STS 1918/2016, 21 de Julio de 2016

PonenteOCTAVIO JUAN HERRERO PINA
ECLIES:TS:2016:3695
Número de Recurso2867/2015
ProcedimientoRECURSO CASACIÓN
Número de Resolución1918/2016
Fecha de Resolución21 de Julio de 2016
EmisorTribunal Supremo - Sala Tercera, de lo Contencioso-Administrativo

SENTENCIA

En Madrid, a 21 de julio de 2016

Esta Sala ha visto el recurso de casación número 2867/2015, interpuesto por la procuradora de los Tribunales Dª. Gracia López Fernández, en nombre y representación de la sociedad mercantil Google Spain, S.L., contra la sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de fecha 11 de junio de 2015, dictada en el recurso contencioso-administrativo número 278/2013 en el que se impugna la resolución de fecha 12 de junio de 2013 del Director de la Agencia Española de Protección de Datos, que estima la reclamación de tutela de derechos formulada por D. Ángel contra la citada entidad mercantil. Interviene como parte recurrida el Abogado del Estado, en la representación legal que le es propia.

Ha sido ponente el Excmo. Sr. D. Octavio Juan Herrero Pina

ANTECEDENTES DE HECHO

PRIMERO

La sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de 11 de junio de 2015 , objeto de este recurso, contiene el siguiente fallo: "DESESTIMAR el recurso contencioso-administrativo interpuesto por GOOGLE SPAIN S.L., representada por la Procuradora Sra. López Fernández contra la resolución del Director de la Agencia Española de Protección de Datos de fecha 12 de junio de 2013 dicta en el procedimiento TD/00022/2013; sin imposición de costas".

SEGUNDO

Notificada dicha sentencia se presentó escrito por la representación procesal de la entidad mercantil Google Spain, S.L., manifestando su intención de preparar recurso de casación, que se tuvo por preparado por resolución de 2 de septiembre de 2015, emplazando a las partes ante esta Sala del Tribunal Supremo.

TERCERO

En el escrito de interposición del recurso de casación se hacen valer cuatro motivos, el primero al amparo del art. 88.1.c) de la Ley reguladora de esta Jurisdicción y los demás de la letra d) de dicho precepto, solicitando que se case y anule la sentencia recurrida y se estime el recurso contencioso- administrativo interpuesto por Google Spain S.L., solicitando la anulación de la resolución de 12 de junio de 2013 del Director de la AEPD, por la que estima la reclamación formulada por D. Ángel en el procedimiento de Tutela de Derechos TD/00022/2013.

CUARTO

Admitido a trámite el recurso, se dio traslado a la parte recurrida para que formalizara escrito de oposición, rechazándose por el abogado del Estado los motivos de casación invocados y solicitando la desestimación del recurso, por ser conforme a Derecho la resolución judicial impugnada.

QUINTO

Conclusas las actuaciones quedaron pendientes de señalamiento para votación y fallo, a cuyo efecto se señaló el día 19 de julio de 2016, fecha en que tal diligencia ha tenido lugar.

FUNDAMENTOS DE DERECHO

PRIMERO

Por resolución del Director de la Agencia Española de Protección de Datos de 12 de junio de 2013 se estima la reclamación formulada por D. Ángel contra Google Spain, S.L., instando a dicha entidad para que adopte las medidas necesarias para retirar los datos de su índice e imposibilite el acceso a los mismos respecto del enlace http://pipl.com/directory/name/ Ángel . Con ello se daba respuesta a la reclamación de cancelación de datos, formulada por el interesado, en relación con la publicación de la resolución de 19 de febrero de 1999 en el BOE número 65 de 17 de marzo de 1999 referida a su persona y que es fácilmente accesible a través del buscador de Google con la mera mención de su nombre y apellidos.

Interpuesto recurso contencioso administrativo por la entidad Google Spain, S.L., se dictó sentencia por la Sala de lo Contencioso Administrativo de la Audiencia Nacional de fecha 11 de junio de 2015 , desestimando el recurso y confirmando la resolución impugnada.

A tal efecto y apoyándose en los pronunciamientos de la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, dictada en el asunto C- 131/12 , decisión prejudicial planteada por la Sala de la Audiencia Nacional en el recurso 725/2010 (de semejante contenido), la Sala de instancia señala que ninguna duda cabe que la actividad de un motor de búsqueda como proveedor de contenidos debe calificarse de tratamiento de datos personales, que es el gestor del motor de búsqueda el responsable de dicho tratamiento, que corresponde al gestor del motor de búsqueda adoptar, en su caso, las medidas en aplicación de la LOPD para hacer efectivo el derecho de oposición del afectado, que la normativa europea en materia de protección de datos y, por ende, la legislación del país de la Unión Europea donde se encuentra el establecimiento, en este caso en España, es de aplicación cuando "el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro". Frente a la alegación de falta de legitimación pasiva de Google Spain S.L., en el procedimiento administrativo, entiende la Sala de instancia que la responsabilidad de Google Spain S.L., en el tratamiento de datos personales llevado a cabo en el marco del servicio de búsqueda en internet ofrecido por Google Inc. -gestor del motor de búsqueda- deriva de la unidad de negocio que conforman ambas sociedades, en la que la actividad desempeñada por Google Spain, S.L. resulta indispensable para el funcionamiento del motor de búsqueda, pues de aquella depende su rentabilidad. Invoca al efecto, igualmente, la doctrina de los actos propios en razón de la actuación llevada a cabo por Google Spain S.L., tanto en procedimientos ante la Agencia Española de Protección de Datos como en procesos ante los Tribunales. Por todo lo cual considera la Sala de instancia que Google Spain, S.L. también es responsable del tratamiento de datos, constituyendo ésta y Google Inc. una unidad material, además de reunir las características de un establecimiento de los referidos en el art. 4.1.a) de la Directiva 95/46/CE , que participa en el tratamiento de datos. Desestima igualmente las alegaciones sobre vulneración del derecho a la libertad de empresa. Examina el objeto y contenido de los derechos fundamentales en conflicto, toma en consideración la doctrina del Tribunal de Justicia al respecto y concluye que en este caso resultan preferentes los derechos del interesado que solicita la cancelación de sus datos en relación al interés de Google por mantener el resultado de la búsqueda que relaciona con el nombre del denunciante.

SEGUNDO

No conforme con ello la entidad Google Spain, S.L. interpone recurso de casación contra dicha sentencia, en el que se hacen valer cuatro motivos de casación, el primero articulado a través del artículo 88.1.c) de la LJCA y los otros tres con base en la letra d) de este mismo precepto.

El motivo primero se funda en la infracción de los artículos 33.3 y 65.2 LJCA y 24 de la Constitución , alegando que la sentencia recurrida incurre en incongruencia extra petita al introducir un motivo nuevo en su razonamiento relativo a la noción de corresponsabilidad.

El motivo segundo denuncia la infracción del artículo 2.d) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , y de los artículos 3.d ), 6.4 y 16 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPDP), así como de los correlativos artículos 32.3 y 35.1 del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, por cuanto la sentencia impugnada atribuye a la recurrente la condición de corresponsable a pesar de que consta acreditado en autos que la recurrente no determina ni los fines ni los medios del tratamiento de datos.

En el motivo tercero se denuncia la infracción de la jurisprudencia que cita sobre la doctrina de los actos propios en la medida en que la sentencia funda la corresponsabilidad de la actora en una serie de indicios, con base en los cuales y apelando a la doctrina de los actos propios declara que la recurrente ha reconocido su condición de responsable en el tratamiento de datos gestionados por Google Inc. por actuar como tal frente a terceros.

El motivo cuarto se funda en la infracción del artículo 24 CE y de la jurisprudencia que cita sobre la valoración de los hechos tenidos en cuenta, habiendo contrariado la sentencia las reglas de la sana crítica en la apreciación de la prueba en relación con la atribución a la recurrente de responsabilidad en el tratamiento de datos que solo corresponde a la sociedad Google Inc.

TERCERO

Los motivos de impugnación que se plantean en este recurso han sido examinados por esta Sala en sentencias de 11 de marzo -recursos 643/2015 y 1482/2015 -, 14 de marzo -recursos 1078/2015 y 1380/2015 - y 15 de marzo de 2016 -recurso 804/2015 -, recursos de semejante contenido cuyo criterio hemos de seguir aquí, al concurrir las mismas circunstancias de hecho y de derecho.

No obstante, debe tenerse en cuenta un hecho normativo producido con posterioridad a dichas sentencias, cual es la publicación en el Diario Oficial de la Unión Europea, de 4 de mayo de 2016, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de protección de datos). Si bien su entrada en vigor se produce a los veinte días de su publicación y será aplicable a partir del 25 de mayo de 2018, sus determinaciones pueden considerarse y valorarse a efectos de la mejor comprensión del alcance de las cuestiones que se suscitan en este proceso.

Pues bien, en el motivo primero se denuncia, al amparo del art. 88.1.c) de la Ley de la Jurisdicción , la infracción de los artículos 33.2 y 65.2 de la LJCA y 24 de la CE al considerar la recurrente que la sentencia recurrida incurre en incongruencia extra petita por cuanto la Sala de instancia introduce ex novo la noción de "corresponsabilidad" y funda su decisión en motivos que exceden de los límites fijados por las partes en la controversia sin previamente haberlos sometidos a la consideración de las mismas, impidiendo de esta manera que hayan podido pronunciarse y, produciendo, por ello, indefensión. Concretamente, la recurrente reprocha que la sentencia atribuya a Google Spain una corresponsabilidad en el tratamiento de datos personales objeto de recurso con el argumento de que esta compañía y Google Inc. conforman una "unidad de negocio" o "unidad material", argumento este al que el Tribunal "a quo" añade la aplicación de la doctrina de los "actos propios" en el sentido de que Google Spain ha reconocido su condición de responsable del tratamiento al actuar como tal frente a terceros.

Como hemos dicho, entre otras, en la sentencia de 20 de mayo de 2011 (recurso de casación 2792/2007 ) la congruencia de una sentencia es un requisito esencial y objetivo de la misma. Consiste en la armonía o correlación adecuada, que debe existir en forma necesaria entre las pretensiones deducidas en el proceso y la parte dispositiva de la resolución que le pone fin. El Tribunal debe decidir sobre todas las cuestiones planteadas en el proceso por las partes porque, si así no sucediere, la sentencia incurriría en el vicio de incongruencia omisiva o negativa ("citra petita partium") al quedarse más acá de lo pedido; tampoco puede el Tribunal conceder o negar lo que nadie ha pedido ("ne eat iudex ultra petita partium"), so pena de incurrir en el vicio de incongruencia positiva; no puede, en fin, otorgar algo distinto de lo pedido ("ne eat iudex extra petita partium") porque incurriría, si lo hiciera, en incongruencia mixta. El respeto a lo solicitado y, además, a los fundamentos de hecho en que las pretensiones se fundan es el marco dentro del que se debe mover el juzgador.

Recordemos también, no obstante, que ello no comporta que el Tribunal quede vinculado a los argumentos o alegatos de las partes ya que el principio de congruencia no alcanza a limitar la libertad de razonamiento jurídico de los Tribunales, ni les obliga a seguir el itinerario lógico seguido, propuesto o esperado por ellas [ sentencia de 31 de enero de 2001 (recurso de casación 9514/1995 ) pero sí obliga a dar respuesta a las alegaciones que nutren o dan sustento a la pretensión [ sentencia de 24 de enero de 2011 (recurso de casación 6440/2006 )] o, simplemente, a las cuestiones en controversia [ sentencias de 30 de noviembre de 2010 (recurso de casación 9227/2004 ) y de 26 de noviembre de 2010 (recurso de casación 5544/20 )].

En este orden de cosas, según las sentencias de 13 de mayo de 2003 y 22 de marzo de 2004 , se habla de incongruencia extra petita (fuera de las peticiones de las partes) cuando la sentencia se pronuncia sobre cuestiones diferentes a las planteadas "incongruencia mixta o por desviación" (entre otras muchas, sentencias del Tribunal Supremo 18 de noviembre de 1998 y 4 de abril de 2002 ).

Por su parte, el 33 de la Ley 29/98, de 13 de julio, reguladora de esta Jurisdicción (y antes el art. 43 de la Ley de 1956), refuerza la exigencia de congruencia en este orden jurisdiccional al exigir no solo que los Tribunales juzguen dentro del límite de las pretensiones formuladas por las partes sino de los motivos que fundamentan el recurso y la oposición, conformando así la necesidad de que la sentencia en su ratio decidendi se mantenga dentro de los términos en que el debate se ha planteado por las partes, sin que se introduzcan motivos que, no habiendo sido alegados por las partes, resulten determinantes del pronunciamiento de la sentencia, privando a las mismas de formular las alegaciones y ejercitar su defensa respecto de aspectos fundamentales que quedan así al margen del necesario debate procesal que exige el principio de contradicción.

Sin embargo, como se ha indicado, ello no impide que la fundamentación de la sentencia se apoye en argumentos distintos a los mantenidos por las partes, señalando la sentencia de 19 de abril de 2006, que "esta Sala Tercera del Tribunal Supremo ha declarado en sus sentencias de 10 de junio de 2000 , 15 de febrero (recurso de casación 8895/1998 ), 14 de julio (recurso de casación 4665/1998 ) y 2 de octubre de 2003 (recurso de casación 3460/97 ), 3 de marzo (recurso de casación 4353/2001 ), 6 de abril (recurso de casación 5475/2001 ), 9 y 30 de junio de 2004 (recursos de casación 656 y 865/2002 ), y 2 de febrero (recurso de casación 5405/2001 ) y 23 de marzo de 2005 (recurso de casación 2736/2002 ), que el principio iura novit curia excusa al órgano jurisdiccional de ajustarse a los razonamientos jurídicos aducidos por las partes, siempre que no se altere la causa petendi ni se sustituya el thema decidendi".

Según lo expuesto, en el presente caso no cabe apreciar la incongruencia que se denuncia por la recurrente, pues, impugnándose en la instancia la resolución de la Agencia Española de Protección de Datos por la que se insta a Google Spain, S.L., a la adopción de las medidas necesarias para excluir el tratamiento de los datos personales cuya protección determina el litigio, la propia parte alega como motivo de impugnación la falta de legitimación pasiva en el procedimiento administrativo, ya que Google Spain no desarrolla ninguna actividad de tratamiento de datos, no interviene de ningún modo en la actividad del buscador de Google, limitándose a una actividad de promoción de la contratación de servicios, esencialmente publicitarios, por lo que no puede considerarse responsable del tratamiento de los datos del interesado. Cuestiona expresamente que la resolución impugnada estime la solicitud de tutela contra ella no en la condición de representante de Google Inc. sino como responsable del tratamiento de datos.

Es claro, por lo tanto, que la responsabilidad en el tratamiento de los datos personales del interesado constituía un elemento del debate procesal, introducido en el proceso por la propia parte recurrente, cuyo examen resultaba esencial a efectos de determinar la legitimación pasiva de dicha entidad en el procedimiento administrativo, que se cuestiona por la misma y que la Sala rechaza, precisamente, por entender que tal responsabilidad existe, aunque sea de forma compartida, posibilidad prevista en la normativa aplicable.

Por ello, la apreciación de la Sala de instancia de corresponsabilidad de la entidad recurrente en el tratamiento de datos del interesado podrá cuestionarse por otras razones, como de hecho se hace en los motivos siguientes, pero no por considerarse una cuestión ajena al debate procesal, cuando es la propia parte la que invoca falta de legitimación con fundamento, precisamente, en la ausencia de intervención y responsabilidad en dicho tratamiento de datos. Que dicha responsabilidad exista o no y que sea única o compartida constituye una valoración que corresponde efectuar a la Sala de instancia, para dar respuesta a las alegaciones y pretensiones de anulación de la parte, en congruencia con su planteamiento.

A la misma alegación de falta de legitimación pasiva de Google Spain en el procedimiento administrativo responde la invocación en la sentencia de instancia de la doctrina de los "actos propios" en el sentido de entender que Google Spain ha reconocido su condición de responsable del tratamiento al actuar como tal frente a terceros, lo que constituye un argumento a mayor abundamiento para reforzar la idea de que Google Spain, S.L. y Google Inc. no son entidades ajenas entre sí a los efectos que aquí interesan, no obstante la diferente configuración mercantil de las mismas. Por lo demás, es la propia parte recurrente la que abre la fundamentación por referencia a lo declarado en otros casos, cuando invoca, a efectos de sostener su alegación de falta de legitimación pasiva, lo resuelto en otros casos por los tribunales españoles. Ello sin perjuicio, claro está, de que pueda cuestionarse por la parte la aplicación de tal doctrina de los actos propios efectuada por el Tribunal a quo, como de hecho se realiza en los motivos de casación siguientes.

Se concluye por todo ello que no es de apreciar el vicio de incongruencia en la sentencia recurrida que se denuncia en este primer motivo de casación, que, por lo tanto, debe desestimarse.

CUARTO

En el motivo segundo, al amparo del artículo 88.1.d) de la LJCA , se denuncia la infracción del artículo 2.d) de la Directiva 95/46/CE , de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y de los artículos 3.d , 6.4 y 16 de la Ley Orgánica 15/1999 y los correlativos 32.3 y 35.1 del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Alega la recurrente, en síntesis, que la sentencia impugnada atribuye a la sociedad Google Spain la condición de "corresponsable" en el tratamiento de datos a pesar de que en las actuaciones se acredita que dicha mercantil no determina ni los fines ni los medios del tratamiento de datos pues esta tarea corresponde a Google Inc. a través del motor de búsqueda "Google Search", razón por la que no puede atribuirse a Google Spain la condición de "responsable" del tratamiento de datos. Argumenta al respecto que según el art. 2.d) de la Directiva 95/46/CE , la atribución de la condición de responsable del tratamiento de datos depende de que el sujeto, ya sea de forma individual o conjuntamente con otros "determine los fines y los medios del tratamiento", criterio acogido en el art. 3.d) de la LOPD , que considera responsable del fichero o tratamiento a la persona física o jurídica que decida sobre la finalidad, contenido y uso del tratamiento, siendo el responsable del tratamiento el que asume la obligación de hacer efectivo el derecho de rectificación o de cancelación ejercitado por el interesado ( arts. 6.4 y 16 LOPD ). Por ello, no siendo controvertido que Google Inc. es la única entidad que gestiona el motor de búsqueda "Google Search" y que determina los fines, las condiciones y los medios del tratamiento de los datos personales que se realiza a través del motor de búsqueda y que Google Spain es una empresa filial que promueve la venta en el mercado español de los espacios publicitarios que se generan en el buscador (ni siquiera presta el servicio publicitario sino que se limita a su promoción), sin que realice ninguna actividad que constituya tratamiento de datos, entiende que no concurren en Google Spain los requisitos que según la Directiva 95/46/CE y la normativa estatal atribuyen la condición de responsable del tratamiento, por lo que no le son exigibles las obligaciones inherentes a tal condición. Entiende que el TJUE en su sentencia de 13 de mayo de 2014 ha confirmado esta interpretación, al considerar como responsable del tratamiento únicamente a Google Inc., como titular del motor de búsqueda Google Search, y solo a efectos de atraer la aplicación de la normativa española de protección de datos, determina que Google Spain es un establecimiento en el sentido del art. 4.1.a) de la Directiva 95/46/CE y el TJUE extrae una única consecuencia jurídica, que Google Inc., pese a ser una empresa ubicada fuera de la Unión Europea, debe quedar sujeta al contenido de dicha Directiva y las respectivas disposiciones nacionales en materia de protección de datos y, por el contrario, no hay en la valoración del TJUE atribución alguna de responsabilidad en materia de protección de datos a Google Spain. Añade que la propia AEPD, tras la sentencia del TJUE de 13 de mayo de 2014 , ha optado en los procedimientos de tutela de derechos por actuar exclusivamente frente a Google Inc. Así lo han entendido diversos Tribunales de los Estados miembros de la Unión Europea que cita y cuyas resoluciones transcribe en cuanto señalan, por referencia a la sentencia del TJUE, que no se observa responsabilidad en entidades semejantes a Google Spain en esos Estados. Concluye la recurrente alegando que la sentencia recurrida al atribuir a Google Spain la condición de corresponsable del tratamiento de datos, lo hace sobre la base de un título de imputación que crea el Juzgador "ex novo", no previsto en la normativa de protección de datos, por cuanto, admitida la posible concurrencia de varios responsables en el tratamiento de datos ( art. 2.d) Directiva 95/46/CE ), ello no excluye la necesidad de examinar y analizar en qué medida cada uno de ellos contribuye a determinar los fines y los medios del tratamiento, lo que ha omitido la Sala de instancia, con lo que se estaría imputando una suerte de responsabilidad solidaria sin ninguna base jurídica para ello. Considera que la Sala de instancia acude a un título de imputación ex novo, basado en una circunstancia ajena al tratamiento de datos, cual es la lógica interrelación económica que existe entre una filial y su matriz en cualquier Grupo de sociedades (unidad de negocio), que no se contempla como título de imputación de responsabilidad en el tratamiento de datos en la Directiva 95/46/CE ni encuentra base alguna en los pronunciamientos de la sentencia del TJUE de 13 de mayo de 2014 .

Este motivo está estrechamente relacionado con los dos siguientes, formulados también al amparo del art. 88.1.d) de la Ley procesal , en los que se suscita la misma cuestión referida a la determinación del responsable del tratamiento. En el motivo tercero se denuncia la infracción de la jurisprudencia que cita sobre la doctrina de los actos propios en la medida en que la sentencia funda la corresponsabilidad de la actora en una serie de indicios, con base en los cuales y apelando a la doctrina de los actos propios declara que la recurrente ha reconocido su condición de responsable en el tratamiento de datos gestionados por Google Inc., por actuar como tal frente a terceros. Rechaza la recurrente la valoración de la Sala de instancia en cada uno de los expedientes de tutela de derechos citados por la misma, pues de su intervención en los mismos y sus alegaciones no puede inferirse que Google Spain asuma responsabilidad por el tratamiento o determine fines o medios, y en cuanto a su actuación ante los tribunales, señala que la no oposición en uno de los múltiples recursos de su falta de legitimación no puede considerarse acto propio de aceptación frente a los cientos de procedimientos en los que se ha invocado tal excepción; que el acuerdo alcanzado en un proceso sobre la intromisión ilegítima en el derecho al honor entre la AVT y YouTube, LLC y Google Spain, tras haber invocado esta última su falta de legitimación pasiva, tampoco supone acto propio de reconocimiento de responsabilidad en el tratamiento de datos en el sentido apreciado por la Sala de instancia; el desistimiento por Google Spain en 130 recursos contencioso administrativos, que tienen por objeto resoluciones de la AEPD en procedimientos de tutela de derechos, se produjo porque la información ya no era indexada como consecuencia de la intervención de los editores o dueños de las páginas web, no porque Google Spain asumiera ninguna responsabilidad al respecto; entiende que tampoco su intervención en un procedimiento sancionador permite concluir que decida sobre la finalidad o medios del tratamiento; finalmente, acerca de la carencia de medios para cumplir la obligación impuesta por la AEPD, precisa que el bloqueo provisional de los resultados de búsqueda se efectuó por Google Inc. no por Google Spain.

El motivo cuarto se funda en la infracción del artículo 24 CE y de la jurisprudencia que cita sobre la valoración de los hechos tenidos en cuenta para justificar la aplicación de la doctrina de los actos propios, denunciando que en la sentencia se han contrariado las reglas de la sana crítica en la apreciación de unos hechos, que no solo no fueron objeto de prueba en el procedimiento sino que ni siquiera fueron esgrimidos por la parte demandada y que, como resulta de las alegaciones anteriores, ponen de manifiesto que Google Spain nunca ha reconocido, ni de forma explícita o implícita, que estuviera actuando como responsable del tratamiento, lo que no podía hacer ni legalmente (por carecer de capacidad de hecho o de derecho para determinar los fines y medios del tratamiento) ni de facto (al carecer de medios técnicos y materiales adecuados para ello). Por ello considera irrazonable pretender, como hace la Audiencia Nacional, que el mero hecho de comparecer en un procedimiento administrativo o judicial suponga per se una asunción de responsabilidad.

QUINTO

La relación entre estos tres motivos de casación aconseja su examen de manera conjunta, a cuyo efecto conviene recordar la respuesta dada en la sentencia recurrida a la alegación de la parte de falta de legitimación pasiva en el procedimiento administrativo y subsiguiente nulidad de la resolución impugnada.

La Sala de instancia comienza refiriéndose a la legitimación activa en el proceso contencioso administrativo, prevista en el art. 19.1.a) de la Ley de la Jurisdicción , precisando que Google Spain, S.L ostenta tal legitimación, legitimación que en ningún momento había sido objeto de debate o controversia, pasando a considerar que tras la alegación de la demandante realmente subyace la negación de su condición de sujeto obligado o responsable frente al derecho de oposición ejercitado, dada la concreta actividad que desarrolla y su relación con Google Inc.

Desde este planteamiento señala que: [Para resolver la cuestión que estamos analizando resulta conveniente tener en cuenta los siguientes hechos probados recogidos en la Sentencia del TJUE de 13 de mayo de 2014 , que se basan en el Auto de esta Sala de 27 de febrero de 2012 , de planteamiento de la cuestión prejudicial:

"- Google Search se presta a nivel mundial a través del sitio de Internet «www.google.com». En muchos países existen versiones locales adaptadas al idioma nacional. La versión española de Google Search se presta a través del sitio www.google.es, dominio que tiene registrado desde el 16 de septiembre de 2003. Google Search es uno de los motores de búsqueda más utilizados en España.

- Google Inc. (empresa matriz del grupo Google), con domicilio en los Estados Unidos, gestiona Google Search.

- Google Search indexa páginas Web de todo el mundo, incluyendo páginas Web ubicadas en España. La información indexada por sus «arañas» o robots de indexación, es decir, programas informáticos utilizados para rastrear y realizar un barrido del contenido de páginas Web de manera metódica y automatizada, se almacena temporalmente en servidores cuyo Estado de ubicación se desconoce, ya que este dato es secreto por razones competitivas.

- Google Search no sólo facilita el acceso a los contenidos alojados en las páginas Web indexadas, sino que también aprovecha esta actividad para incluir publicidad asociada a los patrones de búsqueda introducidos por los internautas, contratada, a cambio de un precio, por las empresas que desean utilizar esta herramienta para ofrecer sus bienes o servicios a éstos.

- El grupo Google utiliza una empresa filial, Google Spain, como agente promotor de venta de los espacios publicitarios que se generan en el sitio de Internet «www.google.com». Google Spain tiene personalidad jurídica propia y domicilio social en Madrid, y fue creada el 3 de septiembre de 2003. Dicha empresa dirige su actividad fundamentalmente a las empresas radicadas en España, actuando como agente comercial del grupo en dicho Estado miembro. Tiene como objeto social promocionar, facilitar y procurar la venta de productos y servicios de publicidad «on line» a través de Internet para terceros, así como la comercialización de esta publicidad.

- Google Inc. designó a Google Spain como responsable del tratamiento en España de dos ficheros inscritos por Google Inc. ante la AEPD; el objeto de tales ficheros era almacenar los datos de las personas relacionadas con los clientes de servicios publicitarios que en su día contrataron con Google Inc.".

La letra d) del artículo 2 de la Directiva 95/46/CE establece que se entenderá por "responsable del tratamiento": «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario». En el mismo sentido, se pronuncia el artículo 5.1.q) del Reglamento de Protección de Datos . Por su parte, el artículo 3.d) de la LOPD define como responsable del tratamiento a la "persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento".

Por otro lado, el Proyecto de Reglamento Europeo de Protección de Datos considera responsable del tratamiento a "la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y medios del tratamiento de datos personales; en caso de que los fines y medios del tratamiento estén determinados por la legislación de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por la legislación de la Unión o de los Estados miembros".

El Dictamen 1/2010, sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» adoptado el 16 de febrero de 2010 por el (Grupo de Trabajo del artículo 29 de la Directiva 95/46/ CE (GT29), dice en relación con el concepto de responsable del tratamiento lo siguiente: «El concepto de responsable del tratamiento es autónomo, en el sentido de que debe interpretarse fundamentalmente con arreglo a la legislación comunitaria de protección de datos, y funcional, en el sentido de que su objetivo es asignar responsabilidades en función de la capacidad de influencia de hecho, y, por consiguiente, se basa en un análisis de los hechos más que en un análisis formal...

La definición de la Directiva consta de tres componentes fundamentales: el aspecto personal («la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo»); la posibilidad de un control plural («que solo o conjuntamente con otros»); los elementos esenciales para distinguir al responsable del tratamiento de otros agentes («determine los fines y los medios del tratamiento de datos personales»)...

En relación con la determinación de los fines y los medios se señala que "el hecho de determinar los «fines» del tratamiento trae consigo la consideración de responsable del tratamiento (de facto). En cambio, la determinación de los «medios» del procesamiento puede ser delegada por el responsable del tratamiento en la medida en que se trate de cuestiones técnicas u organizativas. Sin embargo, las cuestiones de fondo que sean esenciales a efectos de la legitimidad del tratamiento -como los datos que deban tratarse, la duración de su conservación, el acceso, etc.- deben ser determinadas por el responsable del tratamiento".

No cabe duda alguna de que Google Inc., que gestiona el motor de búsqueda Google Search, es responsable del tratamiento de datos, al determinar los fines, las condiciones y los medios del tratamiento de datos personales. No obstante, ello no implica que Google Inc. sea responsable del tratamiento en solitario, ya que no podemos olvidar que el citado artículo 2.d) de la Directiva 95/46/CE , alude a que la determinación de los fines y los medios del tratamiento de datos personales se puede hacer "sólo o conjuntamente con otros" , máxime si tenemos en cuenta, que "las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades" (apartado 56 de la Sentencia del TJUE de 13 de mayo de 2014 ).

A este respecto, en el Dictamen 1/2010 del GT29 se dice: "En el dictamen de la Comisión sobre la enmienda del PE, la Comisión menciona la posibilidad de que «varias partes determinen conjuntamente, para una única operación de tratamiento, los fines y los medios del tratamiento que se vaya a llevar a cabo» y, por lo tanto, en tal caso, «cada uno de estos corresponsables del tratamiento debe considerarse vinculado por las obligaciones impuestas por la Directiva de proteger a las personas físicas cuyos datos se estén tratando»" . Se añade que "la definición de tratamiento contenida en el artículo 2.b) de la Directiva no excluye la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales. Estas operaciones pueden producirse simultáneamente o en distintas fases". Y se concluye que "la participación de las partes en la determinación de los fines y los medios del tratamiento en el contexto del control conjunto puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales... Los distintos grados de control pueden dar lugar a distintos grados de responsabilidad, y desde luego no cabe presumir que haya una responsabilidad solidaria en todos los casos. Por lo demás, es muy posible que en sistemas complejos con varios agentes el acceso a datos personales y el ejercicio de otros derechos de los interesados también los puedan garantizar distintos agentes a diferentes niveles".

Así las cosas, en la Sentencia del TJUE de 13 de mayo de 2014 se declara que "... el artículo 4, apartado 1, letra a), de la Directiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado «por» el propio establecimiento en cuestión, sino que se realice «en el marco de las actividades» de éste" (apartado 52). Además se añade que, "visto el objetivo de la Directiva 95/46 de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, ésta expresión no puede ser objeto de una interpretación restrictiva (véase, por analogía, la sentencia L'Oréal y otros, CEU:C:2011:474, apartados 62 y 63) (apartado 53)".

Por otro lado, y así se deduce de los apartados 55, 56 y 57 de la Sentencia de 13 de mayo de 2014 del TJUE, Google Spain, S.L. es un establecimiento del responsable del tratamiento de datos que se encuentra implicado en actividades relativas al tratamiento de datos personales, en cuanto que está destinado a la promoción y venta en España de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor, ya que constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades.

Además, afirma la Sentencia de 13 de mayo de 2014 del TJUE que la presentación de datos personales en una página de resultados de una búsqueda, constituye un tratamiento de dichos datos y concluye que, al encontrarse acompañada en la misma página de la presentación de publicidad vinculada a los términos de búsqueda, "es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de autos el territorio español " (apartado 57).

En definitiva, la responsabilidad de Google Spain, S.L. en el tratamiento de datos personales llevado a cabo en el marco del servicio de búsqueda en internet ofrecido por Google Inc. -gestor del motor de búsqueda deriva de la unidad de negocio que conforman ambas sociedades, en la que la actividad desempeñada por Google Spain, S.L. resulta indispensable para el funcionamiento del motor de búsqueda, pues de aquella depende su rentabilidad. El concierto de ambas sociedades en la prestación de tal servicio a los internautas lo hace viable económicamente y posibilita su subsistencia.

Carecería de lógica alguna excluir a Google Spain, S.L. de cualquier responsabilidad en el tratamiento de los datos personales que lleva a cabo Google Inc., tras afirmar que este tratamiento se sujeta al Derecho Comunitario precisamente por haberse llevado a cabo en el marco de las actividades de su establecimiento en España, del que es titular Google Spain, S.L., y más aún tras aceptar la relevancia de su participación en la actividad conjuntamente desempeñada por ambas, en relación con el funcionamiento del motor de búsqueda y el servicio que mediante el mismo se presta a los internautas, que conlleva el tratamiento de datos personales que nos ocupa.

De no entenderse así se vería menoscabado el efecto útil de la Directiva 95/46/ CE y la protección directa y completa de las libertades y de los derechos fundamentales de las personas físicas, en particular el derecho a la intimidad, en lo que respecta al tratamiento de datos personales, que tiene por objeto garantizar, tal y como se desprende de su artículo 1 y de su considerando 10 (véase la Sentencia del TJUE de 13 de mayo de 2014 , apartados 53, 58 y 66).

Resulta interesante poner de manifiesto en este momento lo que se recoge en las observaciones escritas de la Comisión Europea presentadas al Tribunal de Justicia de la Unión Europea en relación con la cuestión prejudicial planteada por esta Sala, en las que se lee que "de acuerdo con las afirmaciones de la propia Google en su página Web "Google data centers" la mayor parte de los ingresos de Google proceden de la publicidad de gran interés para los consumidores de internet que buscan sobre productos y servicios relacionados".

A lo expuesto, tenemos que añadir que Google Spain, S.L. ha venido actuando como si fuese responsable del tratamiento de datos, tanto en procedimientos de tutela de derechos seguidos ante la Agencia Española de Protección de Datos como en diversas intervenciones ante Tribunales Españoles.

En este sentido, resulta conveniente hacer referencia a los siguientes procedimientos de tutela de derechos sobre cancelación de datos personales seguidos en la Agencia Española de Protección de Datos, en los que la reclamación se dirigió contra Google Spain, S.L., y ésta actuó como si fuera responsable del tratamiento de datos: TD/00299/2007 (resolución de 9 de julio de 2007), TD/00463/2007 (resolución de 9 de julio de 2007), TD/00814/2007 (resolución de 7 de abril de 2008), TD/00387/2008 (resolución de 3 de septiembre de 2008),TD/00420/2008 (resolución de 29 de diciembre de 2008), TD/0444/2008 (resolución de 4 de noviembre de 2008), TD/00569/2008 (resolución de 24 de septiembre de 2008) y TD/00580/2008 (resolución de 29 de diciembre de 2008).

En dichos procedimientos se viene a manifestar por Google Spain, S.L que las informaciones obtenidas a través de sus resultados de búsqueda se encontraban en páginas de terceros cuyo acceso es público y, en consecuencia, para eliminar dicho contenido de los resultados deberían desaparecer del webmaster de la página de terceros.

En cuanto a la actuación de Google Spain, S.L. ante los Tribunales Españoles, hay supuestos en que asumió la condición del responsable del tratamiento, siendo un ejemplo de ello la Sentencia de la Sala de lo Civil del Tribunal Supremo de 3 de abril de 2012 -recurso nº. 2.037/2008 -, sobre los derechos del allí recurrente como autor de una página Web de apuestas frente a Google Spain, S.L., en la que ésta no opuso la falta de legitimación pasiva. Por otro lado, en un procedimiento en que era parte demandada que tenía por objeto una demanda por intromisión ilegítima en su derecho al honor y a la propia imagen por la difusión de unos videos, que concluyó con la Sentencia de la Sala de lo Civil del Tribunal Supremo de 15 de enero de 2014 -recurso nº. 897/2010 -, consta que Google Spain, S.L. llegó a un acuerdo transaccional con la parte demandante.

La Sala es consciente de que la postura adoptada por Google Spain, S.L. en dichos procedimientos, tanto administrativos como judiciales, puede que no sea determinante para la resolución de la cuestión que estamos analizando, pero constituye un indicio muy importante a los efectos de considerar a Google Spain, S.L. también como responsable del tratamiento de datos, y, especialmente, si añadimos el desistimiento efectuado por Google Spain, S.L. en unos 130 recursos contencioso-administrativos que se tramitan en esta Sala, que tienen por objeto resoluciones recaídas en procedimientos de tutela de derechos sobre cancelación de datos.

Las citadas actuaciones inciden en la doctrina de los actos propios que, como se dice en la Sentencia de la Sala Primera de lo Civil del Tribunal Supremo de 9 de marzo de 2012 -recurso nº. 576/2009 -, "tiene su fundamento en la protección de la confianza y en el principio de la buena fe, que impone un deber de coherencia y limita la libertad de actuación cuando se han creado expectativas razonables.

Los presupuestos esenciales fijados por esta teoría aluden a que los actos propios sean inequívocos, en el sentido de crear, definir, fijar, modificar, extinguir o esclarecer, sin ninguna duda, una determinada situación jurídica afectarte a su autor, y, además, exista una incompatibilidad entre la conducta anterior y la pretensión actual, según la manera que, de buena fe, hubiera de atribuirse a aquélla ( SSTS 1 de julio y 28 de diciembre 2011 , 31 de enero 2012 )...".

Finalmente, Google Spain, S.L., en las alegaciones formuladas a la STJUE de 13 de mayo de 2014 en otros recursos similares, invoca la resolución de 18 de diciembre de 2013 -PS/320/2013- de la Agencia Española de Protección de Datos, que es objeto del recurso contencioso-administrativo nº. 51/2014 que se sigue en esta Sala.

El citado procedimiento sancionador, que se incoó con fecha 1 de marzo de 2012, con el fin de determinar el grado de adecuación de las políticas de privacidad y los términos de servicio adoptados por Google a la LOPD y demás normativa de protección de datos, se dirigió en principio contra Google Spain, S.L., y Google Inc., pero luego, en la resolución sancionadora se razona que la única imputable es Google Inc., imponiéndose a ésta tres sanciones de 300.000 euros cada una por las infracciones de los arts. 6.1 , 4.5, en relación con el art. 16 y 15 , y 16, todas ellas de la LOPD . En sus alegaciones al acuerdo de inicio del procedimiento sancionador Google Spain, S.L., afirmó que "Google Spain es un activo de Google Inc. toda vez que Google Spain es totalmente (aunque sea de modo indirecto) propiedad de Google Inc. y, por lo tanto, los efectos económicos de cualquier pérdida de Google Spain (Ej. una multa) se trasladan de forma automática a Google Inc.". Por su parte, en el citado procedimiento sancionador Google Inc. invocó sobre la propuesta de resolución sancionadora, la vulneración del principio "non bis in ídem", partiendo de que Google Spain, S.L. fue constituida y está controlada al 100% por Google Inc.

Se añade más adelante que "en el presente caso, la AEPD pretende imponer a Google Inc. y a Google Spain idénticas sanciones, sobre la base de unos mismos hechos (la implantación de la nueva política de Privacidad), existiendo entre Google Inc. y Google Spain una identidad subjetiva (no formal, pero sí material como ha quedado acreditado, y a la vista de la normativa de protección de datos)".

Por tanto, a tenor de lo relatado, consideramos que Google Spain, S.L. también es responsable del tratamiento de datos, constituyendo ésta y Google Inc. una unidad material, además de reunir la características de un establecimiento de los referidos en el artículo 4.1.a) de la Directiva 95/46/CE , en el que participa en el tratamiento de datos.

La Sala no ignora que resoluciones de otros tribunales, españoles y extranjeros, antes y después de la Sentencia del TJUE de 13 de mayo de 2014 , han acogido la excepción de falta de legitimación pasiva de Google Spain, S.L., o de la filial de Google Inc. en otros países europeos, en reclamaciones relacionadas con el buscador Google, por considerar a Google Inc. único responsable del motor de búsqueda. Pero también hay Sentencias que, aplicando la citada Sentencia del TJUE, consideran que Google Spain, S.L, tiene legitimación pasiva, siendo ejemplo de ello la Sentencia de la Sección 16ª de la Audiencia Provincial de Barcelona de 17 de julio de 2014 -recurso nº 411/2011 -, recaída en materia de intromisión en el derecho a la intimidad personal y familiar, a la imagen y al honor, por la que se condena a Google Spain, S.L. por vulnerar el derecho del allí demandante a la protección de datos personales.

Por último, en cuanto a la alegación de Google Spain, S.L. de carecer de los medios necesarios para cumplir por sí misma la obligación impuesta por la AEPD - eliminación del índice de resultados proporcionado por el buscador de determinados enlaces-, hay que tener en cuenta que la unidad material y funcional que conforma con Google Inc. conlleva su responsabilidad en el cumplimiento de la obligación, trasladándola al gestor del motor de búsqueda y contribuyendo a su realización, dada la relevancia de su participación en el funcionamiento del servicio de búsqueda en Internet que se ofrece a los internautas].

En conclusión, la Sala de instancia rechaza la alegación de falta de legitimación pasiva de la recurrente en el procedimiento administrativo por dos razones: primera, que Google Spain, S.L. es corresponsable en el tratamiento de datos personales llevado a cabo en el marco del servicio de búsqueda en internet ofrecido por Google Inc. -gestor del motor de búsqueda- en razón de la unidad de negocio que conforman ambas sociedades, en la que la actividad desempeñada por Google Spain, S.L. resulta indispensable para el funcionamiento del motor de búsqueda, pues de aquella depende su rentabilidad. El concierto de ambas sociedades en la prestación de tal servicio a los internautas lo hace viable económicamente y posibilita su subsistencia. Segunda, en aplicación de la doctrina de los actos propios, dado que Google Spain, S.L. ha venido actuando como si fuese responsable del tratamiento de datos, tanto en procedimientos de tutela de derechos seguidos ante la Agencia Española de Protección de Datos como en diversas intervenciones ante Tribunales Españoles.

SEXTO

La resolución de estos motivos de casación aconseja dejar claro, desde el principio, dos circunstancias: primera, que el litigio se plantea por la entidad recurrente en cuanto, en la resolución impugnada y en la sentencia, se le considera responsable del tratamiento de datos controvertido y se le impone la adopción de las medidas correspondientes, para hacer efectivo el derecho de oposición o derecho al olvido de la interesada, en tal concepto de responsable, atribuyéndole con ello una responsabilidad que entiende no le corresponde, dado que no tiene dicha condición. Quedan al margen, por lo tanto, los efectos de las distintas posibilidades de intervención en el procedimiento dirigido, en su caso, frente al responsable del tratamiento, como establecimiento de este o en la representación del mismo cuando así le haya sido conferida. Y segunda, que la legitimación pasiva en el procedimiento administrativo de tutela de derechos, que se cuestiona en estos motivos, viene determinada por la condición de responsable del tratamiento de los datos personales, en razón de que corresponde al mismo garantizar que el tratamiento se ajusta a los principios y condiciones de la normativa reguladora y asumir las correspondientes obligaciones al respecto frente al interesado, titular de los datos personales, el cual, en el ejercicio de sus derechos, puede dirigirse directamente al responsable y en su caso a la autoridad de control exigiendo su cumplimiento.

A tal efecto el art. 6 de la Directiva 95/46/CE , tras referir en el número 1 los principios relativos a la calidad de los datos (tratados de manera leal y lícita; con fines determinados, explícitos y legítimos; adecuados, pertinentes y no excesivos; exactos y, cuando sea necesario, actualizados; conservados durante un periodo no superior al necesario) establece en el número 2 que: " corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1".

Abunda en ello la referida sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014 , cuando señala que: "A tenor de este artículo 6 y sin perjuicio de las disposiciones específicas que los Estados miembros puedan establecer para el tratamiento con fines históricos, estadísticos o científicos, incumbe al responsable del tratamiento garantizar que los datos personales sean «tratados de manera leal y lícita», que sean «recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines», que sean «adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente», que sean «exactos y, cuando sea necesario, actualizados», y, por último, que sean «conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente». En este marco, el mencionado responsable debe adoptar todas las medidas razonables para que los datos que no responden a los requisitos de esta disposición sean suprimidos o rectificados."

El art. 12 de la misma Directiva, titulado "Derecho de acceso", establece:

"Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento:

[...]

  1. en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos;"

    En el artículo 14, relativo al "Derecho de oposición del interesado", se dispone:

    "Los Estados miembros reconocerán al interesado el derecho a:

  2. oponerse, al menos en los casos contemplados en las letras e) y f) del artículo 7, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. En caso de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos;"

    El artículo 23 se refiere al derecho de toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, a obtener del responsable del tratamiento la reparación del perjuicio sufrido.

    En el mismo sentido se expresa la normativa estatal en numerosos preceptos, entre los que cabe indicar los siguientes:

    El art. 6.4 de la Ley 15/1999 , de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), a propósito del consentimiento del interesado, dispone que "En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado."

    En el art. 9 se atribuye al responsable del fichero y, en su caso, al encargado del tratamiento, la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos de carácter personal.

    En el art. 16 se establece la obligación del responsable del tratamiento de hacer efectivo el derecho de rectificación o cancelación del interesado. Y el art. 19 reconoce el derecho de los interesados a ser indemnizados por los daños sufridos a consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento.

    En semejantes términos se expresa el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, que, además de las ya citadas, precisa notablemente otras obligaciones, siempre referidas al responsable del tratamiento, como registro de actividades (art. 30), notificación de violaciones de seguridad a la autoridad de control (art. 33), comunicación de dicha violación al interesado (art. 34), evaluación de impacto (art. 35) o consulta previa (art. 36), siendo significativa, a los efectos de este proceso, la previsión contenida en el art. 17, que se refiere expresamente al "Derecho de supresión (derecho al olvido)" y con esta concreta denominación establece que "el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir ...", precepto que se complementa con el art. 58, según el cual, entre los poderes de la autoridad de control, se incluye el de ordenar al responsable o encargado del tratamiento que atiendan las solicitudes del ejercicio de los derechos del interesado (art. 58.2 c) y, en concreto, ordenar la supresión de los datos con arreglo al art. 17 y la notificación de las medidas adoptadas por el responsable en los términos del número 2 de dicho art. 17 (art. 58.2.g), medidas que, como señala el considerando 66, se imponen al responsable del tratamiento que haya hecho público los datos, precisamente para reforzar el derecho al olvido. Es igualmente significativo que la decisión de la autoridad de control, aun notificada al establecimiento principal o único establecimiento del responsable en el territorio de un Estado miembro, se adopta en relación con el responsable del tratamiento, que es quien a su vez debe adoptar las medidas necesarias para garantizar el cumplimiento de la decisión en lo tocante a las actividades de tratamiento en el contexto de todos sus establecimientos en la Unión (art. 60.9 y 10).

    Es manifiesto, por lo tanto, que es al responsable del tratamiento al que, según la ley, deben exigirse e imponerse las obligaciones derivadas del ejercicio del derecho al olvido y al que corresponde la adopción de las medidas oportunas para su cumplimiento.

    En congruencia con ello y por lo que se refiere a los procedimientos para ejercitar los derechos de oposición, acceso, rectificación y cancelación, la LOPD remite al desarrollo reglamentario, disponiendo el art. 25 del Real Decreto 1720/2007, de 21 de diciembre , que aprueba el Reglamento de desarrollo de la LOPD, que el ejercicio de tales derechos deberá llevarse a cabo mediante comunicación dirigida al responsable del fichero, con el que se sigue el procedimiento correspondiente, hasta el punto que, según el art. 26 , incluso en el caso de que los afectados ejerciten sus derechos ante un encargado del tratamiento, este encargado deberá dar traslado de la solicitud al responsable, a fin de que se resuelva por el mismo, dejando claro con todo ello que la legitimación pasiva en estos procedimientos administrativos viene atribuida al responsable del tratamiento.

    Por lo demás, que corresponda al responsable del tratamiento de datos el cumplimiento de las obligaciones que se derivan de los derechos de oposición, cancelación y rectificación que puede ejercitar el titular de los mismos, y en consecuencia la legitimación pasiva en el procedimiento, es una consecuencia que se infiere de las reglas generales en materia de derecho de obligaciones, y buen ejemplo de ello lo encontramos en nuestro ordenamiento jurídico ( artículos 1.088 y ss. del CC ). En este sentido, recordemos que las obligaciones pueden nacer de la Ley, siendo el caso que nos ocupa un supuesto paradigmático pues la mayor parte de las reclamaciones referidas al tratamiento informatizado de datos de carácter personal tienen un carácter extracontractual. Y esa obligación puede consistir en un hacer, esto es, en la realización efectiva de la prestación debida que es objeto de la pretensión: en este caso la cancelación o supresión de datos personales en el buscador de Google. Pues bien, es presupuesto que para realizar el cumplimiento liberatorio de la obligación hay que tener capacidad de obrar, entendida como capacidad para realizar la prestación cuyo cumplimiento se demanda, que en este caso viene asociada por la Ley, en los términos indicados, a la condición de responsable del tratamiento, al que se exige, de una parte, arbitrar fórmulas para facilitar al interesado el ejercicio de los derechos reconocidos por la norma y, de otra, adoptar las medidas necesarias y adecuadas para hacer efectivos tales derechos y dar cumplimiento, en su caso, a las decisiones administrativas o judiciales dictadas al efecto.

SÉPTIMO

Lo expuesto nos sitúa ya en el núcleo de la cuestión debatida, que no es otra que la determinación del responsable del tratamiento de datos objeto de litigio y, concretamente, si la recurrente, Google Spain S.L., en cuanto establecimiento en España de la sociedad Google Inc. con sede en los Estados Unidos es, como sostiene la sentencia recurrida y rechaza la recurrente por las razones antes indicadas, corresponsable en el tratamiento de datos que esta última gestiona a través de su motor de búsqueda en Internet.

Para ello ha de estarse a la regulación en la normativa que se invoca como infringida de la figura del responsable del tratamiento, considerando la interpretación que de dicha normativa realiza el TJUE en sentencia de 13 de mayo de 2014 al resolver la cuestión prejudicial planteada por la Sala de instancia sobre los diversos aspectos que integran el debate litigioso.

A tal efecto el artículo 2 de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, define en la letra d) al "responsable del tratamiento" como "la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario".

Paralelamente, el artículo 3.d) de la Ley Orgánica 15/1999 define lo que ha de entenderse por "responsable del fichero o tratamiento" a los efectos de la misma como la "persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento".

Al alcance de este concepto se refiere la sentencia de instancia cuando señala que: "El Dictamen 1/2010, sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» adoptado el 16 de febrero de 2010 por el (Grupo de Trabajo del artículo 29 de la Directiva 95/46/ CE (GT29), dice en relación con el concepto de responsable del tratamiento lo siguiente: «El concepto de responsable del tratamiento es autónomo, en el sentido de que debe interpretarse fundamentalmente con arreglo a la legislación comunitaria de protección de datos, y funcional, en el sentido de que su objetivo es asignar responsabilidades en función de la capacidad de influencia de hecho, y, por consiguiente, se basa en un análisis de los hechos más que en un análisis formal...

La definición de la Directiva consta de tres componentes fundamentales: el aspecto personal («la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo»); la posibilidad de un control plural («que solo o conjuntamente con otros»); los elementos esenciales para distinguir al responsable del tratamiento de otros agentes («determine los fines y los medios del tratamiento de datos personales»)...

En relación con la determinación de los fines y los medios se señala que "el hecho de determinar los «fines» del tratamiento trae consigo la consideración de responsable del tratamiento (de facto). En cambio, la determinación de los «medios» del procesamiento puede ser delegada por el responsable del tratamiento en la medida en que se trate de cuestiones técnicas u organizativas. Sin embargo, las cuestiones de fondo que sean esenciales a efectos de la legitimidad del tratamiento -como los datos que deban tratarse, la duración de su conservación, el acceso, etc.- deben ser determinadas por el responsable del tratamiento".

Se desprende de todo ello, que la caracterización como responsable del tratamiento de datos, frente a la intervención de otros agentes, viene delimitada por la efectiva participación en la determinación de los fines y medios del tratamiento, o dicho de otro modo, que la identificación del responsable del tratamiento exige una valoración fáctica acerca de su efectiva intervención en esos concretos aspectos de fijación de fines y medios del tratamiento, para lo cual es preciso establecer, en primer lugar, cual es la actividad de tratamiento de que se trata.

En este caso el TJUE en su sentencia de 13 de mayo de 2014 , resolviendo la cuestión prejudicial planteada por la Sala de instancia, señala en cuanto a la actividad de tratamiento, que " el artículo 2, letra b), de la Directiva 95/46 define el «tratamiento de datos personales» como «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción", añadiendo que "Por consiguiente, debe declararse que, al explorar Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el gestor de un motor de búsqueda «recoge» tales datos que «extrae», «registra» y «organiza» posteriormente en el marco de sus programas de indexación, «conserva» en sus servidores y, en su caso, «comunica» y «facilita el acceso» a sus usuarios en forma de listas de resultados de sus búsquedas. Ya que estas operaciones están recogidas de forma explícita e incondicional en el artículo 2, letra b), de la Directiva 95/46 , deben calificarse de «tratamiento» en el sentido de dicha disposición, sin que sea relevante que el gestor del motor de búsqueda también realice las mismas operaciones con otros tipos de información y no distinga entre éstos y los datos personales ".

En consecuencia, concluye el TJUE que, " el gestor del motor de búsqueda es quien determina los fines y los medios de esta actividad y, así, del tratamiento de datos personales que efectúa él mismo en el marco de ésta y, por consiguiente, debe considerarse «responsable» de dicho tratamiento en virtud del mencionado artículo 2, letra d) ".

La conclusión que alcanza el TJUE es clara: " Del conjunto de las consideraciones precedentes se desprende que procede responder a la segunda cuestión prejudicial, letras a ) y b), que el artículo 2, letras b ) y d), de la Directiva 95/46 debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el sentido del mencionado artículo 2, letra d) ".

En consecuencia, conforme a la interpretación del TJUE, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, finalmente, ponerla a disposición de los internautas, debe calificarse de "tratamiento de datos personales", en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales; y, por otra parte, el gestor de un motor de búsqueda, que en este caso y de manera incontrovertida es Google Inc., debe considerarse "responsable" de dicho tratamiento, en el sentido del mencionado artículo 2, letra d), en tanto que determina los fines y medios de esa actividad de motor de búsqueda.

Que esto es así lo reconoce la propia sentencia de instancia cuando señala que no cabe duda alguna de que Google Inc., que gestiona el motor de búsqueda Google Search, es responsable del tratamiento de datos, al determinar los fines, las condiciones y los medios del tratamiento de datos personales.

La controversia se produce cuando la sentencia añade que, además, existe una corresponsabilidad de Google Spain S.L. y ello en razón de la unidad de negocio que conforman ambas sociedades.

Es cierto al respecto que los preceptos antes referidos de la Directiva 95/46/CE y la LOPD contemplan la posibilidad de corresponsabilidad en el tratamiento de los datos, cuando emplean los términos solo o conjuntamente con otros, pero no lo es menos que ello supone una coparticipación en la determinación de los fines y medios del tratamiento, que es lo que caracteriza la condición de responsable, no cualquier otro auxilio o colaboración con el mismo que no tenga tal naturaleza, como puede ser el caso aquí contemplado de promoción de productos o servicios publicitarios en beneficio del responsable, promoción ajena a la determinación de los fines y medios del tratamiento, en otras palabras, es la sociedad que gestiona el motor de búsqueda la que asume la responsabilidad del tratamiento de datos, con las obligaciones que de ello se deriva en orden al efectivo cumplimiento de la normativa tanto europea como nacional reguladoras del tratamiento de datos personales, sin que esa responsabilidad pueda trasladarse también al sujeto que, sin intervenir en esa gestión del motor de búsqueda, realiza otras actividades conexas o vinculadas, en este caso las ya señaladas de promoción publicitaria como soporte económico del motor de búsqueda.

A ello se refiere el citado Dictamen 1/2010, invocado en la sentencia de instancia, cuando señala que los elementos esenciales para distinguir al responsable del tratamiento de otros agentes es, precisamente, la determinación de los fines y medios de tratamiento.

Resulta significativo al respecto el fundamento 40 de la repetida sentencia del TJUE de 13 de mayo de 2014 cuando, a propósito de la responsabilidad del gestor del motor de búsqueda aun cuando los editores de los sitios de Internet no hayan aplicado protocolos de exclusión, con indicaciones como "noindex" o "noarchive", señala que ello no modifica el hecho de que el gestor determina los fines y los medios de este tratamiento y que, aun suponiendo que dicha facultad de los editores signifique que determinen conjuntamente con dicho gestor los medios del mencionado tratamiento, tal afirmación no elimina la responsabilidad del gestor, en cuanto la norma permite que esta determinación pueda realizarse conjuntamente con otros. Se identifica, pues, la colaboración o coparticipación con el gestor con una actividad de determinación de medios del tratamiento y no de otra naturaleza.

Quiere decirse con todo ello, que hablar de corresponsabilidad supone un examen de la situación fáctica y comprobar que la entidad en cuestión tiene una participación concreta e identificada en la determinación de los fines y medios del tratamiento de que se trate, tratamiento que en este caso y según se declara por el TJUE al dar respuesta a la cuestión prejudicial planteada por la Sala de instancia, " consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado " . En este caso no se identifica por la Sala de instancia ninguna actividad de Google Spain que suponga la participación en esa actividad del motor de búsqueda. Por el contrario y como recoge el TJUE en el fundamento 46 de la citada sentencia, el tribunal remitente señala que Google Inc. gestiona técnica y administrativamente Google Search y que no está probado que Google Spain realice en España una actividad directamente vinculada a la indexación o almacenamiento de información o de datos contenidos en los sitios de Internet de terceros.

Por otra parte, la necesidad de identificar y acreditar la concreta participación en los supuestos de corresponsabilidad en el tratamiento, resulta del Dictamen 1/2010 del GT29, al que se refiere la sentencia de instancia, en el que se dice: "En el dictamen de la Comisión sobre la enmienda del PE, la Comisión menciona la posibilidad de que «varias partes determinen conjuntamente, para una única operación de tratamiento, los fines y los medios del tratamiento que se vaya a llevar a cabo» y, por lo tanto, en tal caso, «cada uno de estos corresponsables del tratamiento debe considerarse vinculado por las obligaciones impuestas por la Directiva de proteger a las personas físicas cuyos datos se estén tratando»". Se añade que "la definición de tratamiento contenida en el artículo 2.b) de la Directiva no excluye la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales. Estas operaciones pueden producirse simultáneamente o en distintas fases". Y se concluye que "la participación de las partes en la determinación de los fines y los medios del tratamiento en el contexto del control conjunto puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales... Los distintos grados de control pueden dar lugar a distintos grados de responsabilidad, y desde luego no cabe presumir que haya una responsabilidad solidaria en todos los casos. Por lo demás, es muy posible que en sistemas complejos con varios agentes el acceso a datos personales y el ejercicio de otros derechos de los interesados también los puedan garantizar distintos agentes a diferentes niveles". Por lo tanto, no estableciéndose la responsabilidad solidaria y haciéndose cargo cada corresponsable de las obligaciones correspondientes a su participación, al que debe exigirse su cumplimiento, es preciso determinar y acreditar en cada caso la existencia y el alcance de la participación de cada uno en la determinación de los fines y medios del tratamiento para que pueda hablarse de corresponsabilidad, lo que en modo alguno se ha producido en este caso respecto de Google Spain y que como, ya hemos indicado, no puede fundarse en la vinculación mercantil o empresarial que existe entre Google Inc. y Google Spain, S.L., que es lo que en definitiva sostiene la sentencia recurrida, pues la coparticipación, desde su propia definición semántica como "acción de participar a la vez con otro en algo", alude a la idea de participación conjunta en algún resultado o acción, lo que en este caso comportaría que tanto Google Inc. como Google Spain, S.L., concurrieran en la tarea de determinar los fines y medios del motor de búsqueda. Sin embargo, no es esto lo que sucede en este caso, pues claramente se nos dice que es Google Inc. quien gestiona el motor de búsqueda -Google Search-, sin que en ningún caso se evidencie participación alguna en ese cometido de Google Spain, S.L., cuya actividad es la propia de un establecimiento (filial o sucursal) de aquélla que se limita a la promoción y venta en España de los espacios publicitarios del motor de búsqueda, y en este sentido constituye una actividad conexa o vinculada económicamente a la de su matriz, pero de distinta naturaleza a la determinación de fines o medios del tratamiento. Y es que no debe identificarse ni confundirse la determinación de los fines y medios del tratamiento, que caracteriza la condición de responsable, con una actividad de colaboración en la consecución de sus objetivos, que en el Dictamen 1/2010 se identifica genéricamente como actividad de otros agentes. De ahí que solo Google Inc. es la responsable del tratamiento pues a ella corresponde en exclusiva la determinación de los fines, las condiciones y los medios del tratamiento de datos personales.

Este planteamiento se confirma y precisa en el nuevo Reglamento (UE) 2016/679, que regula expresamente la corresponsabilidad en el tratamiento de datos, estableciendo en el art. 26 que, cuando dos o más responsables determinan conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables, añadiendo que los corresponsables determinarán de modo trasparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos de los interesados.

Se desprenden de ello dos elementos básicos que definen la condición de corresponsable, el primero y fundamental, la efectiva participación en la determinación de los objetivos y los medios del tratamiento, y el segundo y especialmente trascendente para garantizar el ejercicio de sus derechos por el interesado, la delimitación de su concreta responsabilidad en el cumplimiento de las obligaciones impuestas por el Reglamento. Abunda en ello el considerando 79 cuando señala que, la protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsable y encargados del tratamiento, también en lo que respecta a la supervisión por parte de las autoridades de control y a las medidas adoptadas por ellas, requieren una atribución clara de las responsabilidades en virtud del presente Reglamento, incluidos los casos en los que un responsable determine los fines y medios del tratamiento de forma conjunta con otros responsables.

Desde este planteamiento, difícilmente puede considerarse a Google Spain, S.L. responsable, o corresponsable como sostiene la Sala de instancia, del tratamiento controvertido, consistente, como se ha dicho, en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, finalmente, ponerla a disposición de los internautas, cuando en dicha entidad no concurren ninguno de los referidos dos elementos que definen tal condición, pues no consta participación alguna en la gestión del motor de búsqueda y determinación de los fines y medios de dicho tratamiento ni existe asunción o atribución a la misma de responsabilidad en el cumplimiento de alguna de las obligaciones que la norma impone al responsable del tratamiento.

Por ello no puede compartirse el planteamiento de la Sala de instancia que aprecia una corresponsabilidad de carácter genérico, sin precisar o identificar los concretos fines o medios del tratamiento que determina Google Spain ni cuál es el alcance de su responsabilidad y menos que forme parte de ella la obligación cuyo cumplimiento se exige por el interesado y que la AEPD declara. Muy al contrario, la propia sentencia reconoce, como hemos señalado antes, que no cabe duda alguna de que Google Inc., que gestiona el motor de búsqueda Google Search, es responsable del tratamiento de datos, al determinar los fines, las condiciones y los medios de dicho tratamiento, sin que identifique actividad concreta al efecto de Google Spain, S.L., y, en todo caso, la obligación a que se refiere la resolución impugnada de la AEPD era exigible a Google Inc., en cuanto es el único responsable del concreto tratamiento cuestionado que se identifica por la misma, y por lo tanto necesariamente el pronunciamiento de la decisión estimando el ejercicio el derecho al olvido por la interesada debió efectuarse contra dicho responsable sin que pueda imponerse a Google Spain, S.L. el cumplimiento de unas obligaciones que no le son exigibles.

OCTAVO

Por las mismas razones debemos descartar el criterio de la Sala de instancia, que deduce la corresponsabilidad de Google Spain en el tratamiento de datos en cuestión de la unidad de mercado -unidad material y funcional- que conforma con Google Inc., con apoyo en los pronunciamientos del TJUE de 13 de mayo de 2014.

Lo primero que debe señalarse al respecto es: que el TJUE se refiere a esta cuestión a propósito y con el objeto de dar respuesta a la cuestión prejudicial relativa a la sujeción del tratamiento de datos en litigio a la normativa comunitaria y de sus estados miembros, y ello en cuanto el responsable del motor de búsqueda que realiza ese tratamiento -Google Inc.- tiene su sede fuera del territorio de la Unión Europea, pero sin embargo cuenta con un establecimiento -Google Spain S.L.- en un Estado miembro.

Recordemos que el artículo 4 de la Directiva 95/46 , bajo el rótulo de "Derecho nacional aplicable", contempla esta situación en los siguientes términos:

"1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

  1. el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

  2. el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;

  3. el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

  1. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento".

En respuesta a la cuestión formulada por la Sala de instancia al TJUE sobre el alcance de esta disposición, la sentencia dictada por éste declara lo siguiente: " el considerando 19 de la Directiva aclara que «el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable», y «que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante.

Pues bien, no se discute que Google Spain se dedica al ejercicio efectivo y real de una actividad mediante una instalación estable en España. Además, al estar dotada de personalidad jurídica propia, es de este modo una filial de Google Inc. en territorio español, y, por lo tanto, un «establecimiento», en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46 .

Para cumplir el requisito establecido en dicha disposición, es necesario además que el tratamiento de datos personales por parte del responsable del tratamiento se «lleve a cabo en el marco de las actividades» de un establecimiento de dicho responsable situado en territorio de un Estado miembro.

Google Spain y Google Inc. niegan que éste sea el caso, dado que el tratamiento de datos personales controvertido en el litigio principal lo lleva a cabo exclusivamente Google Inc., que gestiona Google Search sin ninguna intervención por parte de Google Spain, cuya actividad se limita a prestar apoyo a la actividad publicitaria del grupo Google, que es distinta de su servicio de motor de búsqueda.

No obstante, como subrayaron, en particular, el Gobierno español y la Comisión, el artículo 4, apartado 1, letra a), de la Directiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado «por» el propio establecimiento en cuestión, sino que se realice «en el marco de las actividades» de éste.

Además, visto el objetivo de la Directiva 95/46 de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, ésta expresión no puede ser objeto de una interpretación restrictiva (véase, por analogía, la sentencia L'Oréal y otros, C-324/09 , EU:C:2011:474 , apartados 62 y 63).

En este marco, cabe señalar que se desprende, concretamente de los considerandos 18 a 20 y del artículo 4 de la Directiva 95/46 , que el legislador de la Unión pretendió evitar que una persona se viera excluida de la protección garantizada por ella y que se eludiera esta protección, estableciendo un ámbito de aplicación territorial particularmente extenso.

Habida cuenta de este objetivo de la Directiva 95/46 y del tenor de su artículo 4, apartado 1, letra a ), procede considerar que el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa «en el marco de las actividades» de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor.

En efecto, en tales circunstancias, las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades ".

Pues bien, desde estas consideraciones del TJUE no puede llegarse a la conclusión de que Google Spain sea corresponsable del tratamiento de datos que se examina por las siguientes razones:

En primer lugar, el TJUE se plantea la cuestión de la aplicación de la norma comunitaria en razón de que el tratamiento de datos se realiza por un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero, es decir, en la medida que el responsable del tratamiento tiene su domicilio social fuera de la Comunidad Europea. Ninguna necesidad de ello habría si se considerara corresponsable también, genéricamente, como mantiene la Sala de instancia, a Google Spain con domicilio social en España.

En segundo lugar, el TJUE al utilizar como norma de conexión territorial el art. 4.1.a) de la Directiva 95/46 , consistente en que el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro, deja claro que no exige que el tratamiento de datos personales controvertido sea efectuado «por» el propio establecimiento en cuestión, sino que se realice «en el marco de las actividades» de éste , con lo que se deja claro de nuevo que no se trata de que el establecimiento en cuestión, Google Spain, participe en el tratamiento de datos sino de que dicho tratamiento se efectúa en el ámbito de sus actividades de promoción de espacios publicitarios, actividad distinta a la determinación de fines y medios del tratamiento que determina la corresponsabilidad. Es más, tal respuesta del TJUE corresponde a la concreta objeción planteada por Google Inc. y Google Spain en el sentido de que esta última entidad no participa en forma alguna en la determinación de los fines y medios del tratamiento, frente a lo cual el Tribunal señala que no es preciso a los efectos que examina, aplicación de la normativa comunitaria, que se produzca tal participación, asumiendo así que Google Spain no interviene como responsable del tratamiento.

Finalmente el TJUE concluye que se trata de aplicar la protección garantizada por la Directiva 95/46, "estableciendo un ámbito de aplicación territorial particularmente extenso", con lo que deja claro que no se trata de ampliar el concepto de responsable del tratamiento sino que, manteniendo los criterios que determinan tal condición y a pesar de que se encuentre domiciliado en un Estado tercero, el tratamiento de datos efectuado por ese responsable se sujeta a las previsiones de la Directiva 95/46 y las normas del Estado miembro correspondiente, en cuanto el tratamiento se proyecta en el ámbito de las actividades de un establecimiento del mismo en un Estado miembro, es decir, se amplía el ámbito territorial al del correspondiente establecimiento y es a esos efectos que se argumenta sobre la vinculación con las actividades del establecimiento, como justificación de la proyección del tratamiento de datos efectuado por el responsable en ese ámbito.

Como bien dice la recurrente --que cita en su apoyo lo resuelto por distintos tribunales de otros estados europeos: sentencia de la Audiencia Territorial de Berlín de 21 de agosto de 2014; auto de la Sala de lo Civil nº 2 de la Audiencia Territorial de Hamburgo de 18 de agosto de 2014; providencia de la Audiencia Territorial de Hamburgo de 22 de septiembre de 2014; sentencia del Tribunal de Roma de 4 de noviembre de 2014; sentencia del Tribunal de Amsterdam de 18 de septiembre de 2014 y del Tribunal de Apelación de 31 de marzo de 2015; auto del Tribunal de Gran Instancia de París de 8 de diciembre de 2014; sentencia del Tribunal de Primera Instancia de Arenas de 16 de febrero de 2015 ; y sentencia del Tribunal Regional de Düsseldorf de 7 de mayo de 2015 -- la consideración de Google Spain, S.L., como establecimiento en España de Google Inc. lo es a los efectos de atraer la aplicación de la normativa europea y, por derivación, la española de protección de datos personales al tratamiento gestionado por la segunda a través de su motor de búsqueda Google Search, no obstante tratarse de una empresa ubicada fuera de la Unión Europea. Y es en tal sentido que el TJUE señala que " las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas ", por lo que no puede sustraerse ese tratamiento de datos a la aplicación de la normativa europea y nacional correspondiente.

Con ello se trata de evitar la elusión del cumplimiento de la normativa europea sobre la materia con base en el argumento de que el responsable del tratamiento no tiene su sede social en territorio europeo, lo que le permitiría sustraerse a las obligaciones y garantías que en dicha normativa se establecen. Esta es la lógica a la que responde la previsión normativa que, mediante la ampliación del ámbito de aplicación territorial, consigue el efecto útil y protección que otorga la normativa comunitaria al interesado. Así lo sentencia el TJUE cuando razona que: " En tales circunstancias, no se puede aceptar que el tratamiento de datos personales llevado a cabo para el funcionamiento del mencionado motor de búsqueda se sustraiga a las obligaciones y a las garantías previstas por la Directiva 95/46, lo que menoscabaría su efecto útil y la protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas que tiene por objeto garantizar (véase, por analogía, la sentencia L'Oréal y otros, EU:C:2011:474 , apartados 62 y 63), en particular, el respeto de su vida privada en lo que respecta al tratamiento de datos personales, al que esta Directiva concede una importancia especial, como confirman, concretamente, su artículo 1, apartado 1, y sus considerandos 2 y 10 (véanse, en este sentido, las sentencias Österreichischer Rundfunk y otros, C 465/00 , C 138/01 y C 139/01, EU:C:2003:294 , apartado 70; Rijkeboer, C 553/07, EU:C:2009:293 , apartado 47, e IPI, C 473/12, EU:C:2013:715 , apartado 28 y jurisprudencia citada) ".

Conviene reiterar, finamente, que ninguna controversia se suscitaría en cuanto a la aplicación territorial de la normativa comunitaria al tratamiento de datos si se considerara que el responsable del mismo es un establecimiento con domicilio social en un Estado miembro, como es el caso de Google Spain.

En consecuencia y como sostiene la entidad recurrente en este motivo de casación, no cabe hablar de corresponsabilidad de Google Spain en el tratamiento de datos en cuestión, por cuanto no concurren en la misma los requisitos que determinan la condición de responsable, y tampoco constituye título para ello la unidad de negocio que conforma con Google Inc a que se refiere la sentencia de instancia.

Cabe añadir a todo lo expuesto y para completar el examen de la situación, que el citado Reglamento (UE) 2016/679 incluye entre las definiciones de su art. 4 la correspondiente a "establecimiento principal", que en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, es el "lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones". El alcance de este concepto se explica en el considerando 36, según el cual, el establecimiento principal de un responsable en la Unión debe determinarse en función de criterios objetivos y debe implicar el ejercicio efectivo y real de las actividades de gestión que determinan las principales decisiones en cuanto a los fines y medios del tratamiento a través de modalidades estables. Se trata de un concepto de carácter funcional en cuanto supone el ejercicio y desempeño efectivo de las atribuciones determinantes del tratamiento de datos, fijación de los fines y medios.

En estas circunstancias resulta manifiesto, conforme a todo lo expuesto, que tampoco concurren en la entidad Google Spain, S.L. los requisitos y condiciones que permitan considerarla como establecimiento principal del responsable (Google Inc.) en la Unión.

NOVENO

El segundo título de atribución de corresponsabilidad en el tratamiento de datos a Google Spain, S.L., argumentado por la Sala de instancia, es que ha venido actuando como si fuese responsable del tratamiento de datos, tanto en procedimientos de tutela de derechos seguidos ante la Agencia Española de Protección de Datos como en diversas intervenciones ante Tribunales Españoles, lo que la lleva a la invocación de la doctrina de los actos propios como fundamento de sus apreciaciones.

Pues bien, tampoco este título de atribución de responsabilidad puede acogerse, por el contrario, deben compartirse sustancialmente las alegaciones que se oponen por la entidad recurrente en este recurso de casación, en el sentido de que no se justifican en este caso las circunstancias que permiten acudir a la aplicación de la doctrina de los actos propios.

Como se recoge en la sentencia de 27 de mayo de 2009, la jurisprudencia de esta Sala tiene dicho ( sentencias, entre otras, de 23 de junio de 1971 , 24 de noviembre de 1973 , 26 de diciembre de 1978 , 25 de noviembre de 1980 , 26 de septiembre de 1981 , 2 de octubre de 2000 y 4 de marzo de 2002 ) que la aplicación del principio que prohíbe ir contra los propios actos requiere, respecto de éstos, que se trate de actuaciones realizadas con el fin de crear, modificar o extinguir algún derecho, definiendo una situación jurídica de manera indubitada; siendo éste, también, el sentido de la jurisprudencia de la Sala de lo Civil de este Tribunal Supremo, tal y como puede verse, por todas, en su sentencia de 9 de mayo de 2000 .

En tal sentido la sentencia de 25 de mayo de 2011 (rec. 5261/2007 ) señala que la doctrina de los actos propios no puede imponerse a la aplicación de las normas de carácter imperativo, como se dijo en sentencia de 9 de marzo de 2009 (rec. 8169/2004 ), según la cual, "tal doctrina no rige en ámbitos extraños al poder de disposición de las partes, ciñendo su eficacia a los casos en los que cabe que creen, modifiquen o extingan derechos, definiendo una específica situación jurídica [véase sentencia de 12 de marzo de 2002 (rec 5398/94 )]".

Por su parte, la sentencia de 4 de mayo de 2005 precisa: que dicha doctrina «es predicable respecto de los actos que se realizan con el fin de crear, modificar o extinguir algún derecho, definiendo una situación jurídica con eficacia en sí mismos para producir, igualmente, un efecto jurídico". De manera que es la finalidad del acto, su eficacia y validez jurídica las que determinan la vinculación de su autor a las consecuencias derivadas del mismo y generan la confianza ajena, pues, como señala la sentencia de 1 de febrero de 1999, "tanto la doctrina del Tribunal Constitucional como la Jurisprudencia de este Alto considera que el principio de buena fe protege la confianza que fundadamente se puede haber depositado en el comportamiento ajeno e impone el deber de coherencia en el comportamiento propio. Lo que es tanto como decir que dicho principio implica la exigencia de un deber de comportamiento que consiste en la necesidad de observar de cara al futuro la conducta que los actos anteriores hacían prever y aceptar las consecuencias vinculantes que se desprenden de los propios actos, constituyendo un supuesto de lesión a la confianza legítima de las partes " venire contra factum propium "".

Ha de estarse por lo tanto al alcance del acto al que se atribuye el efecto vinculante y, en todo caso, la aplicación del principio no puede invocarse para alterar, fuera de los cauces legales, el régimen jurídico a que se sujeta una concreta relación, produciéndose una modificación más allá de la finalidad y efectos del acto en cuestión, de la misma manera que no puede servir de fundamento para amparar la persistencia de formas de actuación que no se ajustan a la legalidad.»

Desde estas consideraciones difícilmente puede atribuirse tal naturaleza de actos propios, a los efectos aquí examinados, a la participación de Google Spain en los procedimientos administrativos y procesos judiciales referidos en la sentencia de instancia cuando: en primer lugar, la propia Sala de instancia no habla de actuaciones indubitadas o concluyentes por parte de Google Spain, S.L., en el sentido de asumir la condición de responsable del tratamiento, sino que, por el contrario, dice que estamos ante un indicio; segundo, no se advierte ni valora por la Sala de instancia la distinta condición en que puede intervenir en tales procedimientos una persona física o jurídica, mero interesado o titular de derechos u obligaciones; tercero, que solo la comparecencia como responsable del tratamiento de datos, es decir, de la determinación de los fines y medios del tratamiento de datos, puede dar lugar a manifestaciones o actos válidos de reconocimiento de tal condición; cuarto, que la condición de responsable del tratamiento de datos viene definida legalmente, como se ha indicado antes de forma prolija, y su régimen jurídico no puede modificarse por las actuaciones de quien carece de facultades de disposición al respecto; y quinto, que la legitimación ha de examinarse en cada procedimiento y, por lo tanto, ha de estarse a la actitud del compareciente en el mismo, que este caso ha sido, desde la vía administrativa, negar tal legitimación.

Así, las manifestaciones de Google Spain en los procedimientos administrativos que se citan, sobre el hecho de que los resultados de búsqueda se encontraban en páginas de terceros cuyo acceso es público y, en consecuencia, para eliminar dicho contenido de los resultados deberían desaparecer del webmaster de la página de terceros, nada indican del concepto o condición en que interviene Google Spain ni de la determinación de los fines o medios del tratamiento, que permitan entender atribuida la condición de responsable, máxime cuando dicha entidad rechaza tal condición y alega que su actividad se limita a la prestación de servicios de promoción de los espacios publicitarios. La simple omisión de la invocación de falta de legitimación pasiva en un proceso no supone reconocimiento de tal condición de responsable con carácter general, como parece indicarse en la instancia, menos aun cuando se invocan numerosos procedimientos en los que se ha hecho valer dicha alegación. Tampoco puede deducirse tal condición de un acuerdo transaccional en un proceso sobre intromisión ilegítima en el derecho al honor y a la propia imagen, en el que existen varios codemandados y cuando la entidad aquí recurrente dice haber invocado su falta de legitimación pasiva, dando lugar a la extensión de la demanda a otra entidad. Se justifica igualmente el desistimiento en 130 recursos contencioso-administrativos al haber dejado de ser indexada la información por la intervención de los editores o dueños de las páginas web, además de que no se acredita la condición en que intervenía en el proceso y formalizó el desistimiento. Finalmente ninguna virtualidad tiene, a los efectos debatidos, la invocación en la instancia del procedimiento sancionador terminado por resolución de la AEPD de 18 de diciembre de 2013, objeto del recurso contencioso-administrativo 51/2014, en el que la propia AEPD, frente a las alegaciones de la aquí recurrente, razona en la resolución sancionadora que la única responsable es Google Inc, proceso en el que, además, se pone de manifiesto la distinta condición con la que se puede comparecer, bien sea responsable del tratamiento y la sanción, bien sea interesado en razón de la relación comercial existente entre ambas entidades.

Por otro lado, estas mismas razones justifican el planteamiento por la parte, en el motivo cuarto, de la vulneración de las reglas de la sana crítica y la valoración ilógica de los hechos a efectos de la apreciación de actos propios de la recurrente, en la medida que, como acabamos de decir, no cabe concluir de su intervención en los procedimientos administrativos y procesos judiciales a que se refiere la Sala de instancia una manifestación de voluntad o reconocimiento de la condición de responsable del tratamiento de datos en cuestión, que tampoco resulta de la afirmación no justificada de la Sala sobre el bloqueo provisional de los datos en este caso y que la parte recurrente señala que fue Google Inc quien lo llevó a efecto.

En consecuencia, también deben estimarse estos motivos de impugnación de la sentencia recurrida.

Cabe añadir que la conclusión alcanzada se confirma con la actuación de Google Inc, que a la vista de la sentencia del TJUE de 13 de mayo de 2014 , ha decidido crear un Consejo Asesor integrado por asesores expertos en regulación europea y presidido por el Presidente de dicha sociedad, cuyo objeto es cumplir con el denominado "derecho al olvido" en Internet que se reconoce en la citada sentencia. Y para hacer efectivo este derecho a los potenciales usuarios de su motor de búsqueda, ha puesto a disposición de todos ellos un formulario para solicitar la cancelación de los datos personales, solicitud que ha de ser evaluada precisamente por el indicado Consejo Asesor. La decisión adoptada por Google Inc. demuestra que es ella la única responsable del tratamiento de datos de su motor de búsqueda que actúa como tal y no Google Spain, S.L.

DÉCIMO

La estimación de los motivos segundo, tercero y cuarto supone la nulidad de la resolución impugnada, para cuya determinación y como establece el art. 95.2.d) de la Ley reguladora de esta Jurisdicción , procede resolver lo que corresponda dentro de los términos en los que aparece planteado el debate.

En este caso la parte recurrente planteó, ya en vía administrativa y después en la instancia, la nulidad de pleno derecho de la resolución impugnada de 13 de diciembre de 2011, del Director de la Agencia Española de Protección de Datos, alegando su falta de legitimación pasiva en el procedimiento administrativo, en cuanto Google Spain no es quien gestiona el buscador de Google ni la plataforma de alojamiento Blogger y, por lo tanto, no puede ser considerada responsable del tratamiento de los datos personales objeto del pleito, habiéndose dictado la resolución prescindiendo del procedimiento legalmente establecido, al tiempo que le imponen un contenido imposible, lo que determina la nulidad al amparo de los apartados c ) y d) del art. 62.1 de la Ley 30/1992 .

La Administración, que debe actuar con pleno sometimiento a la ley y al Derecho ( art. 103.1 CE ), está sujeta para la adopción de sus acuerdos y resoluciones al procedimiento legalmente establecido ( art. 105.c CE ), que constituye la forma ordenada de ejercer sus potestades en cada caso, atendiendo a la naturaleza y alcance de las mismas.

El procedimiento administrativo encauza y ordena el ejercicio de las potestades administrativas propiciando que la decisión, plasmada en el acto o resolución que pone fin al mismo, se dirija correctamente al interesado que está sujeto a la potestad de que se trate, y se adopte siguiendo los trámites y requisitos establecidos en garantía del administrado cuyos derechos resultan afectados por la decisión.

En este sentido el acto o resolución administrativa que pone fin al procedimiento se verá viciado: tanto si falta el presupuesto para la existencia del procedimiento, cual es la habilitación legal de la Administración para ejercitar la potestad frente al administrado, como si ese ejercicio se ha producido sin la observancia de los trámites y garantías que lo informan.

A tal efecto las normas que regulan el ejercicio de las distintas potestades administrativas determinan e identifican el destinatario sujeto a las mismas y, con ello, al correspondiente procedimiento. Sirvan de referencia al respecto las previsiones de la Ley de Expropiación Forzosa, que en el art. 3 y siguientes precisa con quien deben entenderse las actuaciones del expediente expropiatorio, en primer lugar el propietario de la cosa o titular del derecho objeto de la expropiación y después los titulares de derechos reales y otros interesados que se indican. En el mismo sentido la Ley General Tributaria, después de determinar quienes tienen la condición de obligados tributarios (art. 25 ) y de responsables tributarios (arts. 41 y ss), señala que la aplicación de los tributos se desarrollará a través de los procedimientos administrativos de gestión, recaudación y demás previstos en la misma (art. 83.3), estableciendo que entre los documentos de iniciación de las actuaciones y procedimientos tributarios, deberá incluirse, en todo caso, el nombre y apellidos y razón social del obligado tributario ( art. 98), refiriéndose en múltiples preceptos a la participación del mismo en tales procedimientos. Por su parte la Ley 30/1992 , en relación con el ejercicio de la potestad sancionadora, comienza por establecer que dicha potestad solo podrá ejercitarse cuando haya sido expresamente atribuida por una norma con rango de Ley (art. 127) y precisa que solo podrán ser sancionados por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia (art.130), en congruencia con lo cual y en relación con el procedimiento exigible para el ejercicio de dicha potestad (art.134), se garantiza al responsable, entre otros, el derecho a ser notificado de los hechos que se le imputen y las sanciones que se le pudieran imponer (art. 135), precisando el art. 13 del correspondiente Reglamento, que el acto de iniciación del procedimiento deberá contener, entre otros requisitos, la identificación de la persona o personas presuntamente responsables.

Se desprende de ello, que seguir el procedimiento frente a quien aparece legitimado al efecto, en cuanto titular del derecho afectado o sujeto al gravamen u obligación impuestos por la decisión administrativa, y garantizar la posibilidad de su participación en el procedimiento, constituyen elementos esenciales para su desarrollo, cuya inobservancia vicia de nulidad al acto o resolución que pone fin al mismo. La identificación del titular del derecho afectado, responsable de la infracción, sujeto al gravamen o responsable de la obligación resulta imprescindible, de manera que el seguimiento del procedimiento respecto de un tercero, ajeno a la potestad administrativa ejercitada, constituye un vicio esencial, en cuanto falta el presupuesto que justifique la existencia misma del procedimiento, cual es la habilitación legal de la Administración para ejercitar la potestad frente al mismo, de tal suerte que el procedimiento resulta absolutamente ineficaz al respecto y, por otra parte, tampoco aprovecha para adoptar la decisión correspondiente frente al verdadero interesado (titular, responsable u obligado), en la medida que se ha prescindido totalmente de su intervención. Lo que determina la nulidad de pleno derecho del acto dictado en resolución de tal procedimiento. (Ss.20/12/2000, rec. 4105/1996, 18/10/2011, rec. 2086/2008, 19/9/2014, rec. 5780/2011, referidas a la nulidad del procedimiento expropiatorio en la medida que, por distintas razones, no se ha seguido con el verdadero propietario. Ss. 22/2/1999, rec. 3056/1994 , 15/12/2008, rec. 4906/2003 , 28/4/2008, rec. 7240/2002 , entre otras semejantes, relativas al Impuesto sobre Sociedades en régimen de beneficio consolidado, que declaran la ineficacia, a efectos de interrupción del plazo de prescripción, de las actuaciones administrativas de comprobación o investigación seguidas con las sociedades dominadas sin conocimiento de la sociedad dominante, en cuanto no son sujeto pasivo (que lo es el grupo de sociedades) ni representante del mismo. Ss. 22/6/1999, rec. 490/1996 , 5/7/1999, rec. 550/1996 , entre otras semejantes, que declaran la nulidad de pleno derecho de la sanción impuesta (cuota de pantalla), por falta de notificación de la propuesta a la entidad correspondiente, argumentando que el expediente sancionador no contiene un pronunciamiento preciso sobre la responsabilidad imputada).

En este caso, en relación con una actividad sujeta a una amplia regulación normativa específica, como es el tratamiento de datos personales, el procedimiento administrativo tiene por objeto la tutela de derechos del interesado, titular de los datos personales tratados, a través de la Agencia Española de Protección de Datos, como autoridad de control -sujeta en su actuación, según dispone el art. 35 de la LOPD , a las previsiones de la Ley 30/1992 de 26 de noviembre-, demandando el cumplimiento de las obligaciones que al respecto se imponen al responsable del tratamiento, que, como se ha expuesto ampliamente en el sexto fundamento de derecho, aparece como obligado y en consecuencia legitimado pasivamente, responsable que como también se ha explicado a lo largo de esta sentencia es Google Inc. y no Google Spain, a pesar de lo cual, la AEPD en la resolución impugnada, estimando la reclamación del interesado, concluye declarando que la actuación de Google Spain, S.L. no resulta acorde a la normativa aplicable y que debió proceder a la exclusión de las informaciones relativas al recurrente e impedir su captación por el buscador, efectuando así un pronunciamiento respecto de una entidad que carecía de legitimación pasiva en el procedimiento y frente a la cual no tenía habilitación legal para ejercitar las facultades de control ni, en consecuencia, seguir procedimiento eficaz al respecto, lo que determina la nulidad de pleno derecho de la resolución impugnada.

La apreciación de este vicio de la resolución impugnada no puede eludirse por la simple referencia a la condición de Google Spain, S.L. de representante de la compañía estadounidense, pues, en primer lugar, no se acredita en forma alguna la realidad de la misma, ni con carácter general ni específica para este procedimiento, habiéndose negado tal condición por la recurrente, y, en segundo lugar y fundamental, la intervención de un representante no altera la titularidad del derecho o condición de obligado ni traslada la responsabilidad del representado al representante. Recordemos que en nuestro Derecho en un mandato representativo los efectos del acto de gestión representativa se producen de forma inmediata en la esfera jurídica del representado, pues en virtud de la representación, el mandatario que obra en concepto de tal no es responsable frente a terceros. Solo cuando éste se obliga expresamente o traspasa los límites del mandato se justifica su responsabilidad personal ex artículo 1.725 CC ( Sentencias de la Sala Primera de este Tribunal Supremo de 16 de mayo de 1984 , 19 de noviembre de 1990 y 27 de enero y 3 de abril de 2000 , entre otras).

De manera que, aun en el supuesto de actuación por representante, que no es el caso, subsiste la condición de responsable del tratamiento y su legitimación pasiva, por lo que el procedimiento y la declaración de obligado al cumplimiento y realización del derecho a la tutela que se demanda por el reclamante ha de dirigirse frente al responsable del tratamiento controvertido, que en este caso es Google Inc.

Por todo ello procede estimar el recurso contencioso administrativo interpuesto por la entidad mercantil Google Spain, S.L. contra la resolución de 12 de junio de 2013 dictada por el Director de la Agencia Española de Protección de Datos, que se declara nula de pleno derecho por ser contraria al ordenamiento jurídico en los términos que se contienen y razonan en esta sentencia.

UNDÉCIMO

Para terminar no podemos desconocer el hecho de que con posterioridad a las referidas sentencias de esta Sala de 11 , 14 y 15 de marzo de 2016, se ha dictado por la Sala Primera de este Tribunal Supremo sentencia de 5 de abril de 2016, en el recurso 3269/2014 , sobre tutela del derecho al honor, a la intimidad, a la propia imagen y a la protección de datos de carácter personal, que se refiere a la responsabilidad de Google Spain S.L., en el tratamiento de tales datos y la incidencia que para el ejercicio por el interesado del derecho a la tutela judicial efectiva puede tener la consideración como responsable de Google Inc., con domicilio en otro país.

En la propia sentencia, que en lo sustancial no incorpora motivación distinta a la que ya valoró esta Sala al resolver los recursos de casación interpuestos contra las sentencias de la Audiencia Nacional, se hace referencia, en apoyo de su distinto criterio, a la falta de efecto prejudicial de las sentencias dictadas por ambas salas y recuerda la existencia de "distintos criterios rectores en las distintas jurisdicciones, por la diversidad de las normativas que con carácter principal se aplican en unas y otras".

Efectivamente, en el ámbito de esta jurisdicción contencioso-administrativa, la tutela de los derechos de oposición, acceso, rectificación y cancelación reconocidos al titular de los datos personales objeto de tratamiento, se recaba mediante la impugnación de la correspondiente resolución de la Agencia Española de Protección de Datos, resolución que se produce, como se ha indicado anteriormente, a través de un procedimiento que comienza con la reclamación o comunicación dirigida al responsable del tratamiento, ejercitando el correspondiente derecho ( art. 25 R.D. 1720/2007 ), frente a cuya respuesta el interesado puede formular reclamación ante la referida Agencia Española de Protección de Datos ( art. 117 R.D. 1720/2007 ), que deberá dictar resolución en el plazo de seis meses, contra la cual puede interponerse el recurso contencioso administrativo ( art. 18 LOPD 15/1999).

En este ámbito jurisdiccional, como se desprende de lo expuesto en los anteriores fundamentos de derecho, la identificación de Google Inc. como responsable del tratamiento al que debe dirigirse el titular de los datos personales en ejercicio de su derecho, se justifica ampliamente en esta sentencia y las citadas de referencia, como resultado de: i) la clara definición legal de la condición de responsable establecida tanto en la Directiva 95/46/CE ( art. 2.d) como en la Ley Orgánica 15/1999, de Protección de Datos (art. 3.d); ii) la interpretación que al respecto sostiene el TJUE en la citada sentencia de 13 de mayo de 2014, que al resolver las cuestiones prejudiciales planteadas por la Sala de la Audiencia Nacional , declara expresamente en su parte dispositiva 1), en relación con el tratamiento de datos consistente en "hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas", que "el gestor de un motor de búsqueda debe considerarse responsable de dicho tratamiento, en el sentido del mencionado artículo 2, letra d)" gestor que en este caso nadie cuestiona que es Google Inc. y no Google Spain S.L.; iii) la percepción de que dicha interpretación del alcance de tales preceptos y los pronunciamientos efectuados en la sentencia del TJUE no responde a un planteamiento subjetivo sino que, objetivamente, puede sostenerse por los distintos tribunales que han de aplicar las normas comunitarias, como se refleja en las resoluciones adoptadas por ocho órganos jurisdiccionales europeos que se incorporan por la parte recurrente y que se han reflejado antes; iv) la naturaleza de la obligación cuyo cumplimiento se exige por el interesado, obligación de hacer o no hacer impuesta por la ley en virtud de la efectiva participación del responsable en el tratamiento de datos objeto de impugnación, participación que delimita el alcance de su responsabilidad y la exigencia de la correspondiente reparación, adoptando las medidas precisas al efecto; y v) la asunción como propia de tal condición por parte de la entidad Google Inc., que a raíz de la sentencia del TJUE ha adoptado medidas tendentes a facilitar el ejercicio del denominado "derecho al olvido".

A ello se añade ahora, que el criterio mantenido por la Sala en esas sentencias, como hemos señalado antes, se ha visto confirmado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo relativo al tratamiento de datos personales y a la libre circulación de estos datos, recientemente aprobado y publicado en el Diario Oficial de la Unión Europea de 4 de mayo de 2016, que deroga la Directiva 95/46/CE, el cual, entre otras previsiones a las que ya nos hemos referido y despejando posibles dudas, regula en su art. 26 la corresponsabilidad en el tratamiento de datos, considerando corresponsables a quienes determinen conjuntamente los objetivos y los medios del tratamiento, exigiendo, además, que los corresponsables determinen de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el Reglamento, en particular en cuanto al ejercicio de los derechos del interesado, previsión que, como ya se recoge en nuestras sentencias, impide considerar corresponsable a una entidad como Google Spain, S.L., que ninguna participación tiene en la gestión del motor de búsqueda y la determinación de los fines y medios del tratamiento, circunstancia que en ningún momento se cuestiona.

Por otra parte, en este ámbito jurisdiccional, la identificación de Google Inc., con domicilio legal en California, como responsable del tratamiento al que debe dirigirse el interesado en el ejercicio de sus derechos, no supone para este dificultad o carga añadida significativa para la obtención de una eficaz tutela judicial, en ninguna de las fases del procedimiento que se establece al efecto, al que hemos hecho referencia antes.

Así, en la primera fase, según dispone el art. 24 del Real Decreto 1720/2007, de 21 de diciembre , que aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, frente al responsable del tratamiento, ha de responder a un medio sencillo y gratuito, sin que en ningún caso pueda suponer para el responsable un ingreso adicional, pudiéndose ejercitar tales derechos a través de los servicios de cualquier índole para la atención al público o el ejercicio de reclamaciones relacionadas con el servicio prestado de que disponga el responsable del tratamiento, imponiendo a dicho responsable la obligación de atender la solicitud del interesado aun cuando no hubiera utilizado el procedimiento establecido específicamente al efecto por aquel, siempre que el interesado haya utilizado un medio que permita acreditar el envío y la recepción de la solicitud.

La reclamación, por lo tanto, se formula electrónicamente de manera sencilla, gratuita y directa por el interesado, siendo válida en cualquier forma que permita justificar que se ha enviado y recibido por el responsable. Ello se facilita todavía más cuando, como sucede en este caso, el responsable Google Inc., según dice, implementando la tantas veces citada sentencia del TJUE sobre el derecho al olvido, ofrece a los interesados información completa sobre el ejercicio de su derecho, facilita los correspondientes formularios y proporciona instrucciones precisas para cumplimentarlos, habiendo establecido un Consejo Asesor, compuesto por cualificados miembros de distintos países, para evaluar las solicitudes y remitiendo al interesado, caso de desacuerdo con la decisión adoptada, a su impugnación ante la autoridad de protección de datos local, en congruencia con lo dispuesto en el art. 35 del citado Real Decreto 1720/2007 , que establece genéricamente el plazo de diez días para resolver por el responsable, transcurrido el cual sin resolución, el interesado podrá interponer la reclamación prevista en el art. 18 de la LO 15/1999 ante la Agencia de Protección de Datos .

Tampoco en esta segunda fase, ante la Autoridad de control, se aprecia dificultad o carga significativa para el ejercicio de su derecho por el interesado, por el hecho de que el responsable del tratamiento sea una entidad como Google Inc. domiciliada en otro país, pues, como dispone el art. 117 del Reglamento aprobado por Real Decreto 1720/2007 , basta para la iniciación del procedimiento la presentación de la correspondiente reclamación ante la Agencia Española de Protección de Datos, sin que las comunicaciones con el responsable del tratamiento en el ámbito del procedimiento abierto presenten mayores exigencias que las llevadas a cabo directamente por el interesado, máxime teniendo en cuenta la implicación de los intervinientes en el desarrollo de la llamada sociedad de la información y la constante evolución normativa hacia la tramitación de los procedimientos a través de medios electrónicos, como refleja el art. 71 de la nueva Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común ; que esto es así resulta de los numerosos procedimientos ante la Agencia de Protección de Datos tramitados con la intervención de Google Inc., sin ir más lejos el procedimiento que dio lugar al recurso contencioso administrativo en el que se plantearon por la Sala de la Audiencia Nacional las cuestiones prejudiciales resueltas por el TJUE en la referida sentencia de 13 de mayo de 2014 . Lo mismo puede decirse de la vía jurisdiccional, que se desarrolla de acuerdo con las previsiones de la Ley reguladora de esta Jurisdicción Contencioso-Administrativa y que, como en todos los casos, el interesado puede instar y abrir mediante un simple escrito de impugnación de la resolución adoptada por la Agencia de Protección de Datos, a partir del cual el proceso contencioso-administrativo se impulsa de oficio hasta su terminación en cualquiera de las formas establecidas en la propia Ley procesal.

Por lo demás, la exigencia del cumplimiento de la obligación a Google Inc. como responsable del tratamiento - además de venir impuesta por la ley aplicable ( art. 12.b) de la Directiva 95/46/CE ) y por la naturaleza de la obligación, como se refleja en los arts. 705 y siguientes de la Ley de Enjuiciamiento Civil al regular la ejecución de este tipo de obligaciones- favorece que la tutela judicial obtenida por el interesado resulte eficaz y se plasme en la correspondiente actividad o realización práctica, pues, cuando se trata de la exigencia de obligaciones de hacer o no hacer, su efectividad viene determinada por la actitud o respuesta del propio responsable, más aún cuando, como sucede en este caso, el cumplimiento de la obligación exige la utilización de unos medios sobre los que solo tiene capacidad de disposición el responsable, como gestor del motor de búsqueda.

DUODÉCIMO

La estimación del recurso determina, de acuerdo con el artículo 139 LJCA , que no haya lugar a la imposición de las costas de este recurso de casación, reiterando respecto a las costas de la instancia el razonamiento de la sentencia recurrida en cuanto a la existencia de serias dudas de derecho, que aconsejan la no imposición de las mismas.

FALLO

Por todo lo expuesto, en nombre del Rey, por la autoridad que le confiere la Constitución, esta Sala ha decidido PRIMERO.- Ha lugar al recurso de casación interpuesto por la representación procesal de la sociedad mercantil Google Spain, S.L., contra la sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de fecha 11 de junio de 2015 dictada en el recurso contencioso-administrativo número 278/2013 , que casamos. SEGUNDO .- En su lugar, estimamos el recurso contencioso-administrativo interpuesto por la representación procesal de la citada sociedad mercantil contra la resolución de 12 de junio de 2013 del Director de la Agencia Española de Protección de Datos, descrita en el primer fundamento de derecho, que se anula por ser contraria al ordenamiento jurídico en los términos indicados en esta sentencia. TERCERO .- No hacemos imposición de las costas de este recurso ni de la instancia.

Notifíquese esta resolución a las partes e insértese en la coleccion legislativa.

Así se acuerda y firma.

Octavio Juan Herrero Pina Jose Diaz Delgado Juan Carlos Trillo Alonso Wenceslao Francisco Olea Godoy Ines Huerta Garicano PUBLICACION.- Leída y publicada ha sido la anterior sentencia en el día de la fecha por el Excmo. Sr. magistrado ponente D. Octavio Juan Herrero Pina estando la Sala reunida en audiencia pública, de lo que como Letrada de la Administración de Justicia, certifico.

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR