El pasado 15 de marzo de 2013 la Agencia Española de Protección de Datos publicaba una nota de prensa por la que comunicaba las conclusiones, tras fase de inspección, sobre el respeto del servicio Street View de Google a la normativa de protección de datos.
El inicio de actuaciones inspectoras sobre este servicio de Google comienzan tanto de oficio por la propia Agencia como por denuncia de esta firma ePrivacidad.
Me gustaría indicar que el comentario que voy a realizar de la Resolución de Archivo de actuaciones parte del más absoluto respeto hacia una institución como es la Agencia Española de Protección de Datos, pues soy consciente tanto del limitado número de recursos humanos que tienen en relación a la cantidad de trabajo así como la complejidad de varios asuntos que se les plantean y que no son fáciles de resolver a pesar de lo preparados que están los inspectores en esta Agencia, hecho este último que me consta sin duda.
Volviendo al asunto, ePrivacidad decide denunciar a Google frente a la Agencia Española de Protección de Datos porque desde este despacho confiamos que aún está vigente ese principio del Derecho de que “todos somos iguales antes la Ley” y debe ser aplicada bajo los mismos principios ya sea a una pequeña empresa local o a un gigante tecnológico como Google. Desde ePrivacidad consideramos en su momento que la nota de prensa publicada por esta Agencia en el mes de abril de 2012 suponía un trato de distinción hacia Google; en concreto, en esta nota de prensa puede leerse “Asimismo, la AEPD ha requerido a Google la inscripción en el Registro General de Protección de Datos de los ficheros de las imágenes y datos personales captados por Google para este servicio“.
Esta frase, cuyo significado analizaré a continuación, nos motivó a cuestionar ante la Agencia Española de Protección de Datos la legalidad del servicio Street View de Google a la luz de nuestra legislación sobre protección de datos así como a la luz del criterio de esa misma Agencia en asuntos similares, donde pequeñas empresas o particulares fueron sancionados.
Así pues, la denuncia que presentamos contenía 3 supuestas infracciones en las que podría estar incurriendo Google en su servicio Street View:
1º: La no inscripción del correspondiente fichero en el Registro General de la Agencia Española de Protección de Datos.
2º: La captación de datos personales en la vía pública de miles de ciudadanos sin su consentimiento y sin que sean informados de dicha captación y su posterior tratamiento.
3º: La vulneración del deber de secreto de los datos personales pues es posible encontrar imágenes en Street View donde el difuminado automático ha fallado y se estarían revelando datos personales en Internet sin consentimiento de los interesados.
Veamos el primer punto.
En el escrito de denuncia simplemente se reflejó un hecho que ya conocía la Agencia Española de Protección de Datos: que Google venía utilizando medios situados en territorio español para captar datos personales para su servicio Street View al menos desde al año 2008 y que, por tanto, en cumplimiento de lo establecido en el artículo 26.1 de la Ley Orgánica de Protección de Datos (LOPD) debía proceder a inscribir el correspondiente fichero. No obstante, en el momento de presentar la denuncia (10 de mayo de 2012), esta entidad no había inscrito fichero alguno. Y de hecho esta Agencia lo sabía, pues como he mencionado anteriormente, en la propia nota de prensa de la Agencia de abril de 2012 ya se decía que se había requerido a Google para inscribir el fichero, pero veamos qué dice la Ley Orgánica de Protección de Datos sobre la inscripción de los ficheros:
El artículo 26.1 de la LOPD indica: “Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos”.
Por su parte, el artículo 55 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal indica:
“Los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación“.
La clave está en que, tal y como dice la Ley, el fichero debe ser inscrito PREVIAMENTE a su creación, de ahí que vulneras el precepto si una vez creado el fichero, lo utilizas y lo inscribes posteriormente (como veremos en casos similares). La infracción es de carácter continuada, esto es, eres infractor hasta que inscribes el fichero.
La Resolución de Archivo de actuaciones frente a Google manifiesta precisamente esta infracción por parte de Google, y que era lo que nosotros denunciábamos, ya que afirma, por un lado, que Google Inc. informó a la Agencia que tenía intención de iniciar una nueva campaña de recogida de imágenes para su servicio Street View “con el propósito de cubrir las zonas no cubiertas en las anteriores campañas realizadas entre los años 2008 y 2011”. No es ningún misterio que Google lleva ofreciendo su servicio Street View en España desde el año 2008, que fue cuando empezó a captar los datos personales correspondientes.
Y por otro lado, esta misma Agencia declara en el fundamento de derecho IV de la Resolución, que “con fecha 11 de mayo de 2012, Google Inc. solicitó la inscripción de un fichero denominado “Google Street View” en el Registro General de Protección de Datos, que finalmente fue inscrito el 15 de mayo”.
Nótese el detalle de que nuestra denuncia es presentada el día 10 de mayo de 2012 y Google inscribe ese fichero el día 11 de mayo.
Como se ha indicado, Google creó el fichero en algún momento de 2008 (cuando inició la primera captura de datos) y es entonces cuando debió inscribir el fichero, y no 4 años después. Pero la pregunta es ¿te pueden sancionar si inscribes el fichero una vez lo has creado? Pues sí, naturalmente, que se lo digan por ejemplo a Hoteleria i Restauració Schwaven S.L. (es un ejemplo como otro cualquiera, hay muchos),
Esta empresa fue denunciada por no tener los ficheros inscritos; los ficheros los inscribió 2 meses antes de que se iniciara procedimiento sancionador alguno (mucho después de la denuncia), pero la inspección pudo constatar, lógicamente, que los ficheros habían sido creados realmente mucho antes de su inscripción y es por ello que se consuma la infracción y procede la sanción, de 3000 euros. La Agencia lo argumentó así:
“En las presentes actuaciones, ha quedado acreditado con relación a la falta de inscripción de fichero por parte de la denunciada, que, en la fecha en que se denunciaron los hechos, no figuraba inscrito fichero alguno por parte de su responsable“.
También podemos ver un caso más reciente, donde se sancionó a la empresa La Vimetera S.L. con 1100 euros por lo mismo: inscribir los ficheros después de su creación; dice así el Procedimiento Sancionador 00528-2012:
“Por tanto, en este supuesto existe constancia de que las imágenes captadas por las cámaras se graban y dan lugar a la creación de un fichero de datos personales de videovigilancia, cuya inscripción en el Registro General de Protección de Datos no se ha producido, según se ha podido constatar en la tramitación del procedimiento sancionador, hasta 22 de noviembre de 2012.
Es decir, aunque la entidad imputada ha subsanado la falta de inscripción del mencionado fichero de videovigilancia, sin embargo ha quedado acreditado que dicha regularización se llevó a cabo con posterioridad a la notificación del acuerdo de inicio del presente procedimiento sancionador (28 de septiembre de 2012), motivo por el cual nos encontramos frente a la comisión de una infracción consumada como mínimo hasta la fecha en que se llevó a cabo la inscripción en el mencionado Registro (22 de noviembre de 2012).”
De estos ejemplos hay decenas; es por esto que desde ePrivacidad consideramos que la Agencia debía sancionar la falta de inscripción por parte de Google de dicho fichero, pues debió ser inscrito en 2008. No procedía informarles que lo hicieran (no conozco ningún caso en la Agencia en el que hayan tenido ese “detalle” con el infractor), sino sancionarles por no haberlo hecho.
Pero no, la Agencia refleja la situación registral irregular de Google pero dicha situación no tiene la consecuencia jurídica esperada, al contrario, parece deducirse que esta Agencia entiende que al haberse inscrito el fichero aun de forma extemporánea es válido y no sancionable. Sin embargo, como digo, “debe deducirse”, pues lo cierto es que la Resolución no contempla ninguna fundamentación jurídica que excepcione la aplicación del artículo 26.1 de la LOPD en lo que al adjetivo “previo” se refiere y tampoco justifica la no imposición de una sanción por su incumplimiento; se aprecia una total incoherencia entre los hechos probados (la no inscripción del fichero correspondiente) y el resuelvo que determina la no imposición de una sanción.
Vayamos a por el segundo punto.
La Agencia Española de Protección de Datos, efectivamente, constata que Google capta datos personales de los transeúntes, en concreto rostros matrículas de los vehículos. No se cuestiona la aplicación de la Ley española en este caso pues es obvio que así es. La Agencia afirma que procede por tanto aplicar los principios del consentimiento según nuestra normativa de protección de datos; el principio general es que es necesario recabar el consentimiento de las personas antes de tratar sus datos personales, y por tanto, en teoría, Google debería pedir el consentimiento de todas las personas a las que fotografía.
No obstante aplica el artículo 7.f de la Directiva 95/46/CE para concluir que en este caso existe un interés legítimo por parte de Google en tratar esos datos personales y que por tanto no se requiere el consentimiento de los afectados.
Efectivamente, este artículo 7.f de la Directiva mencionada, de aplicación directa según Sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011, prevé una excepción al consentimiento de los afectados, afirmando que no será necesario el consentimiento:
“para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.”
Para no extenderme mucho sobre este asunto, en esencia viene a decir que si un responsable del tratamiento tiene interés legítimo en tratar unos datos personales, no será necesario que pida el consentimiento de las personas afectadas, siempre y cuando no prevalezca el interés o los derechos y libertades fundamentales de esos afectados.
La pregunta es ¿qué es interés legítimo? pues concepto difuso donde los haya, y que deberá ser interpretado y analizado caso por caso.
En este caso concreto se trataba de determinar si Google tenía un interés legítimo en tratar los datos personales de estas personas; la Agencia inicialmente afirma que la normativa citada:
“no contiene ninguna previsión que directamente legitime el tratamiento de datos llevado a cabo por las entidades GOOGLE SPAIN y GOOGLE Inc. para la prestación del servicio “Google Street View”. Tampoco el interés comercial vinculado al desarrollo de la actividad por sí mismo puede considerarse como un interés prevalente en el sentido exigido en el artículo 7.f) de la Directiva 95/46/CE“
Pero luego añade que hay que valorar “otros elementos que deben ser tomados en consideración al ponderar el interés legítimo y los derechos e intereses de los afectados“.
Así, afirma la Agencia que la finalidad última de Google con su servicio Street View no es la de captar los datos personales de la gente sino realizar un servicio de cartografía, y posteriormente expone 4 motivos más:
- En primer lugar, los programas diseñados para la recogida y proceso de los datos no disponen de instrumentos de reconocimiento facial ni permiten la búsqueda por personas.
- En segundo lugar, las imágenes que se ofrecen son estáticas y no identifican la fecha concreta de su captación.
- En tercer lugar, las imágenes de personas y vehículos se someten a un proceso de anonimización, previo a su publicación, consistente en difuminar los rostros y matrículas para evitar que puedan ser reconocidos.
- En cuarto lugar, únicamente se contempla la conservación o retención de los originales de las fotografías tomadas, en los que constan los datos personales, por el período necesario para la mejora del servicio o cumplimiento de los fines para los que fueron recabados, y previo a la destrucción de la información personal registrada, momento a partir del cual únicamente se conservan las imágenes anonimizadas.
Y es por todo lo anterior por lo que determina que Google sí tiene ese interés legítimo en tratar los datos personales y por tanto puede hacerlo sin necesidad de recabar el consentimiento de los afectados.
Pero ¿y el principio de información? Está bien que el artículo 7.f de la Directiva excepcione el consentimiento, pero ¿y el artículo 5.1 de la LOPD? este artículo no se excepciona y exige informar a los interesados de los que se recaben sus datos de una serie de cuestiones.
Para casos como este en los que no es posible informar directamente, se prevé una excepción: iniciar un procedimiento de solicitud de exención de deber de información al interesado sobre el tratamiento de sus datos de carácter personal según lo dispuesto en el 5.5 de la LOPD.
Esto es, para cuando no puedes informar porque te es imposible, puedes pedirle a la Agencia que te excepcione de hacerlo, mediante una solicitud formal que termina en una Resolución de solicitud de exención de deber de información al interesado sobre el tratamiento de sus datos de carácter personal, donde la Agencia resuelve si te otorga este privilegio o no.
Son muy poco frecuentes estas Resoluciones, pero aquí están, publicadas todas ellas.
De esta forma tenemos que Google no informa en la recogida de los datos personales a los afectados, y si entendemos que concurren las circunstancias que enumera el artículo 5.5 para aplicar esta excepción al deber de información, debería existir la correspondiente Resolución motivándolo. En este caso, ni Google solicitó dicho pronunciamiento ni tampoco esta Agencia ha dicho nada al respecto, lo cual debe llevar irremediablemente a entender que Google viene infringiendo el artículo 5.1 de la LOPD desde el año 2008.
Pero sobre esto tampoco ha dicho nada la Agencia…
Por otro lado resulta curioso que Google sí tenga interés legítimo en realizar hasta 60 conjuntos de imágenes por segundo mientras sus vehículos circulan por nuestras calles para realizar un mapa cartográfico, pero no existe un interés legítimo en grabar nuestra plaza de garaje si está en un garaje de la comunidad o en la calle, o no existe un interés legítimo en instalar una cámara dentro de nuestra vivienda que grabe nuestra puerta para ver quién es el vándalo que la destroza.
Y queda el tercer punto.
En la denuncia que presentamos, así como luego pudo comprobar la propia Agencia, el mecanismo que utiliza Google a la hora de publicar los datos de carácter personal en su servicio Street View adolece de múltiples fallos respecto a la anonimización de los mismos. En otras palabras, las matrículas y rostros que Google recaba y que son posteriormente publicados no siempre se difuminan adecuadamente para evitar su identificación, de forma que, tal y como pudo comprobar la Agencia y así se refleja en la Resolución, es muy sencillo encontrar errores en el difuminado que permitirían reconocer las matrículas y rostros.
Esta conducta es precisamente la que prohíbe el artículo 10 de la LOPD al afirmar que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”
Aun entendiendo que Google puede recabar los datos personales de los ciudadanos españoles para su servicio Street View sin nuestro consentimiento, ello no lo habilita para que los publique en Internet de cualquier forma, de ahí que precisamente Google aplique unos mecanismos destinados a anonimizar esa información publicada en Internet. El problema viene cuando dichos mecanismos no funcionan adecuadamente, y se revelan datos personales en Internet, como las matrículas y los rostros de muchas personas.
Como bien indica la Agencia en sus resoluciones, el deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así, el Tribunal Superior de Justicia de Madrid declaró en su sentencia de 19 de julio de 2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.
En este sentido, la Audiencia Nacional también ha señalado, entre otras, en sentencias de fechas 14 de septiembre de 2001 y 29 de septiembre de 2004 lo siguiente: “Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE.”
La Agencia expone en su Resolución que es posible encontrar rostros y matrículas sin difuminar; no obstante parece justificar esta manifiesta infracción del artículo 10 en el hecho de que Google dispone de un sistema automático para reportar estos errores y que funciona en 24 horas (ojo que para reportar el fallo deberás facilitar datos personales sin que exista la cláusula del artículo 5.1 de la LOPD en dicho formulario).
De nuevo debemos hacer una interpretación de que la Agencia entiende que no se produce tal infracción del artículo 10 por la existencia de ese mecanismo, pues a pesar de que reconoce la existencia de estos errores, no fundamenta jurídicamente el por qué no procede la sanción.
La infracción se consuma en el momento en el que Google publica información de carácter personal en Internet sin consentimiento, y resulta irrelevante si dispone de un mecanismo para que los usuarios puedan reportar el fallo o no.
Por todo lo anterior, la Agencia termina archivando la denuncia y determinando que el servicio de Google Street View es acorde a la normativa española de protección de datos.
Os recomiendo que le echéis un vistazo a la Resolución ya que contiene detalles muy interesantes.