instancia que la responsabilidad de Google Spain en el tratamiento de datos personales llevado a cabo en el marco del servicio de búsqueda en internet ofrecido por Google Inc. - gestor del motor de búsqueda- deriva de la unidad de negocio que conforman ambas sociedades, en la que la actividad desempeñada por Google Spain, S.L. resulta indispensable para el funcionamiento del motor de búsqueda, pues de aquella depende su rentabilidad. Invoca al efecto, igualmente, la doctrina de los actos propios en razón de la actuación llevada a cabo por Google Spain, tanto en procedimientos ante la Agencia Española de Protección de Datos como en procesos ante los Tribunales. Por todo lo cual considera la Sala de instancia que Google Spain, S.L. también es responsable del tratamiento de datos, constituyendo ésta y Google Inc. una unidad material, además de reunir las características de un establecimiento de los referidos en el art. 4.1.a) de la Directiva 95/46/CE , que participa en el tratamiento de datos. Desestima igualmente las alegaciones sobre vulneración del derecho a la libertad de empresa. Examina el objeto y contenido de los derechos fundamentales en conflicto, toma en consideración la doctrina del Tribunal de Justicia al respecto y concluye que en este caso resultan preferentes los derechos del interesado que solicita la cancelación de sus datos en relación al interés de Google por mantener el resultado de la búsqueda que relaciona con el nombre del denunciante.

SEGUNDO

No conforme con ello la entidad Google Spain, S.L. interpone recurso de casación contra dicha sentencia, en el que se hacen valer siete motivos de casación, el primero y el séptimo articulados a través del artículo 88.1.c) de la LJCA y los otros cinco con base en la letra d) de este mismo precepto.

El motivo primero se funda en la infracción de los artículos 33.3 y 65.2 LJCA y 24 de la Constitución , alegando que la sentencia recurrida incurre en incongruencia extra petita al introducir un motivo nuevo en su razonamiento relativo a la noción de corresponsabilidad.

El motivo segundo denuncia la infracción del artículo 2.d) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , y de los artículos 3.d ), 6.4 y 16 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPDP), así como de los correlativos artículos 32.3 y 35.1 del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, por cuanto la sentencia impugnada atribuye a la recurrente la condición de corresponsable a pesar de que consta acreditado en autos que la recurrente no determina ni los fines ni los medios del tratamiento de datos.

En el motivo tercero se denuncia la infracción de la jurisprudencia que cita sobre la doctrina de los actos propios en la medida en que la sentencia funda la corresponsabilidad de la actora en una serie de indicios, con base en los cuales y apelando a la doctrina de los actos propios declara que la recurrente ha reconocido su condición de responsable en el tratamiento de datos gestionados por Google Inc. por actuar como tal frente a terceros.

El motivo cuarto se funda en la infracción del artículo 24 CE y de la jurisprudencia que cita sobre la valoración de los hechos tenidos en cuenta, habiendo contrariado la sentencia las reglas de la sana crítica en la apreciación de la prueba en relación con la atribución a la recurrente de responsabilidad en el tratamiento de datos que solo corresponde a la sociedad Google Inc..

En el motivo quinto se denuncia la infracción de los artículos 20.1, a ) y d) de la CE en relación con el artículo 10 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales; el artículo 11 de la carta de los derechos Fundamentales de la Unión Europea ; el artículo 19 de la Declaración Universal de los Derechos Humanos ; el artículo 19.2 del Pacto Internacional sobre Derechos Civiles y Políticos , y todo ello en relación con el artículo 10.2 de la CE . Asimismo, se denuncia la infracción del artículo 6.4 de la Ley Orgánica de Protección de Datos en relación con el artículo 9.2 del Convenio del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal. En síntesis, se alega que el reclamante en vía administrativa tiene una relevancia pública, no sólo por ostentar un título nobiliario, sino también por pertenecer a una asociación taurina con proyección pública en medios de comunicación social, por lo que las críticas contra el mismo vertidas a través de internet relativas a su actividad profesional están amparadas por la libertad de expresión y el derecho a la información.

El motivo sexto se funda en la infracción de la jurisprudencia del Tribunal Constitucional, del Tribunal Supremo, del Tribunal de Justicia de la Unión Europea y del Tribunal Europeo de Derechos Humanos sobre el interés general en acceder a la información por razón del sujeto y el derecho a la información y la libertad de expresión.

El motivo séptimo denuncia la infracción de los artículos 33.1 y 67.1 de la LJCA y 218 de la LEC por entender la recurrente que la sentencia incurre en incongruencia interna al ser el contenido del fallo manifiestamente contradictorio con los razonamientos y conclusiones alcanzadas en los fundamentos jurídicos undécimo y duodécimo de la propia sentencia. Se alega que a pesar de que la Sala de instancia reconoce que Google Spain, S.L., no puede ser considerada responsable del fichero o tratamiento como ha entendido la resolución administrativa dictada por la AEPD; sin embargo, al desestimar el recurso y confirmar dicha resolución administrativa contradice los términos del razonamiento que debe fundar la parte dispositiva de la sentencia. Porque si ésta reconoce que no es posible requerir a Google Spain, S.L., para que "elimine los datos personales del reclamante del blog", que era precisamente lo ordenado por la resolución administrativa, no parece razonable que luego confirme ésta, por lo que debió estimar, al menos parcialmente, el recurso de instancia. En segundo lugar, siendo que en el fundamento de derecho duodécimo exime a las partes de las costas, por existir serias dudas de derecho, en el fallo se imponen las costas a la parte recurrente.

TERCERO

En el motivo primero se denuncia, al amparo del art. 88.1.c) de la Ley de la Jurisdicción , la infracción de los artículos 33.2 y 65.2 de la LJCA y 24 de la CE al considerar la recurrente que la sentencia recurrida incurre en incongruencia extra petita por cuanto la Sala de instancia introduce ex novo la noción de "corresponsabilidad" y funda su decisión en motivos que exceden de los límites fijados por las partes en la controversia sin previamente haberlos sometidos a la consideración de las mismas, impidiendo de esta manera que hayan podido pronunciarse y, produciendo, por ello, indefensión. Concretamente, la recurrente reprocha que la sentencia atribuya a Google Spain una corresponsabilidad en el tratamiento de datos personales objeto de recurso con el argumento de que esta compañía y Google Inc. conforman una "unidad de negocio" o "unidad material", argumento este al que el Tribunal quo añade la aplicación de la doctrina de los "actos propios" en el sentido de que Google Spain ha reconocido su condición de responsable del tratamiento al actuar como tal frente a terceros.

Como hemos dicho, entre otras, en la sentencia de 20 de mayo de 2011 (recurso de casación 2792/2007 ) la congruencia de una sentencia es un requisito esencial y objetivo de la misma. Consiste en la armonía o correlación adecuada, que debe existir en forma necesaria entre las pretensiones deducidas en el proceso y la parte dispositiva de la resolución que le pone fin. El Tribunal debe decidir sobre todas las cuestiones planteadas en el proceso por las partes porque, si así no sucediere, la sentencia incurriría en el vicio de incongruencia omisiva o negativa (" citra petita partium ") al quedarse más acá de lo pedido; tampoco puede el Tribunal conceder o negar lo que nadie ha pedido (" ne eat iudex ultra petita partium "), so pena de incurrir en el vicio de incongruencia positiva; no puede, en fin, otorgar algo distinto de lo pedido (" ne eat iudex extra petita partium ") porque incurriría, si lo hiciera, en incongruencia mixta. El respeto a lo solicitado y, además, a los fundamentos de hecho en que las pretensiones se fundan es el marco dentro del que se debe mover el juzgador.

Recordamos también, no obstante, que ello no comporta que el Tribunal quede vinculado a los argumentos o alegatos de las partes ya que el principio de congruencia no alcanza a limitar la libertad de razonamiento jurídico de los Tribunales, ni les obliga a seguir el itinerario lógico seguido, propuesto o esperado por ellas [ sentencia de 31 de enero de 2001 (recurso de casación 9514/1995 ) pero sí obliga a dar respuesta a las alegaciones que nutren o dan sustento a la pretensión [ sentencia de 24 de enero de 2011 (recurso de casación 6440/2006 )] o, simplemente, a las cuestiones en controversia [ sentencias de 30 de noviembre de 2010 (recurso de casación 9227/2004 ) y de 26 de noviembre de 2010 (recurso de casación 5544/20 )].

En este orden de cosas, según las sentencias de 13 de mayo de 2003 y 22 de marzo de 2004 , se habla de incongruencia extra petita (fuera de las peticiones de las partes) cuando la sentencia se pronuncia sobre cuestiones diferentes a las planteadas "incongruencia mixta o por desviación" (entre otras muchas, sentencias del Tribunal Supremo 18 de noviembre de 1998 y 4 de abril de 2002 ).

Por su parte, el 33 de la Ley 29/98, de 13 de julio, reguladora de esta Jurisdicción (y antes el art. 43 de la Ley de 1956), refuerza la exigencia de congruencia en este orden jurisdiccional al exigir no solo que los Tribunales juzguen dentro del límite de las pretensiones formuladas por las partes sino de los motivos que fundamentan el recurso y la oposición, conformando así la necesidad de que la sentencia en su ratio decidendi se mantenga dentro de los términos en que el debate se ha planteado por las partes, sin que se introduzcan motivos que, no habiendo sido alegados por las partes, resulten determinantes del pronunciamiento de la sentencia, privando a las mismas de formular las alegaciones y ejercitar su defensa respecto de aspectos fundamentales que quedan así al margen del necesario debate procesal que exige el principio de contradicción.

Sin embargo, como se ha indicado, ello no impide que la fundamentación de la sentencia se apoye en argumentos distintos a los mantenidos por las partes, señalando la sentencia de 19 de abril de 2006, que "esta Sala Tercera del Tribunal Supremo ha declarado en sus sentencias de 10 de junio de 2000 , 15 de febrero (recurso de casación 8895/1998 ), 14 de julio (recurso de casación 4665/1998 ) y 2 de octubre de 2003 (recurso de casación 3460/97 ), 3 de marzo (recurso de casación 4353/2001 ), 6 de abril (recurso de casación 5475/2001 ), 9 y 30 de junio de 2004 (recursos de casación 656 y 865/2002 ), y 2 de febrero (recurso de casación 5405/2001 ) y 23 de marzo de 2005 (recurso de casación 2736/2002 ), que el principio iura novit curia excusa al órgano jurisdiccional de ajustarse a los razonamientos jurídicos aducidos por las partes, siempre que no se altere la causa petendi ni se sustituya el thema decidendi ".

Según lo expuesto, en el presente caso no cabe apreciar la incongruencia que se denuncia por la recurrente, pues, impugnándose en la instancia la resolución de la Agencia Española de Protección de Datos por la que se insta a Google Spain, S.L., a la adopción de las medidas necesarias para excluir el tratamiento de los datos personales cuya protección determina el litigio, la propia parte alega como motivo de impugnación la falta de legitimación pasiva en el procedimiento administrativo, ya que Google Spain no desarrolla ninguna actividad de tratamiento de datos, no interviene de ningún modo en la actividad del buscador de Google ni de Blogger, limitándose a una actividad de promoción de la contratación de servicios, esencialmente publicitarios, por lo que no puede considerarse responsable del tratamiento de los datos del interesado. Cuestiona expresamente que la resolución impugnada estime la solicitud de tutela contra ella no en la condición de representante de Google Inc. sino como responsable del tratamiento de datos.

Es claro, por lo tanto, que la responsabilidad en el tratamiento de los datos personales del interesado constituía un elemento del debate procesal, introducido en el proceso por la propia parte recurrente, cuyo examen resultaba esencial a efectos de determinar la legitimación pasiva de dicha entidad en el procedimiento administrativo, que se cuestiona por la misma y que la Sala rechaza, precisamente, por entender que tal responsabilidad existe, aunque sea de forma compartida, posibilidad prevista en la normativa aplicable.

Por ello, la apreciación de la Sala de instancia de corresponsabilidad de la entidad recurrente en el tratamiento de datos del interesado podrá cuestionarse por otras razones, como de hecho se hace en los motivos siguientes, pero no por considerarse una cuestión ajena al debate procesal, cuando es la propia parte la que invoca falta de legitimación con fundamento, precisamente, en la ausencia de intervención y responsabilidad en dicho tratamiento de datos. Que dicha responsabilidad exista o no y que sea única o compartida constituye una valoración que corresponde efectuar a la Sala de instancia, para dar respuesta a las alegaciones y pretensiones de anulación de la parte, en congruencia con su planteamiento.

A la misma alegación de falta de legitimación pasiva de Google Spain en el procedimiento administrativo responde la invocación en la sentencia de instancia de la doctrina de los "actos propios" en el sentido de entender que Google Spain ha reconocido su condición de responsable del tratamiento al actuar como tal frente a terceros, lo que constituye un argumento a mayor abundamiento para reforzar la idea de que Google Spain, S.L. y Google Inc. no son entidades ajenas entre sí a los efectos que aquí interesan, no obstante la diferente configuración mercantil de las mismas. Por lo demás, es la propia parte recurrente la que abre la fundamentación por referencia a lo declarado en otros casos, cuando invoca, a efectos de sostener su alegación de falta de legitimación pasiva, lo resuelto en otros casos por los tribunales españoles. Ello sin perjuicio, claro está, de que pueda cuestionarse por la parte la aplicación de tal doctrina de los actos propios efectuada por el Tribunal a quo, como de hecho se realiza en los motivos de casación siguientes.

Se concluye por todo ello que no es de apreciar el vicio de incongruencia en la sentencia recurrida que se denuncia en este primer motivo de casación, que, por lo tanto, debe desestimarse.

CUARTO

En el motivo segundo, al amparo del artículo 88.1.d) de la LJCA , se denuncia la infracción del artículo 2.d) de la Directiva 95/46/CE , de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y de los artículos 3.d , 6.4 y 16 de la Ley Orgánica 15/1999 y los correlativos 32.3 y 35.1 del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Alega la recurrente, en síntesis, que la sentencia impugnada atribuye a la sociedad Google Spain la condición de "corresponsable" en el tratamiento de datos a pesar de que en las actuaciones se acredita que dicha mercantil no determina ni los fines ni los medios del tratamiento de datos pues esta tarea corresponde a Google Inc. a través del motor de búsqueda "Google Search", razón por la que no puede atribuirse a Google Spain la condición de "responsable" del tratamiento de datos. Argumenta al respecto que según el art. 2.d) de la Directiva 95/46/CE , la atribución de la condición de responsable del tratamiento de datos depende de que el sujeto, ya sea de forma individual o conjuntamente con otros "determine los fines y los medios del tratamiento", criterio acogido en el art. 3.d) de la LOPD , que considera responsable del fichero o tratamiento a la persona física o jurídica que decida sobre la finalidad, contenido y uso del tratamiento, siendo el responsable del tratamiento el que asume la obligación de hacer efectivo el derecho de rectificación o de cancelación ejercitado por el interesado ( arts. 6.4 y 16 LOPD ). Por ello, no siendo controvertido que Google Inc. es la única entidad que gestiona el motor de búsqueda "Google Search" y que determina los fines, las condiciones y los medios del tratamiento de los datos personales que se realiza a través del motor de búsqueda y que Google Spain es una empresa filial que promueve la venta en el mercado español de los espacios publicitarios que se generan en el buscador (ni siquiera presta el servicio publicitario sino que se limita a su promoción), sin que realice ninguna actividad que constituya tratamiento de datos, entiende que no concurren en Google Spain los requisitos que según la Directiva 95/46/CE y la normativa estatal atribuyen la condición de responsable del tratamiento, por lo que no le son exigibles las obligaciones inherentes a tal condición. Entiende que el TJUE en su sentencia de 13 de mayo de 2014 ha confirmado esta interpretación, al considerar como responsable del tratamiento únicamente a Google Inc., como titular del motor de búsqueda Google Search, y solo a efectos de atraer la aplicación de la normativa española de protección de datos, determina que Google Spain es un establecimiento en el sentido del art. 4.1.a) de la Directiva 95/46/CE y el TJUE extrae una única consecuencia jurídica, que Google Inc., pese a ser una empresa ubicada fuera de la Unión Europea, debe quedar sujeta al contenido de dicha Directiva y las respectivas disposiciones nacionales en materia de protección de datos y, por el contrario, no hay en la valoración del TJUE atribución alguna de responsabilidad en materia de protección de datos a Google Spain. Añade que la propia AEPD, tras la sentencia del TJUE de 13 de mayo de 2014 , ha optado en los procedimientos de tutela de derechos por actuar exclusivamente frente a Google Inc. Así lo han entendido diversos Tribunales de los Estados miembros de la Unión Europea que cita y cuyas resoluciones transcribe en cuanto señalan, por referencia a la sentencia del TJUE, que no se observa responsabilidad en entidades semejantes a Google Spain en esos Estados. Concluye la recurrente alegando que la sentencia recurrida al atribuir a Google Spain la condición de corresponsable del tratamiento de datos, lo hace sobre la base de un título de imputación que crea el Juzgador " ex novo ", no previsto en la normativa de protección de datos, por cuanto, admitida la posible concurrencia de varios responsables en el tratamiento de datos ( art. 2.d) Directiva 95/46/CE ), ello no excluye la necesidad de examinar y analizar en qué medida cada uno de ellos contribuye a determinar los fines y los medios del tratamiento, lo que ha omitido la Sala de instancia, con lo que se estaría imputando una suerte de responsabilidad solidaria sin ninguna base jurídica para ello. Considera que la Sala de instancia acude a un título de imputación ex novo, basado en una circunstancia ajena al tratamiento de datos, cual es la lógica interrelación económica que existe entre una filial y su matriz en cualquier Grupo de sociedades (unidad de negocio), que no se contempla como título de imputación de responsabilidad en el tratamiento de datos en la Directiva 95/46/CE ni encuentra base alguna en los pronunciamientos de la sentencia del TJUE de 13 de mayo de 2014 .

Este motivo está estrechamente relacionado con los dos siguientes, formulados también al amparo del art. 88.1.d) de la Ley procesal , en los que se suscita la misma cuestión referida a la determinación del responsable del tratamiento. En el motivo tercero se denuncia la infracción de la jurisprudencia que cita sobre la doctrina de los actos propios en la medida en que la sentencia funda la corresponsabilidad de la actora en una serie de indicios, con base en los cuales y apelando a la doctrina de los actos propios declara que la recurrente ha reconocido su condición de responsable en el tratamiento de datos gestionados por Google Inc., por actuar como tal frente a terceros. Rechaza la recurrente la valoración de la Sala de instancia en cada uno de los expedientes de tutela de derechos citados por la misma, pues de su intervención en los mismos y sus alegaciones no puede inferirse que Google Spain asuma responsabilidad por el tratamiento o determine fines o medios, y en cuanto a su actuación ante los tribunales, señala que la no oposición en uno de los múltiples recursos de su falta de legitimación no puede considerarse acto propio de aceptación frente a los cientos de procedimientos en los que se ha invocado tal excepción; que el acuerdo alcanzado en un proceso sobre la intromisión ilegítima en el derecho al honor entre la AVT y YouTube, LLC y Google Spain, tras haber invocado esta última su falta de legitimación pasiva, tampoco supone acto propio de reconocimiento de responsabilidad en el tratamiento de datos en el sentido apreciado por la Sala de instancia; el desistimiento por Google Spain en 130 recursos contencioso administrativos, que tienen por objeto resoluciones de la AEPD en procedimientos de tutela de derechos, se produjo porque la información ya no era indexada como consecuencia de la intervención de los editores o dueños de las páginas web, no porque Google Spain asumiera ninguna responsabilidad al respecto; entiende que tampoco su intervención en un procedimiento sancionador permite concluir que decida sobre la finalidad o medios del tratamiento; finalmente, acerca de la carencia de medios para cumplir la obligación impuesta por la AEPD, precisa que el bloqueo provisional de los resultados de búsqueda se efectuó por Google Inc. no por Google Spain.

El motivo cuarto se funda en la infracción del artículo 24 CE y de la jurisprudencia que cita sobre la valoración de los hechos tenidos en cuenta para justificar la aplicación de la doctrina de los actos propios, denunciando que en la sentencia se han contrariado las reglas de la sana crítica en la apreciación de unos hechos, que no solo no fueron objeto de prueba en el procedimiento sino que ni siquiera fueron esgrimidos por la parte demandada y que, como resulta de las alegaciones anteriores, ponen de manifiesto que Google Spain nunca ha reconocido, ni de forma explícita o implícita, que estuviera actuando como responsable del tratamiento, lo que no podía hacer ni legalmente (por carecer de capacidad de hecho o de derecho para determinar los fines y medios del tratamiento) ni de facto (al carecer de medios técnicos y materiales adecuados para ello). Por ello considera irrazonable pretender, como hace la Audiencia Nacional, que el mero hecho de comparecer en un procedimiento administrativo o judicial suponga per se una asunción de responsabilidad.

QUINTO

La relación entre estos tres motivos de casación aconseja su examen de manera conjunta, a cuyo efecto conviene recordar la respuesta dada en la sentencia recurrida a la alegación de la parte de falta de legitimación pasiva en el procedimiento administrativo y subsiguiente nulidad de la resolución impugnada.

La Sala de instancia comienza refiriéndose a la legitimación activa en el proceso contencioso administrativo, prevista en el art. 19.1.a) de la Ley de la Jurisdicción , precisando que Google Spain, S.L ostenta tal legitimación, legitimación que en ningún momento había sido objeto de debate o controversia, pasando a considerar que tras la alegación de la demandante realmente subyace la negación de su condición de sujeto obligado o responsable frente al derecho de oposición ejercitado, dada la concreta actividad que desarrolla y su relación con Google Inc.

Desde este planteamiento señala que: [Para resolver la cuestión que estamos analizando resulta conveniente tener en cuenta los siguientes hechos probados recogidos en la Sentencia del TJUE de 13 de mayo de 2014 , que se basan en el Auto de esta Sala de 27 de febrero de 2012 , de planteamiento de la cuestión prejudicial:

"- Google Search se presta a nivel mundial a través del sitio de Internet «www.google.com». En muchos países existen versiones locales adaptadas al idioma nacional. La versión española de Google Search se presta a través del sitio www.google.es, dominio que tiene registrado desde el 16 de septiembre de 2003. Google Search es uno de los motores de búsqueda más utilizados en España.

- Google Inc. (empresa matriz del grupo Google), con domicilio en los Estados Unidos, gestiona Google Search.

- Google Search indexa páginas Web de todo el mundo, incluyendo páginas Web ubicadas en España. La información indexada por sus «arañas» o robots de indexación, es decir, programas informáticos utilizados para rastrear y realizar un barrido del contenido de páginas Web de manera metódica y automatizada, se almacena temporalmente en servidores cuyo Estado de ubicación se desconoce, ya que este dato es secreto por razones competitivas.

- Google Search no sólo facilita el acceso a los contenidos alojados en las páginas Web indexadas, sino que también aprovecha esta actividad para incluir publicidad asociada a los patrones de búsqueda introducidos por los internautas, contratada, a cambio de un precio, por las empresas que desean utilizar esta herramienta para ofrecer sus bienes o servicios a éstos.

- El grupo Google utiliza una empresa filial, Google Spain, como agente promotor de venta de los espacios publicitarios que se generan en el sitio de Internet «www.google.com». Google Spain tiene personalidad jurídica propia y domicilio social en Madrid, y fue creada el 3 de septiembre de 2003. Dicha empresa dirige su actividad fundamentalmente a las empresas radicadas en España, actuando como agente comercial del grupo en dicho Estado miembro. Tiene como objeto social promocionar, facilitar y procurar la venta de productos y servicios de publicidad «on line» a través de Internet para terceros, así como la comercialización de esta publicidad.

- Google Inc. designó a Google Spain como responsable del tratamiento en España de dos ficheros inscritos por Google Inc. ante la AEPD; el objeto de tales ficheros era almacenar los datos de las personas relacionadas con los clientes de servicios publicitarios que en su día contrataron con Google Inc.".

La letra d) del artículo 2 de la Directiva 95/46/CE establece que se entenderá por "responsable del tratamiento": «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario». En el mismo sentido, se pronuncia el artículo 5.1.q) del Reglamento de Protección de Datos . Por su parte, el artículo 3.d) de la LOPD define como responsable del tratamiento a la "persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento".

Por su parte el Proyecto de Reglamento Europeo de Protección de Datos considera responsable del tratamiento a "la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y medios del tratamiento de datos personales; en caso de que los fines y medios del tratamiento estén determinados por la legislación de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por la legislación de la Unión o de los Estados miembros".

El Dictamen 1/2010, sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» adoptado el 16 de febrero de 2010 por el (Grupo de Trabajo del artículo 29 de la Directiva 95/46/ CE (GT29), dice en relación con el concepto de responsable del tratamiento lo siguiente: «El concepto de responsable del tratamiento es autónomo, en el sentido de que debe interpretarse fundamentalmente con arreglo a la legislación comunitaria de protección de datos, y funcional, en el sentido de que su objetivo es asignar responsabilidades en función de la capacidad de influencia de hecho, y, por consiguiente, se basa en un análisis de los hechos más que en un análisis formal...

La definición de la Directiva consta de tres componentes fundamentales: el aspecto personal («la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo»); la posibilidad de un control plural («que solo o conjuntamente con otros»); los elementos esenciales para distinguir al responsable del tratamiento de otros agentes («determine los fines y los medios del tratamiento de datos personales»)...

En relación con la determinación de los fines y los medios se señala que "el hecho de determinar los «fines» del tratamiento trae consigo la consideración de responsable del tratamiento (de facto). En cambio, la determinación de los «medios» del procesamiento puede ser delegada por el responsable del tratamiento en la medida en que se trate de cuestiones técnicas u organizativas. Sin embargo, las cuestiones de fondo que sean esenciales a efectos de la legitimidad del tratamiento -como los datos que deban tratarse, la duración de su conservación, el acceso, etc.- deben ser determinadas por el responsable del tratamiento".

No cabe duda alguna de que Google Inc., que gestiona el motor de búsqueda Google Search, es responsable del tratamiento de datos, al determinar los fines, las condiciones y los medios del tratamiento de datos personales. No obstante, ello no implica que Google Inc. sea responsable del tratamiento en solitario, ya que no podemos olvidar que el citado artículo 2.d) de la Directiva 95/46/CE , alude a que la determinación de los fines y los medios del tratamiento de datos personales se puede hacer "sólo o conjuntamente con otros" , máxime si tenemos en cuenta, que "las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades" (apartado 56 de la Sentencia del TJUE de 13 de mayo de 2014 ).

A este respecto, en el Dictamen 1/2010 del GT29 se dice: "En el dictamen de la Comisión sobre la enmienda del PE, la Comisión menciona la posibilidad de que «varias partes determinen conjuntamente, para una única operación de tratamiento, los fines y los medios del tratamiento que se vaya a llevar a cabo» y, por lo tanto, en tal caso, «cada uno de estos corresponsables del tratamiento debe considerarse vinculado por las obligaciones impuestas por la Directiva de proteger a las personas físicas cuyos datos se estén tratando»" . Se añade que "la definición de tratamiento contenida en el artículo 2.b) de la Directiva no excluye la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales. Estas operaciones pueden producirse simultáneamente o en distintas fases"

. Y se concluye que "la participación de las partes en la determinación de los fines y los medios del tratamiento en el contexto del control conjunto puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales... Los distintos grados de control pueden dar lugar a distintos grados de responsabilidad, y desde luego no cabe presumir que haya una responsabilidad solidaria en todos los casos. Por lo demás, es muy posible que en sistemas complejos con varios agentes el acceso a datos personales y el ejercicio de otros derechos de los interesados también los puedan garantizar distintos agentes a diferentes niveles" .

Así las cosas, en la Sentencia del TJUE de 13 de mayo de 2014 se declara que "... el artículo 4, apartado 1, letra a), de la Directiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado «por» el propio establecimiento en cuestión, sino que se realice «en el marco de las actividades» de éste" (apartado 52). Además se añade que, "visto el objetivo de la Directiva 95/46 de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, ésta expresión no puede ser objeto de una interpretación restrictiva (véase, por analogía, la sentencia L'Oréal y otros, CEU:C:2011:474, apartados 62 y 63) (apartado 53)".

Por otro lado, y así se deduce de los apartados 55, 56 y 57 de la Sentencia de 13 de mayo de 2014 del TJUE , Google Spain, S.L. es un establecimiento del responsable del tratamiento de datos que se encuentra implicado en actividades relativas al tratamiento de datos personales, en cuanto que está destinado a la promoción y venta en España de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor, ya que constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades.

Además, afirma la Sentencia de 13 de mayo de 2014 del TJUE que la presentación de datos personales en una página de resultados de una búsqueda, constituye un tratamiento de dichos datos y concluye que, al encontrarse acompañada en la misma página de la presentación de publicidad vinculada a los términos de búsqueda, "es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de autos el territorio español " (apartado 57).

En definitiva, la responsabilidad de Google Spain, S.L. en el tratamiento de datos personales llevado a cabo en el marco del servicio de búsqueda en internet ofrecido por Google Inc. -gestor del motor de búsqueda deriva de la unidad de negocio que conforman ambas sociedades, en la que la actividad desempeñada por Google Spain, S.L. resulta indispensable para el funcionamiento del motor de búsqueda, pues de aquella depende su rentabilidad. El concierto de ambas sociedades en la prestación de tal servicio a los internautas lo hace viable económicamente y posibilita su subsistencia.

Carecería de lógica alguna excluir a Google Spain, S.L. de cualquier responsabilidad en el tratamiento de los datos personales que lleva a cabo Google Inc., tras afirmar que este tratamiento se sujeta al Derecho Comunitario precisamente por haberse llevado a cabo en el marco de las actividades de su establecimiento en España, del que es titular Google Spain, S.L., y más aún tras aceptar la relevancia de su participación en la actividad conjuntamente desempeñada por ambas, en relación con el funcionamiento del motor de búsqueda y el servicio que mediante el mismo se presta a los internautas, que conlleva el tratamiento de datos personales que nos ocupa.

De no entenderse así se vería menoscabado el efecto útil de la Directiva 95/46/ CE y la protección directa y completa de las libertades y de los derechos fundamentales de las personas físicas, en particular el derecho a la intimidad, en lo que respecta al tratamiento de datos personales, que tiene por objeto garantizar, tal y como se desprende de su artículo 1 y de su considerando 10 (véanse apartados 53 , 58 y 66 st. TJUE).

Resulta interesante poner de manifiesto en este momento lo que se recoge en las observaciones escritas de la Comisión Europea presentadas al Tribunal de Justicia de la Unión Europea en relación con la cuestión prejudicial planteada por esta Sala, en las que se lee que "de acuerdo con las afirmaciones de la propia Google en su página Web "Google data centers" la mayor parte de los ingresos de Google proceden de la publicidad de gran interés para los consumidores de internet que buscan sobre productos y servicios relacionados".

A lo expuesto, tenemos que añadir que Google Spain, S.L. ha venido actuando como si fuese responsable del tratamiento de datos, tanto en procedimientos de tutela de derechos seguidos ante la Agencia Española de Protección de Datos como en diversas intervenciones ante Tribunales Españoles.

En este sentido, resulta conveniente hacer referencia a los siguientes procedimientos de tutela de derechos sobre cancelación de datos personales seguidos en la Agencia Española de Protección de Datos, en los que la reclamación se dirigió contra Google Spain, S.L., y ésta actuó como si fuera responsable del tratamiento de datos:

TD/00299/2007 (resolución de 9 de julio de 2007), TD/00463/2007 (resolución de 9 de julio de 2007), TD/00814/2007 (resolución de 7 de abril de 2008), TD/00387/2008 (resolución de 3 de septiembre de 2008),TD/00420/2008 (resolución de 29 de diciembre de 2008), TD/0444/2008 (resolución de 4 de noviembre de 2008), TD/00569/2008 (resolución de 24 de septiembre de 2008) y TD/00580/2008 (resolución de 29 de diciembre de 2008).

En dichos procedimientos se viene a manifestar por Google Spain, S.L que las informaciones obtenidas a través de sus resultados de búsqueda se encontraban en páginas de terceros cuyo acceso es público y, en consecuencia, para eliminar dicho contenido de los resultados deberían desaparecer del webmaster de la página de terceros.

En cuanto a la actuación de Google Spain, S.L. ante los Tribunales Españoles, hay supuestos en que asumió la condición del responsable del tratamiento, siendo un ejemplo de ello la Sentencia de la Sala de lo Civil del Tribunal Supremo de 3 de abril de 2012 -recurso nº. 2.037/2008 -, sobre los derechos del allí recurrente como autor de una página Web de apuestas frente a Google Spain, S.L., en la que ésta no opuso la falta de legitimación pasiva. Por otro lado, en un procedimiento en que era parte demandada que tenía por objeto una demanda por intromisión ilegítima en su derecho al honor y a la propia imagen por la difusión de unos videos, que concluyó con la Sentencia de la Sala de lo Civil del Tribunal Supremo de 15 de enero de 2014 - recurso nº. 897/2010 -, consta que Google Spain, S.L. llegó a un acuerdo transaccional con la parte demandante, lo que no hubiera sido posible si no hubiera estado legitimada.

La Sala es consciente de que la postura adoptada por Google Spain, S.L. en dichos procedimientos, tanto administrativos como judiciales, puede que no sea determinante para la resolución de la cuestión que estamos analizando, pero constituye un indicio muy importante a los efectos de considerar a Google Spain, S.L. también como responsable del tratamiento de datos, y, especialmente, si añadimos el desistimiento efectuado por Google Spain, S.L. en unos 130 recursos contencioso- administrativos que se tramitan en esta Sala, que tienen por objeto resoluciones recaídas en procedimientos de tutela de derechos sobre cancelación/oposición de datos.

Las citadas actuaciones inciden en la doctrina de los actos propios que, como se dice en la Sentencia de la Sala Primera de lo Civil del Tribunal Supremo de 9 de marzo de 2012 -recurso nº. 576/2009 -, "tiene su fundamento en la protección de la confianza y en el principio de la buena fe, que impone un deber de coherencia y limita la libertad de actuación cuando se han creado expectativas razonables. Los presupuestos esenciales fijados por esta teoría aluden a que los actos propios sean inequívocos, en el sentido de crear, definir, fijar, modificar, extinguir o esclarecer, sin ninguna duda, una determinada situación jurídica afectarte a su autor, y, además, exista una incompatibilidad entre la conducta anterior y la pretensión actual, según la manera que, de buena fe, hubiera de atribuirse a aquélla ( SSTS 1 de julio y 28 de diciembre 2011 , 31 de enero 2012 )...".

Finalmente, la parte demandante Google Spain, S.L., en las alegaciones formuladas a la Sentencia del TJUE de 13 de mayo de 2014 en otros recursos similares, invoca la resolución de 18 de diciembre de 2013 -PS/320/2013- de la Agencia Española de Protección de Datos, que es objeto del recurso contencioso-administrativo nº. 51/2014 que se sigue en esta Sala.

El citado procedimiento sancionador, que se incoó con fecha 1 de marzo de 2012, con el fin de determinar el grado de adecuación de las políticas de privacidad y los términos de servicio adoptados por Google a la LOPD y demás normativa de protección de datos, se dirigió en principio contra Google Spain, S.L., y Google Inc., pero luego, en la resolución sancionadora se razona que la única imputable es Google Inc., imponiéndose a ésta tres sanciones de 300.000 euros cada una por las infracciones de los arts. 6.1 , 4.5, en relación con el Art. 16 y 15 , y 16, todas ellas de la LOPD . En sus alegaciones al acuerdo de inicio del procedimiento sancionador Google Spain, S.L., afirmó que "Google Spain es un activo de Google Inc. toda vez que Google Spain es totalmente (aunque sea de modo indirecto) propiedad de Google Inc. y, por lo tanto, los efectos económicos de cualquier pérdida de Google Spain (Ej. una multa) se trasladan de forma automática a Google Inc." . Por su parte, en el citado procedimiento sancionador Google Inc. invocó sobre la propuesta de resolución sancionadora, la vulneración del principio "non bis in ídem" , partiendo de que Google Spain, S.L. fue constituida y está controlada al 100% por Google Inc.

Se añade más adelante que "en el presente caso, la AEPD pretende imponer a Google Inc. y a Google Spain idénticas sanciones, sobre la base de unos mismos hechos (la implantación de la nueva política de Privacidad), existiendo entre Google Inc. y Google Spain una identidad subjetiva (no formal, pero sí material como ha quedado acreditado, y a la vista de la normativa de protección de datos)" .

Por tanto, a tenor de lo relatado, consideramos que Google Spain, S.L. también es responsable del tratamiento de datos, constituyendo ésta y Google Inc. una unidad material, además de reunir la características de un establecimiento de los referidos en el artículo 4.1.a) de la Directiva 95/46/CE , en el que participa en el tratamiento de datos.

La Sala no ignora que resoluciones de otros tribunales, españoles y extranjeros, antes y después de la Sentencia del TJUE de 13 de mayo de 2014 , han acogido la excepción de falta de legitimación pasiva de Google Spain, S.L., o de la filial de Google Inc. en otros países europeos, en reclamaciones relacionadas con el buscador Google, por considerar a Google Inc. único responsable del motor de búsqueda. Pero también hay Sentencias que, aplicando la citada Sentencia del TJUE, consideran que Google Spain, S.L, tiene legitimación pasiva, siendo ejemplo de ello la Sentencia de la Sección 16ª de la Audiencia Provincial de Barcelona de 17 de julio de 2014 -recurso nº 411/2011 -, recaída en materia de intromisión en el derecho a la intimidad personal y familiar, a la imagen y al honor, por la que se condena a Google Spain, S.L. por vulnerar el derecho del allí demandante a la protección de datos personales.

Por último, en cuanto a la alegación de Google Spain, S.L. de carecer de los medios necesarios para cumplir por sí misma la obligación impuesta por la AEPD - eliminación del índice de resultados proporcionado por el buscador de determinados enlaces-, hay que tener en cuenta que la unidad material y funcional que conforma con Google Inc. conlleva su responsabilidad en el cumplimiento de la obligación, trasladándola al gestor del motor de búsqueda y contribuyendo a su realización, dada la relevancia de su participación en el funcionamiento del servicio de búsqueda en Internet que se ofrece a los internautas. De hecho, así se ha venido a reconocer, en el caso que nos ocupa, por Google Spain, S.L. que ha procedido al bloqueo provisional de resultados de la consulta a nombre del reclamante.]

En conclusión, la Sala de instancia rechaza la alegación de falta de legitimación pasiva de la recurrente en el procedimiento administrativo por dos razones: primera, que Google Spain, S.L. es corresponsable en el tratamiento de datos personales llevado a cabo en el marco del servicio de búsqueda en internet ofrecido por Google Inc. -gestor del motor de búsqueda- en razón de la unidad de negocio que conforman ambas sociedades, en la que la actividad desempeñada por Google Spain, S.L. resulta indispensable para el funcionamiento del motor de búsqueda, pues de aquella depende su rentabilidad. El concierto de ambas sociedades en la prestación de tal servicio a los internautas lo hace viable económicamente y posibilita su subsistencia. Segunda, en aplicación de la doctrina de los actos propios, dado que Google Spain, S.L. ha venido actuando como si fuese responsable del tratamiento de datos, tanto en procedimientos de tutela de derechos seguidos ante la Agencia Española de Protección de Datos como en diversas intervenciones ante Tribunales Españoles.

SEXTO

La resolución de estos motivos de casación aconseja dejar claro, desde el principio, que la legitimación pasiva en el procedimiento administrativo de tutela de derechos, que se cuestiona en los mismos, viene determinada por la condición de responsable del tratamiento de los datos personales, en razón de que corresponde al mismo garantizar que el tratamiento se ajusta a los principios y condiciones de la normativa reguladora y asumir las correspondientes obligaciones al respecto frente al interesado, titular de los datos personales, el cual, en el ejercicio de sus derechos, puede dirigirse directamente al responsable y en su caso a la autoridad de control exigiendo su cumplimiento.

A tal efecto el art. 6 de la Directiva 95/46/CE , tras referir en el número 1 los principios relativos a la calidad de los datos (tratados de manera leal y lícita; con fines determinados, explícitos y legítimos; adecuados, pertinentes y no excesivos; exactos y, cuando sea necesario, actualizados; conservados durante un periodo no superior al necesario) establece en el número 2 que: " corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1".

Abunda en ello la referida sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014 , cuando señala que: "A tenor de este artículo 6 y sin perjuicio de las disposiciones específicas que los Estados miembros puedan establecer para el tratamiento con fines históricos, estadísticos o científicos, incumbe al responsable del tratamiento garantizar que los datos personales sean «tratados de manera leal y lícita», que sean «recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines», que sean «adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente», que sean «exactos y, cuando sea necesario, actualizados», y, por último, que sean «conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente». En este marco , el mencionado responsable debe adoptar todas las medidas razonables para que los datos que no responden a los requisitos de esta disposición sean suprimidos o rectificados."

El art. 12 de la misma Directiva, titulado "Derecho de acceso", establece:

"Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento :

[...]

  1. en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos;"

    En el artículo 14, relativo al "Derecho de oposición del interesado", se dispone:

    "Los Estados miembros reconocerán al interesado el derecho a:

  2. oponerse, al menos en los casos contemplados en las letras e) y f) del artículo 7, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. En caso de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos;"

    El artículo 23 se refiere al derecho de toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, a obtener del responsable del tratamiento la reparación del perjuicio sufrido.

    En el mismo sentido se expresa la normativa estatal en numerosos preceptos, entre los que cabe indicar los siguientes:

    El art. 6.4 de la Ley 15/1999 , de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), a propósito del consentimiento del interesado, dispone que "En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado."

    En el art. 9 se atribuye el responsable del fichero y, en su caso, el encargado del tratamiento, la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos de carácter personal.

    En el art. 16 se establece la obligación del responsable del tratamiento de hacer efectivo el derecho de rectificación o cancelación del interesado. Y el art. 19 reconoce el derecho de los interesados a ser indemnizados por los daños sufridos a consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento.

    En cuanto a los procedimientos para ejercitar los derechos de oposición, acceso, rectificación y cancelación, la LOPD remite al desarrollo reglamentario, disponiendo el art. 25 del Real Decreto 1720/2007, de 21 de diciembre , que aprueba el Reglamento de desarrollo de la LOPD, que el ejercicio de tales derechos deberá llevarse a cabo mediante comunicación dirigida a l responsable del fichero, con el que se sigue el procedimiento correspondiente, hasta el punto que, según el art. 26 , incluso en el caso de que los afectados ejerciten sus derechos ante un encargado del tratamiento, este encargado deberá dar traslado de la solicitud al responsable , a fin de que se resuelva por el mismo, dejando claro con todo ello que la legitimación pasiva en estos procedimientos administrativos viene atribuida al responsable del tratamiento.

    Por lo demás, que corresponda al responsable del tratamiento de datos el cumplimiento de las obligaciones que se derivan de los derechos de oposición, cancelación y rectificación que puede ejercitar el titular de los mismos, y en consecuencia la legitimación pasiva en el procedimiento, es una consecuencia que se infiere de las reglas generales en materia de derecho de obligaciones, y buen ejemplo de ello lo encontramos en nuestro ordenamiento jurídico ( artículos 1.088 y ss. del CC ). En este sentido, recordemos que las obligaciones pueden nacer de la Ley, siendo el caso que nos ocupa un supuesto paradigmático pues la mayor parte de las reclamaciones referidas al tratamiento informatizado de datos de carácter personal tienen un carácter extracontractual. Y esa obligación puede consistir en una obligación de hacer, esto es, en la realización efectiva de la prestación debida que es objeto de la pretensión: en este caso la cancelación de datos personales en el buscador de Google. Pues bien, es presupuesto que para realizar el cumplimiento liberatorio de la obligación hay que tener capacidad de obrar, entendida como capacidad para realizar la prestación cuyo cumplimiento se demanda, que en este caso viene asociada por la Ley, en los términos indicados, a la condición de responsable del tratamiento.

SÉPTIMO

Lo expuesto nos sitúa ya en el núcleo de la cuestión debatida, que no es otra que la determinación del responsable del tratamiento de datos objeto de litigio y, concretamente, si la recurrente, Google Spain S.L., en cuanto establecimiento en España de la sociedad Google Inc. con sede en los Estados Unidos es, como sostiene la sentencia recurrida y rechaza la recurrente por las razones antes indicadas, corresponsable en el tratamiento de datos que esta última gestiona a través de su motor de búsqueda en Internet.

Para ello ha de estarse a la regulación en la normativa que se invoca como infringida de la figura del responsable del tratamiento, considerando la interpretación que de dicha normativa realiza el TJUE en sentencia de 13 de mayo de 2014 al resolver la cuestión prejudicial planteada por la Sala de instancia sobre los diversos aspectos que integran el debate litigioso.

A tal efecto el artículo 2 de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, define en la letra d) al "responsable del tratamiento" como "la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario".

Paralelamente, el artículo 3.d) de la Ley Orgánica 15/1999 define lo que ha de entenderse por "responsable del fichero o tratamiento" a los efectos de la misma como la "persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento".

Al alcance de este concepto se refiere la sentencia de instancia cuando señala que: "El Dictamen 1/2010 , sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» adoptado el

16 de febrero de 2010 por el (Grupo de Trabajo del artículo 29 de la Directiva 95/46/ CE (GT29), dice en relación con el concepto de responsable del tratamiento lo siguiente: «El concepto de responsable del tratamiento es autónomo, en el sentido de que debe interpretarse fundamentalmente con arreglo a la legislación comunitaria de protección de datos, y funcional, en el sentido de que su objetivo es asignar responsabilidades en función de la capacidad de influencia de hecho, y, por consiguiente, se basa en un análisis de los hechos más que en un análisis formal...

La definición de la Directiva consta de tres componentes fundamentales: el aspecto personal («la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo»); la posibilidad de un control plural («que solo o conjuntamente con otros»); los elementos esenciales para distinguir al responsable del tratamiento de otros agentes («determine los fines y los medios del tratamiento de datos personales»)...

En relación con la determinación de los fines y los medios se señala que "el hecho de determinar los «fines» del tratamiento trae consigo la consideración de responsable del tratamiento (de facto). En cambio, la determinación de los «medios» del procesamiento puede ser delegada por el responsable del tratamiento en la medida en que se trate de cuestiones técnicas u organizativas. Sin embargo, las cuestiones de fondo que sean esenciales a efectos de la legitimidad del tratamiento - como los datos que deban tratarse, la duración de su conservación, el acceso, etc.- deben ser determinadas por el responsable del tratamiento".

Se desprende de todo ello, que la caracterización como responsable del tratamiento de datos, frente a la intervención de otros agentes, viene delimitada por la efectiva participación en la determinación de los fines y medios del tratamiento, o dicho de otro modo, que la identificación del responsable del tratamiento exige una valoración fáctica acerca de su efectiva intervención en esos concretos aspectos de fijación de fines y medios del tratamiento, para lo cual es preciso establecer, en primer lugar, cual es la actividad de tratamiento de que se trata.

En este caso el TJUE en su sentencia de 13 de mayo de 2014 , resolviendo la cuestión prejudicial planteada por la Sala de instancia, señala en cuanto a la actividad de tratamiento, que " que el artículo 2, letra b), de la Directiva 95/46 define el «tratamiento de datos personales» como «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción", añadiendo que " Por consiguiente, debe declararse que, al explorar Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el gestor de un motor de búsqueda «recoge» tales datos que «extrae», «registra» y «organiza» posteriormente en el marco de sus programas de indexación, «conserva» en sus servidores y, en su caso, «comunica» y «facilita el acceso» a sus usuarios en forma de listas de resultados de sus búsquedas. Ya que estas operaciones están recogidas de forma explícita e incondicional en el artículo 2, letra b), de la Directiva 95/46 , deben calificarse de «tratamiento» en el sentido de dicha disposición, sin que sea relevante que el gestor del motor de búsqueda también realice las mismas operaciones con otros tipos de información y no distinga entre éstos y los datos personales".

En consecuencia, concluye el TJUE que, " el gestor del motor de búsqueda es quien determina los fines y los medios de esta actividad y, así, del tratamiento de datos personales que efectúa él mismo en el marco de ésta y, por consiguiente, debe considerarse «responsable» de dicho tratamiento en virtud del mencionado artículo 2, letra d)".

La conclusión que alcanza el TJUE es clara: " Del conjunto de las consideraciones precedentes se desprende que procede responder a la segunda cuestión prejudicial, letras a ) y b), que el artículo 2, letras b ) y d), de la Directiva 95/46 debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el sentido del mencionado artículo 2, letra d) ".

En consecuencia, conforme a la interpretación del TJUE, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, finalmente, ponerla a disposición de los internautas, debe calificarse de "tratamiento de datos personales", en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales; y, por otra parte, el gestor de un motor de búsqueda, que en este caso y de manera incontrovertida es Google Inc., debe considerarse "responsable" de dicho tratamiento, en el sentido del mencionado artículo 2, letra d), en tanto que determina los fines y medios de esa actividad de motor de búsqueda.

Que esto es así lo reconoce la propia sentencia de instancia cuando señala que no cabe duda alguna de que Google Inc., que gestiona el motor de búsqueda Google Search, es responsable del tratamiento de datos, al determinar los fines, las condiciones y los medios del tratamiento de datos personales.

La controversia se produce cuando la sentencia añade que, además, existe una corresponsabilidad de Google Spain S.L. y ello en razón de la unidad de negocio que conforman ambas sociedades.

Es cierto al respecto que los preceptos antes referidos de la Directiva 95/46/CE y la LOPD contemplan la posibilidad de corresponsabilidad en el tratamiento de los datos, cuando emplean los términos solo o conjuntamente con otros, pero no lo es menos que ello supone una coparticipación en la determinación de los fines y medios del tratamiento, que es lo que caracteriza la condición de responsable, no cualquier otro auxilio o colaboración con el mismo que no tenga tal naturaleza, como puede ser el caso aquí contemplado de promoción de productos o servicios publicitarios en beneficio del responsable, promoción ajena a la determinación de los fines y medios del tratamiento, en otras palabras, es la sociedad que gestiona el motor de búsqueda la que asume la responsabilidad del tratamiento de datos, con las obligaciones que de ello se deriva en orden al efectivo cumplimiento de la normativa tanto europea como nacional reguladoras del tratamiento de datos personales, sin que esa responsabilidad pueda trasladarse también al sujeto que, sin intervenir en esa gestión del motor de búsqueda, realiza otras actividades conexas o vinculadas, en este caso las ya señaladas de promoción publicitaria como soporte económico del motor de búsqueda.

A ello se refiere el citado Dictamen 1/2010, invocado en la sentencia de instancia, cuando señala que los elementos esenciales para distinguir al responsable del tratamiento de otros agentes es, precisamente, la determinación de los fines y medios de tratamiento.

Resulta significativo al respecto el fundamento 40 de la repetida sentencia del TJUE de 13 de mayo de 2014 cuando, a propósito de la responsabilidad del gestor del motor de búsqueda aun cuando los editores de los sitios de Internet no hayan aplicado protocolos de exclusión, con indicaciones como "noindex" o "noarchive", señala que ello no modifica el hecho de que el gestor determina los fines y los medios de este tratamiento y que, aun suponiendo que dicha facultad de los editores signifique que determinen conjuntamente con dicho gestor los medios del mencionado tratamiento, tal afirmación no elimina la responsabilidad del gestor, en cuanto la norma permite que esta determinación pueda realizarse conjuntamente con otros. Se identifica, pues, la colaboración o coparticipación con el gestor con una actividad de determinación de medios del tratamiento y no de otra naturaleza.

Quiere decirse con todo ello, que hablar de corresponsabilidad supone un examen de la situación fáctica y comprobar que la entidad en cuestión tiene una participación concreta e identificada en la determinación de los fines y medios del tratamiento de que se trate, tratamiento que en este caso y según se declara por el TJUE al dar respuesta a la cuestión prejudicial planteada por la Sala de instancia, " consiste en hallar información publicada o puesta en Internet porterceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado" . En este caso no se identifica por la Sala de instancia ninguna actividad de Google Spain que suponga la participación en esa actividad del motor de búsqueda. Por el contrario y como recoge el TJUE en el fundamento 46 de la citada sentencia, el tribunal remitente señala que Google Inc. gestiona técnica y administrativamente Google Search y que no está probado que Google Spain realice en España una actividad directamente vinculada a la indexación o almacenamiento de información o de datos contenidos en los sitios de Internet de terceros.

Por otra parte, la necesidad de identificar y acreditar la concreta participación en los supuestos de corresponsabilidad en el tratamiento, resulta del Dictamen 1/2010 del GT29, al que se refiere la sentencia de instancia, en el que se dice: "En el dictamen de la Comisión sobre la enmienda del PE, la Comisión menciona la posibilidad de que «varias partes determinen conjuntamente, para una única operación de tratamiento, los fines y los medios del tratamiento que se vaya a llevar a cabo» y, por lo tanto, en tal caso, «cada uno de estos corresponsables del tratamiento debe considerarse vinculado por las obligaciones impuestas por la Directiva de proteger a las personas físicas cuyos datos se estén tratando»". Se añade que "la definición de tratamiento contenida en el artículo 2.b) de la Directiva no excluye la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales. Estas operaciones pueden producirse simultáneamente o en distintas fases". Y se concluye que "la participación de las partes en la determinación de los fines y los medios del tratamiento en el contexto del control conjunto puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales... Los distintos grados de control pueden dar lugar a distintos grados de responsabilidad, y desde luego no cabe presumir que haya una responsabilidad solidaria en todos los casos. Por lo demás, es muy posible que en sistemas complejos con varios agentes el acceso a datos personales y el ejercicio de otros derechos de los interesados también los puedan garantizar distintos agentes a diferentes niveles". Por lo tanto, no estableciéndose la responsabilidad solidaria y haciéndose cargo cada corresponsable de las obligaciones correspondientes a su participación, al que debe exigirse su cumplimiento, es preciso determinar y acreditar en cada caso la existencia y el alcance de la participación de cada uno en la determinación de los fines y medios del tratamiento para que pueda hablarse de corresponsabilidad, lo que en modo alguno se ha producido en este caso respecto de Google Spain y que como, ya hemos indicado, no puede fundarse en la vinculación mercantil o empresarial que existe entre Google Inc. y Google Spain, S.L., que es lo que en definitiva sostiene la sentencia recurrida, pues la coparticipación, desde su propia definición semántica como "acción de participar a la vez con otro en algo", alude a la idea de participación conjunta en algún resultado o acción, lo que en este caso comportaría que tanto Google Inc. como Google Spain, S.L., concurrieran en la tarea de determinar los fines y medios del motor de búsqueda. Sin embargo, no es esto lo que sucede en este caso, pues claramente se nos dice que es Google Inc. quien gestiona el motor de búsqueda -Google Search-, sin que en ningún caso se evidencie participación alguna en ese cometido de Google Spain, S.L., cuya actividad es la propia de un establecimiento (filial o sucursal) de aquélla que se limita a la promoción y venta en España de los espacios publicitarios del motor de búsqueda, y en este sentido constituye una actividad conexa o vinculada económicamente a la de su matriz, pero de distinta naturaleza a la determinación de fines o medios del tratamiento. Y es que no debe identificarse ni confundirse la determinación de los fines y medios del tratamiento, que caracteriza la condición de responsable, con una actividad de colaboración en la consecución de sus objetivos, que en el Dictamen 1/2010 se identifica genéricamente como actividad de otros agentes. De ahí que solo Google Inc. es la responsable del tratamiento pues a ella corresponde en exclusiva la determinación de los fines, las condiciones y los medios del tratamiento de datos personales.

OCTAVO

Por la misma razón y también de acuerdo con la recurrente, no puede compartirse el planteamiento de la Sala de instancia, que deduce la corresponsabilidad de Google Spain en el tratamiento de datos en cuestión de la unidad de mercado que conforma con Google Inc., con apoyo en los pronunciamientos del TJUE de 13 de mayo de 2014 .

Lo primero que debe señalarse al respecto es: que el TJUE se refiere a esta cuestión a propósito y con el objeto de dar respuesta a la cuestión prejudicial relativa a la sujeción del tratamiento de datos en litigio a la normativa comunitaria y de sus estados miembros, y ello en cuanto el responsable del motor de búsqueda que realiza ese tratamiento

-Google Inc.- tiene su sede fuera del territorio de la Unión Europea, pero sin embargo cuenta con un establecimiento -Google Spain S.L.- en un Estado miembro.

Recordemos que el artículo 4 de la Directiva 95/46 , bajo el rótulo de "Derecho nacional aplicable", contempla esta situación en los siguientes términos:

"1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

  1. el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

  2. el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;

  3. el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

  1. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento".

En respuesta a la cuestión formulada por la Sala de instancia al TJUE sobre el alcance de esta disposición, la sentencia dictada por éste declara lo siguiente:" el considerando 19 de la Directiva aclara que «el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable», y «que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante.

Pues bien, no se discute que Google Spain se dedica al ejercicio efectivo y real de una actividad mediante una instalación estable en España. Además, al estar dotada de personalidad jurídica propia, es de este modo una filial de Google Inc. en territorio español, y, por lo tanto, un«establecimiento», en el sentido del artículo 4, apartado 1, letra a), de laDirectiva 95/46.

Para cumplir el requisito establecido en dicha disposición, es necesario además que el tratamiento de datos personales por parte del responsable del tratamiento se «lleve a cabo en el marco de las actividades» de un establecimiento de dicho responsable situado en territorio de un Estado miembro.Google Spain y Google Inc. niegan que éste sea el caso, dado que el tratamiento de datos personales controvertido en el litigio principal lo lleva a cabo exclusivamente Google Inc., que gestiona Google Search sin ninguna intervención por parte de Google Spain, cuya actividad se limita a prestar apoyo a la actividad publicitaria del grupo Google, que es distinta de su servicio de motor de búsqueda.

No obstante, como subrayaron, en particular, el Gobierno español y la Comisión, el artículo 4, apartado 1, letra a), de la Directiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado«por» el propio establecimiento en cuestión, sino que se realice «en el marco de las actividades» de éste.

Además, visto el objetivo de la Directiva 95/46 de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, ésta expresión no puede ser objeto de una interpretación restrictiva (véase, por analogía, la sentencia L'Oréal y otros, C-324/09, EU:C:2011:474, apartados 62 y 63).

En este marco, cabe señalar que se desprende, concretamente de los considerandos 18 a 20 y del artículo 4 de la Directiva 95/46 , que el legislador de la Unión pretendió evitar que una persona se viera excluida de la protección garantizada por ella y que se eludiera esta protección, estableciendo un ámbito de aplicación territorial particularmente extenso.

Habida cuenta de este objetivo de la Directiva 95/46 y del tenor de su artículo 4, apartado 1, letra a ), procede considerar que el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa «en el marco de las actividades» de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor.

En efecto, en tales circunstancias, las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades".

Pues bien, desde estas consideraciones del TJUE no puede llegarse a la conclusión de que Googe Spain sea corresponsable del tratamiento de datos que se examina por las siguientes razones:

En primer lugar, el TJUE se plantea la cuestión de la aplicación de la norma comunitaria en razón de que el tratamiento de datos se realiza por un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero, es decir, en la medida que el responsable del tratamiento tiene su domicilio social fuera de la Comunidad Europea. Ninguna necesidad de ello habría si se considerara corresponsable también, genéricamente, como mantiene la Sala de instancia, a Google Spain con domicilio social en España.

En segundo lugar, el TJUE al utilizar como norma de conexión territorial el art. 4.1.a) de la Directiva 95/46 , consistente en que el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro, deja claro que no exige que el tratamiento de datos personales controvertido sea efectuado «por» el propio establecimiento en cuestión, sino que se realice «en el marco de las actividades» de éste, con lo que se deja claro de nuevo que no se trata de que el establecimiento en cuestión, Google Spain, participe en el tratamiento de datos sino de que dicho tratamiento se efectúa en el ámbito de sus actividades de promoción de espacios publicitarios, actividad distinta a la determinación de fines y medios del tratamiento que determina la corresponsabilidad. Es más, tal respuesta del TJUE corresponde a la concreta objeción planteada por Google Inc. y Google Spain en el sentido de que esta última entidad no participa en forma alguna en la determinación de los fines y medios del tratamiento, frente a lo cual el Tribunal señala que no es preciso a los efectos que examina, aplicación de la normativa comunitaria, que se produzca tal participación, asumiendo así que Google Spain no interviene como responsable del tratamiento.

Finalmente el TJUE concluye que se trata de aplicar la protección garantizada por la Directiva 95/46, "estableciendo un ámbito de aplicación territorial particularmente extenso", con lo que deja claro que no se trata de ampliar el concepto de responsable del tratamiento sino que, manteniendo los criterios que determinan tal condición y a pesar de que se encuentre domiciliado en un Estado tercero, el tratamiento de datos efectuado por ese responsable se sujeta a las previsiones de la Directiva 95/46 y las normas del Estado miembro correspondiente, en cuanto el tratamiento se proyecta en el ámbito de las actividades de un establecimiento del mismo en un Estado miembro, es decir, se amplía el ámbito territorial al del correspondiente establecimiento y es a esos efectos que se argumenta sobre la vinculación con las actividades del establecimiento, como justificación de la proyección del tratamiento de datos efectuado por el responsable en ese ámbito.

Como bien dice la recurrente --que cita en su apoyo lo resuelto por distintos tribunales de otros estados europeos: sentencia de la Audiencia Territorial de Berlín de 21 de agosto de 2014; auto de la Sala de lo Civil nº 2 de la Audiencia Territorial de Hamburgo de 18 de agosto de 2014; providencia de la Audiencia Territorial de Hamburgo de 22 de septiembre de 2014; sentencia del Tribunal de Roma de 4 de noviembre de 2014; sentencia del Tribunal de Amsterdam de 18 de septiembre de 2014 y del Tribunal de Apelación de 31 de marzo de 2015; auto del Tribunal de Gran Instancia de París de 8 de diciembre de 2014; sentencia del Tribunal de Primera Instancia de Arenas de 16 de febrero de 2015 ; y sentencia del Tribunal Regional de Düsseldorf de 7 de mayo de 2015 -- la consideración de Google Spain, S.L., como establecimiento en España de Google Inc. lo es a los efectos de atraer la aplicación de la normativa europea y, por derivación, la española de protección de datos personales al tratamiento gestionado por la segunda a través de su motor de búsqueda Google Search, no obstante tratarse de una empresa ubicada fuera de la Unión Europea. Y es en tal sentido que el TJUE señala que " las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas ", por lo que no puede sustraerse ese tratamiento de datos a la aplicación de la normativa europea y nacional correspondiente.

Con ello se trata de evitar la elusión del cumplimiento de la normativa europea sobre la materia con base en el argumento de que el responsable del tratamiento no tiene su sede social en territorio europeo, lo que le permitiría sustraerse a las obligaciones y garantías que en dicha normativa se establecen. Esta es la lógica a la que responde la previsión normativa que, mediante la ampliación del ámbito de aplicación territorial, consigue el efecto útil y protección que otorga la normativa comunitaria al interesado. Así lo sentencia el TJUE cuando razona que: "En tales circunstancias, no se puede aceptar que el tratamiento de datos personales llevado a cabo para el funcionamiento del mencionado motor de búsqueda se sustraiga a las obligaciones y a las garantías previstas por la Directiva 95/46, lo que menoscabaría su efecto útil y la protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas que tiene por objeto garantizar (véase, por analogía, la sentencia L'Oréal y otros, EU:C:2011:474, apartados 62 y 63), en particular, el respeto de su vida privada en lo que respecta al tratamiento de datos personales, al que esta Directiva concede una importancia especial, como confirman, concretamente, su artículo 1, apartado 1, y sus considerandos 2 y 10 (véanse, en este sentido, las sentenciasÖsterreichischer Rundfunk y otros, C 465/00 , C 138/01 y C 139/01 , EU:C:2003:294, apartado 70; Rijkeboer, C 553/07, EU:C:2009:293, apartado 47, e IPI, C 473/12, EU:C:2013:715, apartado 28 y jurisprudencia citada)".

Conviene reiterar, finamente, que ninguna controversia se suscitaría en cuanto a la aplicación territorial de la normativa comunitaria al tratamiento de datos si se considerara que el responsable del mismo es un establecimiento con domicilio social en un Estado miembro, como es el caso de Google Spain.

En consecuencia y como sostiene la entidad recurrente en este motivo de casación, no cabe hablar de corresponsabilidad de Google Spain en el tratamiento de datos en cuestión, por cuanto no concurren en la misma los requisitos que determinan la condición de responsable, y tampoco constituye título para ello la unidad de negocio que conforma con Google Inc a que se refiere la sentencia de instancia.

NOVENO

No está de más añadir al respecto que, como ya hemos indicado antes con referencia al Dictamen 1/2010 del GT 29, aun en los supuestos en los que existe corresponsabilidad en el tratamiento de datos, no es de apreciar solidaridad en el cumplimiento de las obligaciones, de manera que cada responsable lo es de aquellas que se derivan de su actividad, lo que tiene una doble consecuencia: primera, la necesidad de precisar el alcance de la participación en el tratamiento de cada corresponsable, para identificar el alcance de sus obligaciones ; y segunda, que la exigencia de su cumplimiento ha de efectuarse por el interesado a quien resulte responsable en cada caso, lo que significa que el procedimiento no puede seguirse indistintamente frente a cualquiera de ellos sino que necesariamente ha de identificarse el responsable en cada caso, siendo este el legitimado al efecto.

Así se desprende, como ya hemos señalado antes, del fundamento 40 de la sentencia del TJUE de 13 de mayo de 2014 cuando se afirma la subsistencia de la responsabilidad del gestor del motor de búsqueda aun cuando se apreciara corresponsabilidad de los editores de los sitios de Internet que no hayan aplicado protocolos de exclusión, con indicaciones como "noindex" o "noarchive".

Quiere decirse con ello y en relación con el litigio que nos ocupa, que en todo caso el planteamiento de la Sala de instancia resulta injustificado, pues, de una parte, aprecia una corresponsabilidad de carácter genérico, sin precisar o identificar los concretos fines o medios del tratamiento que determina Google Spain ni cuál es el alcance de su responsabilidad y menos que forme parte de ella la obligación cuyo cumplimiento se exige por el interesado y que la AEPD declara. Muy al contrario, la propia sentencia reconoce, como hemos señalado antes, que no cabe duda alguna de que Google Inc., que gestiona el motor de búsqueda Google Search, es responsable del tratamiento de datos, al determinar los fines, las condiciones y los medios de dicho tratamiento, sin que identifique actividad concreta al efecto de Google Spain. Y por otra parte, aun apreciada por la Sala de instancia tal corresponsabilidad, en todo caso y no siendo de carácter solidaria, la obligación a que se refiere la resolución impugnada de la AEPD era exigible a Google Inc., en cuanto es el único responsable del concreto tratamiento cuestionado que se identifica por la misma, y por lo tanto necesariamente el procedimiento debía seguirse contra el mismo sin que Google Spain aparezca legitimado en tal aspecto.

DÉCIMO

El segundo título de atribución de corresponsabilidad en el tratamiento de datos a Google Spain, S.L., argumentado por la Sala de instancia, es que ha venido actuando como si fuese responsable del tratamiento de datos, tanto en procedimientos de tutela de derechos seguidos ante la Agencia Española de Protección de Datos como en diversas intervenciones ante Tribunales Españoles, lo que la lleva a la invocación de la doctrina de los actos propios como fundamento de sus apreciaciones.

Pues bien, tampoco este título de atribución de responsabilidad puede acogerse, por el contrario, deben compartirse sustancialmente las alegaciones que se oponen por la entidad recurrente en este recurso de casación, en el sentido de que no se justifican en este caso las circunstancias que permiten acudir a la aplicación de la doctrina de los actos propios.

Como se recoge en la sentencia de 27 de mayo de 2009, la jurisprudencia de esta Sala tiene dicho ( sentencias, entre otras, de 23 de junio de 1971 , 24 de noviembre de 1973 , 26 de diciembre de 1978 , 25 de noviembre de 1980 , 26 de septiembre de 1981 , 2 de octubre de 2000 y 4 de marzo de 2002 ) que la aplicación del principio que prohíbe ir contra los propios actos requiere, respecto de éstos, que se trate de actuaciones realizadas con el fin de crear, modificar o extinguir algún derecho, definiendo una situación jurídica de manera indubitada; siendo éste, también, el sentido de la jurisprudencia de la Sala de lo Civil de este Tribunal Supremo, tal y como puede verse, por todas, en su sentencia de 9 de mayo de 2000 .

En tal sentido la sentencia de 25 de mayo de 2011 (rec. 5261/2007 ) señala que la doctrina de los actos propios no puede imponerse a la aplicación de las normas de carácter imperativo, como se dijo en sentencia de 9 de marzo de 2009 (rec. 8169/2004 ), según la cual, "tal doctrina no rige en ámbitos extraños al poder de disposición de las partes, ciñendo su eficacia a los casos en los que cabe que creen, modifiquen o extingan derechos, definiendo una específica situación jurídica [véase sentencia de 12 de marzo de 2002 (rec 5398/94 )]".

Por su parte, la sentencia de 4 de mayo de 2005 precisa: que dicha doctrina «es predicable respecto de los actos que se realizan con el fin de crear, modificar o extinguir algún derecho, definiendo una situación jurídica con eficacia en sí mismos para producir, igualmente, un efecto jurídico". De manera que es la finalidad del acto, su eficacia y validez jurídica las que determinan la vinculación de su autor a las consecuencias derivadas del mismo y generan la confianza ajena, pues, como señala la sentencia de 1 de febrero de 1999, "tanto la doctrina del Tribunal Constitucional como la Jurisprudencia de este Alto considera que el principio de buena fe protege la confianza que fundadamente se puede haber depositado en el comportamiento ajeno e impone el deber de coherencia en el comportamiento propio. Lo que es tanto como decir que dicho principio implica la exigencia de un deber de comportamiento que consiste en la necesidad de observar de cara al futuro la conducta que los actos anteriores hacían prever y aceptar las consecuencias vinculantes que se desprenden de los propios actos, constituyendo un supuesto de lesión a la confianza legítima de las partes " venire contra factum propium "".

Ha de estarse por lo tanto al alcance del acto al que se atribuye el efecto vinculante y, en todo caso, la aplicación del principio no puede invocarse para alterar, fuera de los cauces legales, el régimen jurídico a que se sujeta una concreta relación, produciéndose una modificación más allá de la finalidad y efectos del acto en cuestión, de la misma manera que no puede servir de fundamento para amparar la persistencia de formas de actuación que no se ajustan a la legalidad.»

Desde estas consideraciones difícilmente puede atribuirse tal naturaleza de actos propios, a los efectos aquí examinados, a la participación de Google Spain en los procedimientos administrativos y procesos judiciales referidos en la sentencia de instancia cuando: en primer lugar, la propia Sala de instancia no habla de actuaciones indubitadas o concluyentes por parte de Google Spain, S.L., en el sentido de asumir la condición de responsable del tratamiento, sino que, por el contrario, dice que estamos ante un indicio; segundo, no se advierte ni valora por la Sala de instancia la distinta condición en que puede intervenir en tales procedimientos una persona física o jurídica, mero interesado o titular de derechos u obligaciones; tercero, que solo la comparecencia como responsable del tratamiento de datos, es decir, de la determinación de los fines y medios del tratamiento de datos, puede dar lugar a manifestaciones o actos válidos de reconocimiento de tal condición; cuarto, que la condición de responsable del tratamiento de datos viene definida legalmente, como se ha indicado antes de forma prolija, y su régimen jurídico no puede modificarse por las actuaciones de quien carece de facultades de disposición al respecto; y quinto, que la legitimación ha de examinarse en cada procedimiento y, por lo tanto, ha de estarse a la actitud del compareciente en el mismo, que este caso ha sido, desde la vía administrativa, negar tal legitimación.

Así, las manifestaciones de Google Spain en los procedimientos administrativos que se citan, sobre el hecho de que los resultados de búsqueda se encontraban en páginas de terceros cuyo acceso es público y, en consecuencia, para eliminar dicho contenido de los resultados deberían desaparecer del webmaster de la página de terceros, nada indican del concepto o condición en que interviene Google Spain ni de la determinación de los fines o medios del tratamiento, que permitan entender atribuida la condición de responsable, máxime cuando dicha entidad rechaza tal condición y alega que su actividad se limita a la prestación de servicios de promoción de los espacios publicitarios. La simple omisión de la invocación de falta de legitimación pasiva en un proceso no supone reconocimiento de tal condición de responsable con carácter general, como parece indicarse en la instancia, menos aún cuando se invocan numerosos procedimientos en los que se ha hecho valer dicha alegación. Tampoco puede deducirse tal condición de un acuerdo transaccional en un proceso sobre intromisión ilegítima en el derecho al honor y a la propia imagen, en el que existen varios codemandados y cuando la entidad aquí recurrente dice haber invocado su falta de legitimación pasiva, dando lugar a la extensión de la demanda a otra entidad. Se justifica igualmente el desistimiento en 130 recursos contencioso-administrativos al haber dejado de ser indexada la información por la intervención de los editores o dueños de las páginas web, además de que no se acredita la condición en que intervenía en el proceso y formalizó el desistimiento. Finalmente ninguna virtualidad tiene, a los efectos debatidos, la invocación en la instancia del procedimiento sancionador terminado por resolución de la AEPD de 18 de diciembre de 2013, objeto del recurso contencioso-administrativo 51/2014, en el que la propia AEPD, frente a las alegaciones de la aquí recurrente, razona en la resolución sancionadora que la única responsable es Google Inc, proceso en el que, además, se pone de manifiesto la distinta condición con la que se puede comparecer, bien sea responsable del tratamiento y la sanción, bien sea interesado en razón de la relación comercial existente entre ambas entidades.

Por otro lado, estas mismas razones justifican el planteamiento por la parte, en el motivo cuarto, de la vulneración de las reglas de la sana crítica y la valoración ilógica de los hechos a efectos de la apreciación de actos propios de la recurrente, en la medida que, como acabamos de decir, no cabe concluir de su intervención en los procedimientos administrativos y procesos judiciales a que se refiere la Sala de instancia una manifestación de voluntad o reconocimiento de la condición de responsable del tratamiento de datos en cuestión, que tampoco resulta de la afirmación no justificada de la Sala sobre el bloqueo provisional de los datos en este caso y que la parte recurrente señala que fue Google Inc quien lo llevó a efecto.

En consecuencia, también deben estimarse estos motivos de impugnación de la sentencia recurrida.

Cabe añadir que la conclusión alcanzada se confirma con la actuación de Google Inc, que a la vista de la sentencia del TJUE de 13 de mayo de 2014 , ha decidido crear un Consejo Asesor integrado por asesores expertos en regulación europea y presidido por el Presidente de dicha sociedad, cuyo objeto es cumplir con el denominado "derecho al olvido" en Internet que se reconoce en la citada sentencia. Y para hacer efectivo este derecho a los potenciales usuarios de su motor de búsqueda, ha puesto a disposición de todos ellos un formulario para solicitar la cancelación de los datos personales, solicitud que ha de ser evaluada precisamente por el indicado Consejo Asesor. La decisión adoptada por Google Inc. demuestra que es ella la única responsable del tratamiento de datos de su motor de búsqueda que actúa como tal y no Google Spain, S.L.

UNDÉCIMO

La estimación de los motivos segundo, tercero y cuarto, hace innecesario el examen de los demás, en la medida que pueden suponer por si solos la nulidad de la resolución impugnada, para cuya determinación y como establece el art. 95.2.d) de la Ley reguladora de esta Jurisdicción , procede resolver lo que corresponda dentro de los términos en los que aparece planteado el debate.

En este caso la parte recurrente planteó, ya en vía administrativa y después en la instancia, la nulidad de pleno derecho de la resolución impugnada de 13 de diciembre de 2011, del Director de la Agencia Española de Protección de Datos, alegando su falta de legitimación pasiva en el procedimiento administrativo, en cuanto Google Spain no es quien gestiona el buscador de Google ni la plataforma de alojamiento Blogger y, por lo tanto, no puede ser considerada responsable del tratamiento de los datos personales objeto del pleito, habiéndose dictado la resolución prescindiendo del procedimiento legalmente establecido, al tiempo que le imponen un contenido imposible, lo que determina la nulidad al amparo de los apartados c ) y d) del art. 62.1 de la Ley 30/1992 .

La Administración, que debe actuar con pleno sometimiento a la ley y al Derecho ( art. 103.1 CE ), está sujeta para la adopción de sus acuerdos y resoluciones al procedimiento legalmente establecido ( art. 105.c CE ), que constituye la forma ordenada de ejercer sus potestades en cada caso, atendiendo a la naturaleza y alcance de las mismas.

El procedimiento administrativo encauza y ordena el ejercicio de las potestades administrativas propiciando que la decisión, plasmada en el acto o resolución que pone fin al mismo, se dirija correctamente al interesado que está sujeto a la potestad de que se trate, y se adopte siguiendo los trámites y requisitos establecidos en garantía del administrado cuyos derechos resultan afectados por la decisión.

En este sentido el acto o resolución administrativa que pone fin al procedimiento se verá viciado: tanto si falta el presupuesto para la existencia del procedimiento, cual es la habilitación legal de la Administración para ejercitar la potestad frente al administrado, como si ese ejercicio se ha producido sin la observancia de los trámites y garantías que lo informan.

A tal efecto las normas que regulan el ejercicio de las distintas potestades administrativas determinan e identifican el destinatario sujeto a las mismas y, con ello, al correspondiente procedimiento. Sirvan de referencia al respecto las previsiones de la Ley de Expropiación Forzosa, que en el art. 3 y siguientes precisa con quien deben entenderse las actuaciones del expediente expropiatorio, en primer lugar el propietario de la cosa o titular del derecho objeto de la expropiación y después los titulares de derechos reales y otros interesados que se indican. En el mismo sentido la Ley General Tributaria, después de determinar quienes tienen la condición de obligados tributarios (art. 25 ) y de responsables tributarios (arts. 41 y ss), señala que la aplicación de los tributos se desarrollará a través de los procedimientos administrativos de gestión, recaudación y demás previstos en la misma (art. 83.3), estableciendo que entre los documentos de iniciación de las actuaciones y procedimientos tributarios, deberá incluirse, en todo caso, el nombre y apellidos y razón social del obligado tributario ( art. 98), refiriéndose en múltiples preceptos a la participación del mismo en tales procedimientos. Por su parte la Ley 30/1992 , en relación con el ejercicio de la potestad sancionadora, comienza por establecer que dicha potestad solo podrá ejercitarse cuando haya sido expresamente atribuida por una norma con rango de Ley (art. 127) y precisa que solo podrán ser sancionados por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia (art.130), en congruencia con lo cual y en relación con el procedimiento exigible para el ejercicio de dicha potestad (art.134), se garantiza al responsable, entre otros, el derecho a ser notificado de los hechos que se le imputen y las sanciones que se le pudieran imponer (art. 135), precisando el art. 13 del correspondiente Reglamento, que el acto de iniciación del procedimiento deberá contener, entre otros requisitos, la identificación de la persona o personas presuntamente responsables.

Se desprende de ello, que seguir el procedimiento frente a quien aparece legitimado al efecto, en cuanto titular del derecho afectado o sujeto al gravamen u obligación impuestos por la decisión administrativa, y garantizar la posibilidad de su participación en el procedimiento, constituyen elementos esenciales para su desarrollo, cuya inobservancia vicia de nulidad al acto o resolución que pone fin al mismo. La identificación del titular del derecho afectado, responsable de la infracción, sujeto al gravamen o responsable de la obligación resulta imprescindible, de manera que el seguimiento del procedimiento respecto de un tercero, ajeno a la potestad administrativa ejercitada, constituye un vicio esencial, en cuanto falta el presupuesto que justifique la existencia misma del procedimiento, cual es la habilitación legal de la Administración para ejercitar la potestad frente al mismo, de tal suerte que el procedimiento resulta absolutamente ineficaz al respecto y, por otra parte, tampoco aprovecha para adoptar la decisión correspondiente frente al verdadero interesado (titular, responsable u obligado), en la medida que se ha prescindido totalmente de su intervención. Lo que determina la nulidad de pleno derecho del acto dictado en resolución de tal procedimiento. (Ss.20/12/2000, rec. 4105/1996, 18/10/2011, rec. 2086/2008, 19/9/2014, rec. 5780/2011, referidas a la nulidad del procedimiento expropiatorio en la medida que, por distintas razones, no se ha seguido con el verdadero propietario. Ss. 22/2/1999, rec. 3056/1994 , 15/12/2008, rec. 4906/2003 , 28/4/2008, rec. 7240/2002 , entre otras semejantes, relativas al Impuesto sobre Sociedades en régimen de beneficio consolidado, que declaran la ineficacia, a efectos de interrupción del plazo de prescripción, de las actuaciones administrativas de comprobación o investigación seguidas con las sociedades dominadas sin conocimiento de la sociedad dominante, en cuanto no son sujeto pasivo (que lo es el grupo de sociedades) ni representante del mismo. Ss. 22/6/1999, rec. 490/1996 , 5/7/1999, rec. 550/1996 , entre otras semejantes, que declaran la nulidad de pleno derecho de la sanción impuesta (cuota de pantalla), por falta de notificación de la propuesta a la entidad correspondiente, argumentando que el expediente sancionador no contiene un pronunciamiento preciso sobre la responsabilidad imputada).

En este caso, en relación con una actividad sujeta a una amplia regulación normativa específica, como es el tratamiento de datos personales, el procedimiento administrativo tiene por objeto la tutela de derechos del interesado, titular de los datos personales tratados, a través de la Agencia Española de Protección de Datos, como autoridad de control -sujeta en su actuación, según dispone el art. 35 de la LOPD , a las previsiones de la Ley 30/1992 de 26 de noviembre-, demandando el cumplimiento de las obligaciones que al respecto se imponen al responsable del tratamiento, que, como se ha expuesto ampliamente en el sexto fundamento de derecho, aparece como obligado y en consecuencia legitimado pasivamente, responsable que como también se ha explicado a lo largo de esta sentencia es Google Inc. y no Google Spain, a pesar de lo cual, la AEPD en la resolución impugnada, estimando la reclamación del interesado, concluye declarando que la actuación de Google Spain, S.L. no resulta acorde a la normativa aplicable y que debió proceder a la exclusión de las informaciones relativas al recurrente e impedir su captación por el buscador, efectuando así un pronunciamiento respecto de una entidad que carecía de legitimación pasiva en el procedimiento y frente a la cual no tenía habilitación legal para ejercitar las facultades de control ni, en consecuencia, seguir procedimiento eficaz al respecto, lo que determina la nulidad de pleno derecho de la resolución impugnada.

La apreciación de este vicio de la resolución impugnada no puede eludirse por la simple referencia a la condición de Google Spain, S.L. de representante de la compañía estadounidense, pues, en primer lugar, no se acredita en forma alguna la realidad de la misma, ni con carácter general ni específica para este procedimiento, habiéndose negado tal condición por la recurrente, y, en segundo lugar y fundamental, la intervención de un representante no altera la titularidad del derecho o condición de obligado ni traslada la responsabilidad del representado al representante. Recordemos que en nuestro Derecho en un mandato representativo los efectos del acto de gestión representativa se producen de forma inmediata en la esfera jurídica del representado, pues en virtud de la representación, el mandatario que obra en concepto de tal no es responsable frente a terceros. Solo cuando éste se obliga expresamente o traspasa los límites del mandato se justifica su responsabilidad personal ex artículo 1.725 CC ( Sentencias de la Sala Primera de este Tribunal Supremo de 16 de mayo de 1984 , 19 de noviembre de 1990 y 27 de enero y 3 de abril de 2000 , entre otras).

De manera que, aun en el supuesto de actuación por representante, que no es el caso, subsiste la condición de responsable del tratamiento y su legitimación pasiva, por lo que el procedimiento y la declaración de obligado al cumplimiento y realización del derecho a la tutela que se demanda por el reclamante ha de dirigirse frente al responsable del tratamiento controvertido, que en este caso es Google Inc.

Por todo ello procede estimar el recurso contencioso administrativo interpuesto por la entidad mercantil Google Spain, S.L. contra la resolución de 13 de diciembre de 2011 dictada por el Director de la Agencia Española de Protección de Datos, que se declara nula de pleno derecho por ser contraria al ordenamiento jurídico en los términos que se contienen y razonan en esta sentencia.

DUODÉCIMO

La estimación del recurso determina, de acuerdo con el artículo 139 LJCA , que no haya lugar a la imposición de las costas de este recurso de casación, reiterando respecto a las costas de la instancia el razonamiento de la sentencia recurrida en cuanto a la existencia de serias dudas de derecho, que aconsejan la no imposición de las mismas.

F A L L A M O S

PRIMERO

Ha lugar al recurso de casación interpuesto por la representación procesal de la sociedad mercantil Google Spain, S.L., contra la sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de fecha 29 de diciembre de 2014, dictada en el recurso contencioso-administrativo número 69/2012 , que casamos.

SEGUNDO

En su lugar, estimamos el recurso contencioso- administrativo interpuesto por la representación procesal de la citada sociedad mercantil contra la resolución de 13 de diciembre de 2011 del Director de la Agencia Española de Protección de Datos, descrita en el primer fundamento de derecho, que se anula por ser contraria al ordenamiento jurídico en los términos indicados en esta sentencia.

TERCERO

No hacemos imposición de las costas de este recurso ni de la instancia.

Así por esta nuestra sentencia, que se insertará en la colección legislativa, lo pronunciamos, mandamos y firmamos.

Octavio Juan Herrero Pina Margarita Robles Fernández

Juan Carlos Trillo Alonso Wenceslao Francisco Olea Godoy

Inés Huerta Garicano

PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia por el Excmo. Sr. Magistrado Ponente D. Octavio Juan Herrero Pina , estando la Sala celebrando audiencia pública en el mismo día de su fecha, de lo que, como Letrado/a de la Administración de Justicia, certifico.

1 temas prácticos
  • Protección de los derechos de la sociedad de información y Propiedad Intelectual
    • España
    • Práctico Contencioso-Administrativo Contencioso Administrativo Procedimientos Especiales Procedimiento para la protección de los derechos fundamentales de la persona
    • January 8, 2024
    ... ... citada Sociedad de la Información La Ley 2/2011, de 4 de marzo, de Economía Sostenible , introdujo un nuevo apartado (dos) en el art. 8 ... responsable de la conducta presuntamente vulneradora (STS nº 1749/2016, Sala 3ª, de lo Contencioso-Administrativo, 13 de julio de 2016 [j 1]) ... [j 4] y la STS nº 574/2016, Sala 3ª, de lo Contencioso-Administrativo, 14 de marzo de 2016 [j 5]. Procedimiento de medidas de protección de los ... ...
2 sentencias
  • SAN, 8 de Noviembre de 2017
    • España
    • November 8, 2017
    ...de la filial española o sucursal de la entidad que gestiona un motor de búsqueda, se ha pronunciado de forma reiterada ( STS de 14 de marzo de 2016 (Rec. 1380/2015 ), 13 de junio de 2016 (Rec. 1075/2015 ), 21 de julio 2016 (Rec. 2276/2015 ), entre otras muchas), en el sentido de considerar ......
  • SAN, 27 de Abril de 2018
    • España
    • April 27, 2018
    ...por la Sala en la Sentencia de 8 de noviembre de 2017 -recurso nº. 340/2016 -, en la que dijimos al respecto lo siguiente: STS de 14 de marzo de 2016 (Rec. 1380/2015 ), 13 de junio de 2016 (Rec. 1075/2015 ), 21 de julio 2016 (Rec. 2276/2015 ), entre otras muchas), en el sentido de considera......
3 artículos doctrinales
  • La responsabilidad civil de los titulares de los motores de búsqueda: el derecho al olvido
    • España
    • El derecho al olvido en internet. La responsabilidad civil de los motores de búsqueda y las redes sociales: estudio doctrinal y jurisprudencial
    • February 1, 2021
    ...dichos casos se ha interpretado de manera distinta 453 . 452 MUÑOZ RODRÍGUEZ, J., “La incidencia de la sentencia del tribunal supremo (STS núm.574/2016) para los usuarios que ejercitan el derecho al olvido”, en Diario La Ley , número 8733, abril .2016, p. 3. 453 DE MIGUEL ASENSIO, P.A., “La......
  • Jurisprudencia citada
    • España
    • El derecho al olvido en internet. La responsabilidad civil de los motores de búsqueda y las redes sociales: estudio doctrinal y jurisprudencial
    • February 1, 2021
    ...donde se recogen una serie de criterios más restrictivos para el ejercicio del derecho al olvido. Identificación del CENDOJ: Roj: STS 964/2016 - ECLI: ES:TS:2016:964. STS de 5 de abril de 2016: Estima la solicitud de derecho al olvido frente al motor de búsqueda Google , en virtud, de un re......
  • Revistas Españolas
    • España
    • Anuario de Derecho Civil Núm. LXX-III, Julio 2017
    • July 1, 2017
    ...personal en Internet. Blogs alojados en espacio de almacenamiento de Google. Concepto de responsable. Comentario a la Sentencia del Tribunal Supremo de 14 de marzo de 2016 (RJ 2016, 1525)», en CCJC, núm. 102, 2016, pp. 345 Moreno Marín, María Dolores: «La incidencia de las nuevas tecnología......

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR